« 2007年4月 | トップページ | 2007年6月 »

2007年5月

2007年5月31日 (木)

黒塗りが見える?自分で見えないつもりでも・・・

黒塗り部分見えちゃった 厚労省HPの「意見募集」ITのニュース:イザ!より

医療事故の原因究明に向けた第三者組織創設について、厚生労働省が国民から募集した意見をホームページに掲載したところ、氏名や勤務先など「黒塗り部分」が特定のソフトを使えば閲覧できる状態になっていたことが29日、分かった。

何度も書いている話だが・・・

情報はどこまで復元出来るのか?

想定外?ファイルそのものが隠れた情報の宝庫だった

私が何回書いても問題ないし、そんなことはどうでも良い話。

それよりも、もっと大切な事を忘れてはならないのだ。

1.自分で黒塗りしたから・・・見えないはずだ!って思いこみ

2.でも、他人には見えてしまう現実

3.結果として、情報が漏れたり、個人に迷惑がかかる。←何もしていないのに、自動的に本人の意志に関係なく漏れている

黒塗りで連想するのは、何だろうか?

高級な乗用車など・・・

昔・・・小学生くらいだっただろうか?黒塗りされた**が見たくて、見たくてたまらなくて・・・消しゴムを使って黒塗りを消した事がある(笑)

普通にあるプラスチック消しゴムだと、微妙な感じにしかならなかった。

ここは、砂消しゴムの登場!って発明発見をしたように思った。しかし砂消しゴムで消すと・・・紙に穴が開いてしまい、見えるどころか反対側まで見えてしまった。

ここまで書けば、何を一生懸命消しゴムしていたかわかるだろう(笑)

当たり前だが印刷される前から黒塗りされたものは、消しゴムで削っても単に紙が削られるだけで・・・知らないという無知さを感じたものだった。

こんなアナログ的な方が、安全なのかもしれない。

しかしアナログ的でも、原本に黒マジックで塗っただけだと元のものが透かせば見えてしまう。

一方でデジタル時代的な方法は、ワードやPDFなどで作成されたファイルの編集になるだろう。

必要部分の文字を単に選択し、黒く塗るだけだから・・・

見えてしまうのだ。文字数の問題であれば、別なアスタリスク*などに置き換えるか、スペースキーを押して空白部分を黒く塗れば良いだけだろう。

面倒なのか?知らないからなのか?

自分でも見えるものは、他人にも見えてしまう。これ当たり前のこと。

原理原則を知っていれば、こんな問題も減るだろう。

すでに黒塗りデータを作った事がある方は、再度確認したほうがいい。

紙に戻れば済む問題だろうか?

そうではないのだから、知ることが何よりも先決だ。

| | コメント (0) | トラックバック (0)

2007年5月30日 (水)

詐欺的”セキュリティソフトの日本語版:ウィルス編

“詐欺的”セキュリティソフトの日本語版を発見CNET Japanより

WinAntiVirusPro 2007は、実際にはセキュリティ対策機能を持たない、詐欺的なセキュリティソフト。2006年から世界で確認されているが、この日本語版が発見された。インストールすると、ユーザーのPC内に実際に存在しないウイルスやスパイウェアなどの脅威を、あたかも検出されたようにみせかけ、表示する可能性がある・・・

以前から存在するものだ。

この手のものを私は”マッチポンプ型”もしくは”自作自演”型と呼ぶようにしている(笑)

そもそも何もないのに何かあるように作ってしまい、それをもって検出したから対処せよ!ってものだ。

白アリなんかでも、こんな話しはあったような・・・気がする。

コンピュータがなければ仕事のできない時代において、このようなものが出てくる事は、ある意味では当然なのかもしれない。

しかし、これをもらっちゃった側はたまらないのだ。

以前にも書いたが、ファイルを人質にして金銭の要求をしてくるものまである。

ウィルスに感染すれば、その挙動はなかなか見えない。結果として、コンピュータが調子悪くなったり、ファイルがばらまかれたりするまでわからない。

では、この手のものに引っかからない方法はあるのだろうか?

無いわけではないが、ほとんど無理だろう。

それは、利用者<攻撃側 のが、情報もワナも大きく上回るだけのことをしてくるからだ。

よく聞かれる質問で、ネットセキュリティを完全にしたい!って・・・

この手の詐欺と、現実社会での詐欺になんの違いがあるのだろうか?

現実社会での詐欺を完全に引っかからない方法はあるのだろうか?

