さて、この『Password Checkup』とは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは？

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考：『Google Security Blog “Protect your accounts from data breaches with Password Checkup”』

一度は利用経験がある方も多い『宅ふぁいる便』、実はお粗末な仕様で管理されていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外からの不正アクセスによって個人情報が流出した『宅ふぁいる便』、私も過去に利用経験がありますが今は利用していません。

この情報漏えい、今の時代としては考えられない状態で管理されていたことには驚きです。

ファイル転送サービスは暗号化されたものを

『宅ふぁいる便』における大きな問題として、パスワードをはじめとした個人情報は一切『暗号化』されておらず、保管されているファイルも『暗号化』はされていなかったことにあります。

個人情報保護や情報セキュリティの徹底がさけばれる昨今においては考え難い管理です。

『ファイル転送サービス』を利用することそのものは決して悪いことであるとは思いません。

個人的にはメールに添付するよりも良いと思っています。

もし今後も『ファイル転送サービス』を利用したい場合、『暗号化されている』ことは当然ですが、『会員登録不要』のサービスがお勧めです。

例えば、以前ご紹介したMozillaの『Firefox Send』のことです。

もしくは『Google Drive（グーグルドライブ）』などを使っての受け渡しを行うことでも良いでしょう。

（『Dropbox（ドロップボックス）』は個人的にはお勧めしません。過去に情報漏えいがあったことで迷惑メール被害が結構ありました。）

ただし、自身のGoogleアカウントは必ず2段階認証を設定すべきです。

最後に、『宅ふぁいる便』を過去に利用したことがある方も含め、他のサービスなどにおいて『パスワード』の変更を行うべきです。

すでに流出してしまっている以上、『宅ふぁいる便』の復旧後にただ退会するだけでは意味はありません。

参考：＜宅ふぁいる便から漏えいした情報＞

・氏名（ふりがな）

・ログイン用メールアドレス

・ログインパスワード

・生年月日

・性別

・ 職業、業種、職種

・居住地の都道府県名

・居住地の郵便番号

・勤務先の都道府県名

・勤務先の郵便番号

・配偶者

・子供

※　すでに退会していても漏えい対象になっている可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書きました問題、元社員は懲戒解雇になったようですが、それ以前の問題があるような気がしませんか？

日経新聞における情報管理の甘さ

この報道を見ている限りでは、元社員は他の社員の業務用パソコンを分解し、ハードディスクを抜き取った上、営業秘密に相当する全社員約3000人分の賃金などのデータを私物のパソコンに転送したとされています。

また、この賃金などのデータは月刊紙を発行する団体に郵送されたとのこと。

ここで問題なのは、何故それほど簡単にデータを取得できるような保管方法を取っていたのかです。

日本経済新聞社と言えば、日本において知らない人はいないくらいの知名度の高い大企業で、間違っても中小・零細企業ではありません。

また、IT系の情報を掲載している媒体も出しており、セキュリティ問題に関しても把握はしていたはずです。

常識的に考えれば、これほどの大企業が一社員のパソコンのハードディスクに賃金などのデータを保管するでしょうか？

クラウドを採用していなかったのであれば、厳重にセキュリティのかかったサーバルーム内のサーバにデータを保管し、ハードウェアにもロックをかけ、データそのものも簡単にはデータ取得できない仕組みになっていなければいけません。

正直、零細企業や小規模事業者のレベルに思えます。

情報を外部漏えいさせた元社員は当然悪いですが、会社としても情報管理に非常に甘さがあり、起こるべくして起きた事件と言えるのではないでしょうか。

この他にも、日経電子版の読者約34万人の氏名、年齢、メールアドレスなどの個人情報、日経ヴェリタスの読者情報約3万6000人分などのデータが持ち出されたことも社内調査で判明したようです。

事業者の皆さん、情報セキュリティ対策は外部からのサイバー攻撃だけではありません。

内部の人的な要因による問題も発生しますので、その部分も含めた対策が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

中小企業クラスの場合、取引先などとの兼ね合いの問題もあり、ある程度は情報セキュリティや個人情報保護といったことに無関心ではいられないようですが、零細企業、小規模事業者ともなると、情報セキュリティや個人情報保護といったことには非常に無関心であると感じます。

