| 日付 |
タイトル・内容 |
| 29日 |
 |
|
|
様々な感染ルート(・データ添付メール、リンク付きメール、WEB改ざんサイトを介した感染など)で多くの被害が発生しているウイルスについて、セルフチェックするサービスを試験運用
【感染チェックサイト】
https://www.jc3.or.jp/info/dgcheck.html
JC3では、不正送金やクレジットカードの不正使用等の犯罪被害につながるインターネットバンキングマルウェアDreamBot、Gozi及びRamnitによる感染拡大及びこれによる被害の防止のため、DreamBot又はGozi又はRamnitへの感染状況を確認するためのウェブサイトを試験運用中
利用者は、DreamBot・Gozi・Ramnitに感染していないかどうか本チェックサイトで確認するなどにより、犯罪被害の防止を図ることが可能
※感染チェック
・利用するウェブブラウザ(Internet Explorer、Microsoft Edge、Mozilla Firefox推奨)で実施
・複数利用の場合も、各々のウェブブラウザで感染チェックを実施
|
|
|
|
|
|
| 24日 |
|
|
|
【状況】
コンピューターセキュリティメーカーのサーバ上にあるウイルス駆除ソフト管理サービスツールが不正アクセスを受け、社員が業務上使用している複数のパソコン端末にインストールされていたウイルス駆除ソフトが意図的に削除された
【原因】
退社した元社員が不正アクセスを行った。この元社員は当社の業務に支障を与えたとして、2018年5月24日に書類送付された
【再発防止】
ウイルス駆除ソフト管理ツールへの不正アクセスを防止する対策実施
当局の捜査に協力し、情報セキュリティ対策により一層取り組む
|
|
|
|
|
|
| 21日 |
|
|
|
EUの「一般データ保護規則(GDPR)」(5月25日)施行についての対応調査
2018年2月から4月にかけて、34カ国で15の業界に属する1,500社のCISOやCIO、法務顧問、データ保護担当者などを対象に調査
● GDPR施行までに、完全に遵守できると答えた企業は36%にとどまった。
【脅威対策として】
・GDPRをきっかけに保有する個人データの量を削減する(80%)
・個人データにアクセスできる人数を減らす(78%)
・不要なデータを廃棄する(70%)
【マネジメントプロセス対応として】
・GDPRに備えて自社のインシデント対応プロセスを修正(93%)
・データディスカバリを実施し、データの精度を維持する準備を整備(79%)
・自社のインシデント対応計画を再検討または更新した企業(31%)
一方、GDPRを単なるコンプライアンス上の課題ではなく、顧客との信頼関係を強化する機会など前向きに捉える以下のような声もある
【ビジネス機会として】
・GDPRの遵守を示すエビデンスが、消費者に対して差別化要因として肯定的に受け止められる(84%)
・GDPRにより新しいビジネス機会をもたらすデータ主体との信頼関係強化が可能になる(76%)
|
|
|
|
|
|
| 11日 |
|
|
|
情報セキュリティ事故が数多く報道され、またGDPR(EU 一般データ保護規則)などの国際的な規制の対応が求められるなど、セキュリティへの関心が高まり、組織のセキュリティ対策を所轄するCISO(Chief Information Security Officer)が注目されている。
情報セキュリティ対策は、危険性や損失といったマイナス面が主要なテーマとなり、ビジネスに対してどのように貢献するのか、という視点で議論される事は殆どなく、CISOが経営陣の一員として、セキュリティに取り組むためには、想定される危険性や損失に取り組むだけではなく、ビジネスの視点を持って業務を執行することが求められる。
セキュリティを経営に取り込むための試みとして、経済産業省が発行した「サイバーセキュリティ経営ガイドライン(Ver.2)」が注目されていますが、ポリシー順守を目的としたPDCA フレームワークと CSIRT(Computer Security Incident Response Team)が主要な内容で、CISO 業務の執行に必要なビジネスの視点は取り上げられていない。
このハンドブックは、CISOが経営陣の一員としてセキュリティ業務を執行する上で前提となる、ビジネス(経営)の基本的な枠組みを整理し、明確にすべき目標と指標、そして施策を評価する判断基準を提供することを目的としている。
【使い方】
・経営会議で資料を作る際のひな型として
・技術担当から CISO になった人がビジネスを理解するための参考として
・セキュリティ経験の少ない CISO がセキュリティ業務を理解するための参考として
・経営会議で話される業務執行(CISO の役割と責任、業務)の概要を理解する参考として
・ビジネスに関連付けた計測項目と判断基準の例として
・ビジネスに沿ったセキュリティ計画や、事業継続計画の策定の資料として
【url】
http://www.jnsa.org/result/2018/act_ciso/ |
|
|
|
|
|
| 10日 |
|
|
|
【状況】
不正競争防止法違反で刑事告訴した元従業員が、5月1日付けで京都地方検察庁へ書類送検された
元従業員は、2016年9月に同社を退職する際、同社の事業ノウハウに関する情報を不正に持ち出していた
持ち出された情報に、個人情報や顧客の機密情報などは含まれない
取材に対し、検察による捜査が行われるため、コメントできないとしており、元従業員が所属した部門や、事業に与える影響などについては明らかにしていない |
|
|
|
|
|
| 09日 |
|
|
|
【状況】
2017年1月10日〜2018年4月24日に、当該サイトでカード情報を入力し商品をご注文した顧客(約23,000名)カード情報(番号、名義、有効期限、セキュリティコード)が流出
4月24日:カード会社からカード情報が不正に使用され被害が生じているとの報告があり、「健康食品通販サイト(https://kenko.morinagamilk.co.jp/)」でのクレジットカード決済を停止
4月25日:調査を第三者調査機関「Payment Card Forensics 株式会社」に依頼
【諸対応】
・顧客に利用明細書に不明な取引があった場合の対応のお知らせ
・顧客にクレジットカード番号の変更希望者への対応のお知らせ
・クレジットカード決済の受付停止し、支払方法を代引きまたは振込に限定
・流出の可能性のあるクレジットカード番号は、カード会社と連携し、不正使用の監視強化
・所轄警察および所轄官庁に相談・報告済
・今後調査結果により再発防止策を講じる
|
|
|
|
|
|