インターネットにおいても、これと同じなのだ。

こういうものがあるって事と、要素になる不安材料を消去法で潰していく位しか方法はないだろう。

| | コメント (0) | トラックバック (1)

2007年5月16日 (水)

どっちが危険?1次被害と2次被害

ウイルスによる2次被害、盗まれたパスワードがWebで公開されるITproより

米シマンテックは2007年5月15日(米国時間)、ウイルスによって盗まれた個人情報が、Webサイトで公開されているケースを確認したとして注意を呼びかけた(シマンテックの情報)。ウイルスが盗んだクレジットカード番号やオンラインサービスのアカウント情報などが、誰でもアクセスできる状態になっているという。

同社では最近、「Infostealer.Snifula.C」という新しいウイルス(マルウエア)を確認した。このウイルスは、感染したパソコンから重要な情報を盗み、特定のWebサイトに送信する。ウイルス作者はその情報を犯罪組織などに売ってお金をもうける。

こういったウイルスは近年増えていて、めずらしいものではない。今回のウイルスが特徴的なのは、盗んだ情報が送信されて保存されているWebサイトに、アクセス制限がかかっていないこと。通常は、ウイルス作者以外は盗んだ情報を閲覧できないようになっているが、今回のケースでは、誰でも閲覧できる。

5月15日時点で、このサイトには300Mバイトを超える個人情報が保存されていたという。具体的には、ユーザーの氏名や住所、電話番号、クレジットカード番号に加え、メールやオンラインバンク、SNSサイト「Myspace」やオークションサイト「eBay」のアカウント情報(ユーザーIDやパスワード)などが保存されている。これらの情報には、検索サイトで探せば、誰でもアクセスできるという。

どうもウィルス作者の意図とは違った展開になってしまったようだ。

せっかく盗んだのに全部丸見えにしてしまっては、作者の苦労が報われない。

・・・って、作者側の立場に立った話だが。。。

盗まれた側は、どんな理由にせよ、意図にせよ、たまったものではない。

インターネットが普及しはじめた頃の話。クレジットカード会社によっては、ネット決済に係わることでトラブルや詐欺に遭っても保証しない会社もあった。

最近では、カード利用者側に過失がなければ保証の対象になってきたようだ。

それだけネット決済が普及し、カード会社にとっても大きな収入源になってきた証だろう。

使った分だけの手数料で儲ける以上は・・・そうなるだろう。

ここで被害の1次的なものと、2次的なものを考えてみたい。

今回のようなケースは、1次と2次がわかりやすい。

例えば、1次的な問題を情報漏洩に置き換えた場合は・・・

・ケース1.大手エステ会社の大量漏洩事件の場合

何年前になるのだろう?集団訴訟まで起こされた事件だ。

1次的な問題は、Web上でアンケートや採用情報などの個人データが丸見えになってしまったことだった。技術的な設定ミスが起因した。

開き直っても仕方ないが、漏れてしまったものはどうにもならない。

一方で、被害者の方々は詳細な個人情報が多岐にわたり漏れたことで、不安な日々を過ごす結果になってしまった。この見えない不安というモノサシは計り知れないものだ。

この場合の2次的な問題は、漏洩したデータがインターネット上に再度流れてしまったこと。

1次的にも流れたが、デジタルデータの恐いところで簡単にコピーできてしまうものが、更なる2次的な漏洩の加速をもたらした。

Winnyなどのファイル共有ソフトなどを通じ、流れたのだ。

2次的な対策がこのケースの場合は、人海戦術で対応したことだろう。

モグラたたきのように、共有しているファイルを見つけると警告を出していた。

これにかかった費用は莫大だろう、としか言いようがない。実際に私にはわからないが、莫大だったことだけは間違いのないことだ。

では、3次・4次的な問題はどうだったのだろうか?

現実にそこまでの情報を私は知らない。しかし詳細なる個人情報があれだけの件数漏れれば、ストーカー等の被害もあっただろう。

赤の他人から、何もしていなくとも嫌がらせのようなこともあったようだ。

簡単に話をまとめることのできないほどに、深い問題。

震災でも2次被害が大きいのと同じように、1次的なものは連鎖していくのだ。

情報セキュリティでも同じこと。

じゃあ、1次的な問題さえなければ・・・何も起こらない。この順番はウィルス対策と同じく、ウィルスが発生しなければ、そのウィルスに対するワクチンは作られることはないのだ。

でも、発生してしまう現実。

それも自分だけではどうにもコントロール出来ない、他人が絡むこと。

今回のクレジットカードだったら、カードを持たないという選択も充分にあり得ること。

カード会社が保証してくれるから、良いのだろうか?