では、いったい何故そのような状態のままなのでしょうか？

どうせ何もない！という考え方

随分前の話しにはなりますが、士業の先生から驚くべき言葉を聞いたことがあります。

『小さなところなんてどうせ何もない。万が一それがあったとしても、大したお度が目はない。』

国家資格を所持した士業の先生ですら、こういった感じの方もおられます。

しかし、小さいから何も起きないわけではありません。

確かに、ターゲットとされやすいのは知名度のある大企業とは言えますが、問題が起きるのはターゲットとされた時ばかりではありません。

インターネット上に潜んでいるもの、メール経由で問題が起きるもの、踏み台とされるものなど、問題が起きてしまうケースは他にもたくさんあります。

そして、問題が起きてしまった場合、例えば個人情報が漏えいするようなことがあった場合にはどうなるのか？

個人情報取扱事業者としてペナルティを課せられることになります。

これは、5月に改正された個人情報保護法により、小規模事業者であっても適用されることになっています。

ただし、おそらく最初は改善命令という形に留まり、それにも違反した場合においては刑事罰ということになるでしょう。

※だからと言って、業務改善命令を受けた時に対処すれば良いということではありません。

しかし損害はこれだけではすみません。

顧客や取引先などからの信用を失うことになります。

このようなことにならないためにも、正しく認識し、最低限必要なことはモラルとして行うことが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

2017年4月11日（日本時間）に『Windows Vista』の延長サポートが終了し、今度は『Office2007』の延長サポートが終了します。

では、これによってどのような影響があるのでしょうか？

Office2007 延長サポート終了の影響

Office2007は、先月末の時点で日本国内ユーザーの8.6%、約12人に1人の割合で使われています。

つまり、延長サポート終了間際においてもアップグレードなどの対処をしていない方々がそれだけいるということです。

これは、Windowsと同じように新たな脆弱性が発見されたとしても更新プログラムが提供されず、このまま使用を続けることはセキュリティ的なリスクを負い、脆弱性を突かれてPCの乗っ取りや機密情報の漏えいなどの被害を受ける可能性を意味します。

速やかな移行のススメ

このような脆弱性を抱えたOSやアプリケーションを使い続けることは、自社のみならず他社（他者）をも被害に巻き込む可能性を秘めています。

中小・零細企業、小規模事業者にとってはソフトウェアライセンスの更新問題は負担が大きい場合もありますが、事が起きてからではそれに対処する方が大きくもなります。

そういった事態を避けるためにも、正式にサポートが継続されているものへの速やかな移行をお勧めします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

日本で最も使われているオープンソースのオンラインショップ構築プログラムとしてEC-CUBEというものがありますが、こういったオープンソースのオンラインショップ構築プログラムにもマイナーアップデートが存在します。

それは不具合修正だけではありません。

脆弱性対応のアップデート

このようなオンラインショップ構築プログラムにおいても、いくつかの脆弱性を修正したマイナーアップデートがあります。

それは、個人情報漏えいに対するものであったり、悪意のあるスクリプトを入れられてしまったりするものなどさまざまです。

これらの対策がなされていない場合、インターネットショッピングサイトにてお買い物をしていただいたお客様の情報が漏えいしてしまったりするので、その脆弱性を修正したプログラムを使用していないと非常に危険です。

カスタマイズへの対応

これらのオンラインショップ構築プログラムを使ったインターネットショッピングサイトは、多くのケースでカスタマイズが施されています。

その場合、制作会社に依頼して修正プログラムにアップデートしてもらうしかないのですが、制作会社がドキュメントを残していないとなると結構厳しいものがあります。

要は、カスタマイズされているものに対してはそのままアップデートはできないので、カスタマイズされている部分をアップデートできるように修正してもらわなければいけないからです。

この作業はケースにもよりますが、非常に手間がかかりますので、コスト的にもそれなりの費用負担が発生します。

運営者としての責務

万が一個人情報が漏えいしてしまった場合、まず運営者としての責任が発生します。

保守メンテナンスを制作会社に委託していたとしても、運営会社としては監督責任としての問題があります。

何かあるごとに業者の責任にするのではなく、常に自社の問題として認識する必要があり、自社においても定期的に脆弱性情報の確認などを行い、自ら業者側に対してアップデートの見積依頼をするくらいでないといけません。

このように、インターネットショッピングサイトを運営する上では、必ずセキュリティアップデートの対応をするものと認識してサイト運営を行ってください。

個人情報は適切に管理されなければなりません。