日付 |
タイトル・内容 |
31日 |
|
|
|
総務省は、「クラウドサービス提供における情報セキュリティ対策ガイドライン」(平成26年4月策定)を改定し、「ASP・SaaS における情報セキュリティ対策ガイドライン」(平成20年1月策定)と統合した「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」を取りまとめ公開した
ガイドラインは、クラウド事業者が実施すべき以下の情報セキュリティ対策を取りまとめた
【構成】
(第I部)
「序編」ガイドラインの対象範囲と位置付け、利用方法等をまとめた
(第II部・第III部)
「組織・運用編」、「物理的・技術的対策編」として、クラウドサービスの利用が企業等の生産性向上の健全な基盤となるよう、クラウド事業者が実施すべき情報セキュリティ対策をまとめた
自組織だけではなく、他組織との連携を考慮した、供給者関係(ICTサプライチェーン)における実務のポイントを含む
(第IV部)
「IoTサービスリスクへの対応方針」として、IoTサービスに関するリスク及び対応をまとめた
以下でダウンロード可能
http://www.soumu.go.jp/main_content/000566969.pdf
|
|
|
|
|
|
30日 |
|
|
|
情報セキュリティインシデントの具体的事例や攻撃の手口、政策や法整備の状況等を網羅的に取り上げている。
2017年度に注目されたテーマとして、“IoT”、“仮想通貨”、“スマートフォン”、“制御システム”、“中小企業”に関する情報セキュリティを掲載
序章 2017年度の情報セキュリティの概況
第1章 情報セキュリティインシデント・脆弱性の現状と対策
1.1 2017年度に観測されたインシデント状況
1.2 情報セキュリティインシデント別の状況と事例
1.3 攻撃・手口の動向と対策
1.4 情報システムの脆弱性の動向
1.5 情報セキュリティ対策の状況
第2章 情報セキュリティを支える基盤の動向
2.1 日本の情報セキュリティ政策の状況
2.2 情報セキュリティ関連法の整備状況
2.3 国別・地域別の情報セキュリティ政策の状況
2.4 情報セキュリティ人材の現状と育成
2.5 情報セキュリティマネジメント
2.6 国際標準化活動
2.7 評価認証制度
2.8 情報セキュリティの普及啓発活動
2.9 その他の情報セキュリティの状況
第3章 個別テーマ
3.1 IoTの情報セキュリティ
3.2 仮想通貨の情報セキュリティ
3.3 スマートフォンの情報セキュリティ
3.4 制御システムの情報セキュリティ
3.5 中小企業における情報セキュリティ
付録
情報セキュリティ10大脅威2018・資料・ツール
情報セキュリティ10大脅威2018
資料A 2017年のコンピュータウイルス届出状況
資料B 2017年のコンピュータ不正アクセス届出状況
資料C ソフトウェア等の脆弱性関連情報に関する届出状況
「情報セキュリティ白書 2018」は、以下で購入/ダウンロード可能
https://www.ipa.go.jp/security/publications/hakusyo/2018.html
|
|
|
|
|
|
26日 |
|
|
|
【状況】
「evameva Online Shop」のウェブサーバーに外部からの不正アクセスがあり、顧客の個人情報が、海外からの不正アクセスにより流出した
1)漏洩の状況
2018年3月7日〜2018年6月19日の期間内に、ショッピングサイトでクレジット決済の利用者
・流出個人情報データは最大で358件の以下情報
.ード名義人名
◆.レジットカード番号
有効期限
ぁ.札ュリティーコード
2)原因
Webアプリケーションの脆弱性をついた攻撃
3)対策
被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止し、クレジットカード会社に不正利用の防止モニタリング依頼
システムの脆弱性および管理体制の不備について、実施可能な施策を行ない、セキュリティの強化・改修を進める |
|
|
|
|
|
18日 |
|
|
|
日・EU間の個人データ移転について、2016年4月以降、欧州委員会との間で、日EU間の相互の円滑な個人データ移転を図る枠組み構築を視野に対話を進めてきた。
2018年7月17日、個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員は電話会談を行い、同対話の最終合意を確認した。