これが、デジタル社会の重要な問題で、私も深く追求しているところだ。

何をするにも、便利なものを得ることと同時に、危険も伴うもの。

これも情報セキュリティだけの問題ではない。

どんな場合においても同じことは発生するので、ウィルスだから・・・ではないことだけを知ってもらいたい。

| | コメント (0) | トラックバック (2)

2007年5月13日 (日)

データのバックアップしてますか?

データは誰のもの?ハードディスクのセキュリティ対策

以前に書いたものの続きだ。

最近、ハードディスクを積んだ製品はパソコンだけでなく、家電製品や携帯電話、音楽端末にまで普及してきた。カーナビなどにもハードディスクが普及してきた。

当初、車のように振動の多いものにハードディスクが積まれるとは想像できなかった。昔のイメージが大きいからかもしれない。

家電に積まれたときも、衝撃的だった。ハードディスクレコーダーなど今どきの大きなデータを保存するものには、ほとんど搭載されている。

i-podの小型でないものにも乗っている。ビデオなどデータの大きいものを見るためだ。

一方で、UBSメモリーなどの半導体ディスクも8ギガとか超大型のものが売られている。あれだけ小型でこんなに大量に入ると、便利であるが無くしたときにはどうするのだろう?って職業病のようなことばかり考えてしまう。

データのバックアップ対策は必須事項だ。これはデータがクラッシュしたり、無くなった経験がないとなかなかやろうとしないもの。

そもそも、回転する消耗品であるとの認識も低いのかもしれない。それだけ一般的な普及をしてきたのかもしれない。

消耗品である以上は、書くまでもないが消耗するのだ。時間と共に劣化していく。今でも以前より減ったと思うが、ハードディスクにも当たりはずれがあるように思っている。すぐに壊れてしまうものがあったりする。でも昔よりも激減した。

パソコンでも、ノートのように持ち運ぶものは消耗以前に衝撃等の外的要因が多くある。これはi-podなどの持ち運び系すべてに共通する問題だ。

仕事柄、データの復旧をすることが多くある。同時に漏洩対策としての抹消もある。どちらにしても大切なことだ。

抹消自体は、物理的に破壊してもできることだから難しいことは無いのだが、復旧の場合は、難易度がケースにより異なってくる。

論理的な障害であれば、ツールで対応できることが多いが、物理的な障害だとクリーンルームを持った専門工場に出さないと無理なことが多い。

しかし、入れ物なハードディスク自体とても安価になってきたが、中身の資産価値は持ち主以外には計れないものだ。

個人の方であれば、デジカメなどのデータが多くある。撮ったデータをパソコンで編集したり、保存先としてデータを移すからだ。デジタルメディアの便利なところでもあるが、昔のフィルム写真のようにフィルムが物理的に存在する訳ではないので、扱いが楽な反面、飛んでしまったときの対応も困難な場合がある。

企業の場合だと、重要なデータとしてデータベースに格納されるような財務系データや図面系データなどが多くある。もちろんワードやエクセルのファイルでも重要なものがあることは、言うまでもない。

デジカメ写真のデータも重要になってくる。証拠や資料のために撮ったデータが飛んでしまった場合などは、その写真を撮った当時の状況を再現できない場合が多くあり、飛んでしまったデータを当時の再現できるコストまでか、再現でき無い場合はデータの復旧をする以外に選択肢はない。

まるで経済学のようだが、データの内容によってはコストとの比較で安い方を選択するしかない。それもできなければ、コストでは計れないことなので、復元する以外ないのだ。

飛んでしまったデータであれば、このような方法も1つだが、完全に戻せるとは限らない。これもデジタルリスク特有の問題の1つだろう。

これ以外にも、企業のなかで不正行為があった場合などにも、データを復元し企業が自ら証明するために、使われるケースも多くある。

これはハードディスクに限らす、ネットワーク上に流れるデータも含まれる。ネットの閲覧履歴やメールのデータなどである。

デジタル文書管理の1つとして、最低限行わなければならない1つに該当するもの。

矛盾したように聞こえるかもしれないが、いずれも防衛策として有効な方法だ。

復元するにも、抹消するにも、理由があっておこなうもの。

不正の場合は、隠滅のためにこの手法を使ってしまう方々もいる。

あらゆる方法や手法を把握し、問題が発生する前に対策を行うしか方法はない。

リスクとはネガティブなイメージが強いが、保有する以上は良いことも良くないことも同時に持つものである。

だからこそ、性質上の問題特性がある以上は、それに準備するしかない。

単にバックアップを取るだけでは、解決しない深い問題なのだ。

でも、取ったバックアップの管理もしっかりしてますか?データの保全だけを考えれば取っただけで十分であるが、管理がしっかりできていないと、抹消の何もなく漏れる危険性が増すだけになる。