2018年の秋までに日・EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要とされる関連国内手続を完了させることにコミットする。
・個人情報保護法第24条に基づくEU指定に係る手続として告示の制定等
(当該EU指定については、同日に開催した第70回個人情報保護委員会で欧州委員会による日本への十分性認定の発効に併せて手続を進める)
|
|
|
|
|
|
17日 |
|
|
|
【状況】
ヤフーのIaaS型クラウド基盤を利用している「Zenlogicホスティング」で6月19日以降、断続的にサービス障害が発生し、約3週間にわたり断続的にサービスが利用しづらい状態が続いた
・06月19日:ストレージシステムが不安定となり断続的にサーバーが高負荷状態に陥る
・07月06日:外部ネットワークとの接続を遮断し、お客様のサービスご利用を全て停止
・07月09日:データ移動の完了、たメンテナンス作業が完了し、顧客にサービス提供再開
・07月17日:ヤフー株式会社からの障害報告、安定稼働の継続で復旧確認
【原因】
ストレージシステムに対する負荷が想定より高くなったことにより一時的な高負荷が発生し、サービス利用が困難となる状態が不定期に発生した
また、システム内部通信のネットワークトラフィック制限を実施した際のネットワーク設定が不適切な設定となっていたことにより、ストレージシステム全体がスローダウンした
【再発防止策】
・ストレージシステムのキャパシティプランを見直し、システム状態を監視するためのシステム性能監視指標を設定し、今後想定を超える高負荷に対しても速やかに適切な対策を実施
・ネットワークトラフィック制限を実施する処理プログラムに、設定値が正しい事をチェックする処理を追加改修
|
|
|
|
|
|
13日 |
|
|
|
【状況】
BIG 6億円が当せんしたとの偽情報により、メール内に記載されているリンク先へ誘導し、個人情報をだまし取ること等を目的とした、「偽のBIG当せん通知メール」が配信されている
【対応】
・センターから、当せん通知等のメールで当せん等級・当せん金額等の詳細をご連絡したり、個人情報や重要な情報をお聞きすることは一切ない
・身に覚えのない当せん通知メールを受け取った際は、安易にリンク先にアクセスしたり、添付ファイルを開いたりしない
・万が一、リンク先にアクセスしたり、添付ファイルを開いてしまった場合でも、個人情報や預金口座番号、クレジットカードの暗証番号等の入力をしない
|
|
|
|
|
|
06日 |
|
|
|
【状況】
スマートフォンを利用中高生向けの学習サービスを提供する株式会社葵が利用するスペインTypeformが運営するアンケートシステムが不正アクセスを受け、個人情報が外部に流出した
流出したのは、2017年5月8日から2018年3月9日にかけて回答されたのべ5461件のデータ
(ユーザーID、デバイス情報、141件のレコードに生徒や保護者の氏名、電話番号、メールアドレスなど131人分の情報等)
【対応】
・流出を確認した131名に対してメールでお詫び、お知らせ
【再発防止】
・外部委託事業者に対してセキュリティ対策状況の基準を設け利用検討
|
|
|
|
|
|
03日 |
|
|
|
【状況】
営業秘密にあたる社員約3千人分の賃金データなどを外部に漏洩させた東京本社デジタル事業担当付の元社員を不正競争防止法違反容疑で警視庁に告訴
・2012年10月、日経本社内で総務局員の業務用パソコンを分解してハードディスクを抜き取り、営業秘密にあたる社員約3千人分の生年月日、基準内賃金などを記録したデータを私用パソコンに転送
・2017年12月、同データを保存したUSBメモリーを月刊紙を発行する団体に郵送され2018年1月運営するブログに一部が掲載
・2017年1月から2018年3月までの間、業務上アクセス可能だった日経サービス会員情報(日経ID情報)や約3万6千人分の日経ヴェリタス読者情報のデータファイルをコピーし、業務用パソコンから私用のメールアドレスに送信、クラウド上に複製、保存
・2014年2月、約34万人分の電子版読者情報をひそかに持ち出し、私用のUSBメモリーに保存後、社内調査のヒアリング開始直後の2018年3月に全てのデータを削除した痕跡
【対応】
・デジタルフォレンジックを実施、顧客情報が第三者に漏洩した事実は確認されなかった
・新たなデータ漏洩を防ぐために強制捜査権を持つ警察に告訴し事実関係を解明する
・情報管理体制の見直しや社員教育を改めて徹底するなど再発防止に取り組む
|
|
|
|
|
|