トレードオフの関係にここでも出てくるのだ。

当面、飛ばないメディアが普及するとは考えがたい以上は、今出来ることを知っておかなければならないのだ。

| | コメント (0) | トラックバック (2)

2007年5月 5日 (土)

個人データ保護とプライバシー保護の混同について

個人情報保護はもうひと工夫を――個人データ保護とプライバシー保護の混同 (1/3)ITmedia エンタープライズより

RSA Conference Japan 2007では、国際大学グローバル・コミュニケーション・センターの青柳武彦客員教授が、個人情報とプライバシー保護の解釈について誤りがあるとし、情報保護のあり方について解説した。

「個人データ保護=プライバシー保護」とするのは誤りだ、というのが青柳氏の意見だ。データ保護とは漏えいや紛失、改ざん、不正利用などから「データ自体」を守ることだという。一方、プライバシー保護とは他者との調整の基に、情報主体の権利を侵害されないようにすることだとしている。

青柳氏は、「ネットワークの発達によって、データ保護とプライバシー保護が混同されるようになった。個人情報を争点にした裁判でも、そのような傾向が見られる」と話す。個人情報の定義とプライバシーの関係が曖昧なままにされていることが原因で、「個人情報の漏えいがすぐにプライバシーを侵害する犯罪行為に当たるという司法などの判断は間違い」と述べている。

青柳先生の著書は、2冊読んだことがある。

個人的にも研究している分野であり、ビジネスでも同様の分野なので、興味がある。

私も同じに考えている。個人データの中にプライバシーが含まれることは確かだが、保護の観点から考えれば違うものになる。

個人情報に含まれるものにプライバシーに係わるものが多くある。このプライバシーに明確な範囲はない。

その本人が他人に知られたくないものであれば、プライバシーに該当すると私は考えている。これは個人それぞれに色んなものがあり、範囲も相当に広い。

例えば、私が自分の体重を人に知られる事は、あまり興味がなく問題のないこと。

しかし体重を気にする方ならば、他人に知られたくない。見た目でわかるような事であっても、本人が気にする以上は仕方のないこと。

私がOK・・・相手もOK・・・ではない。ということだ。

身体的な事などは、特に注意するべき内容になる。

私の身長は176センチくらいだが、シークレットシューズ(靴底が厚く身長が高く見える靴)を使われている方にとっては、知られたくない事になるだろう。

これが、間違いやすい部分になると思う。

自分自身でコントロール出来る範囲の事であれば良いのだが、コントロール出来ない範囲になると、尚更に難しくなる。

自分の情報が企業などの顧客情報などに登録されていて、それが漏洩したら自分ではコントロール出来ない範囲になってくる。

この部分が個人データの保護になり、情報を保有しているところが保護しなければならない。個人情報保護法で言えば、5000件のデータを持っているところは保護しなければならない事業主体の対象になるが、4999件だったら良いのか?って事になる。

法律では明確な件数を決めない限り、どの範囲かわからないから仕方ない。

個人情報を沢山もつ場合・・・などでは、沢山の定義が明確でない。だから件数になるのだが、私は1件でも重要な保護対象として考えなければならないと思っている。

ようは漏れなければ、なにも問題は起こらない。

しかし、漏れてしまうのが現実で現状だ。

乱暴な言い方をすれば、守る側に携わる人たちにすべてはかかっている。

でも、そこに守る側の人たちのデータがあれば、本気に対策するだろう。

デジタルデータの管理になり、情報量が大量になってくると、野菜の山盛り皿売りのような管理になっている。

もしも、その中に自分のプライバシーに係わる情報があったとしたら、新聞紙上を賑わすような問題は減ってくるだろう。

明確に分けて考えることも一方で必要な事だが、結局は似通ってきてしまうところ。

個人の情報が、これだけ色んなところにある以上は、対策側にしっかりと保護してもらうことしかできない。

逆説としては、一切個人が情報を出さない・・・

情報がなければ、漏れようがないってこと。

現実そんなことはあり得ないことだからこそ、リスクは漏れちゃう側にある。

漏れることを前提として対策案を考え、実行することが最も重要な点になるのだ。

| | コメント (0) | トラックバック (0)

« 2007年4月 | トップページ | 2007年6月 »