一般社団法人サービスデザイン推進協議会とは何者か。「持続化給付金」事務局の謎めいた正体を考える。|東京蒸溜所 蒸溜日誌
はじめに 2兆3,176億円という壮大な予算額を計上し、2020年5月1日より受付が開始された政府の「持続化給付金」。所管は経済産業省(正確にはその外局たる中小企業庁)ですが、経産省はその執行にあたって「民間団体等に委託する」旨を、当初から明らかにしてきました(画像1)。 ※経済産業省関係令和2年度補正予算の事業概要(PR資料)p.13より引用。 民間団体への委託規模としては、類例を見ないほどに巨額のお金(しかも国費)が動く、今回の持続化給付金。しかも委託先にはその事務費(手間賃)として約769億円が支給されます(記事の⑤をご覧ください)。政府による布マスク配布事業の2倍近いお金が、一団体に流れ込むというのです。 令和2年補正予算案のもう一方の目玉であった10万円の一律給付(特例定額給付金/総務省所管)については市区町村を介しての給付となりましたので、民間委託はこちらのみ。委託先はどこが選
月曜の朝から、とっっっても重いニュースが流れてきました。 www.nikkei.com www.itmedia.co.jp www.smbc.co.jp 自分の購買情報や財務情報にさほど価値があるとは思っていませんが、CCCのような姿勢の企業の利益獲得に協力する形になるのは、まっぴら御免です。 という訳で、Vポイントの付与等の対象となっている三井住友カードを解約して他のカードに乗り換えることを真面目に検討しています。 私は三井住友銀行にも口座がありますが、ここではVポイントへの「おまとめ」の設定を私は実施していないので、今回のSMBCによる発表の各種資料をざっと見る限りにおいては、三井住友銀行の口座を急いで閉鎖する必要は無さそうです。それでもいつまで安全なのかは不明なのと、そもそもCCCとの提携(しかもopt-in方式ではなさそう)を真面目に検討している経営陣が居る会社のサービスを利用する
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
JIPDECがリクルートキャリアのプライバシーマークを取り消した。学生の内定辞退率を予測して他社に販売するサービス「リクナビDMPフォロー」に個人情報の取り扱い不備があったと判断したため。同社はJIPDECの認定個人情報保護団体からは脱退しない。 就職情報サイト「リクナビ」を運営するリクルートキャリアは11月14日、学生の内定辞退率を予測して他社に販売するサービス「リクナビDMPフォロー」(8月4日付で廃止)に個人情報の取り扱い不備があったとして、日本情報経済社会推進協会(JIPDEC)からプライバシーマーク(Pマーク)を取り消す措置を受けたと発表した。 リクナビDMPフォローは、リクルートキャリアが2018年3月に始めたサービス。(1)顧客企業から応募者の個人情報(19年2月まではCookie情報、3月以降は氏名など)を提供してもらう、(2)リクナビの持つ情報と照合し、利用ブラウザや個人
Webフルスタックエンジニアになるためのチェックリスト Zennでの投稿にあたって この記事は、2020/03/22に自分のgithubリポジトリで公開していた内容を、Zennのgithubリポジトリ連携機能を用いて一般公開したものです。 投稿にあたって、Zennの記事連携フォーマットに準拠する以外の修正は加えておりませんので、一部Zennというプラットフォームの方針や雰囲気に合わない内容などあるかもしれません。あらかじめご了承ください。 はじめに 日本のWeb開発業界で「フルスタックエンジニア」になるために必要な知識を、個人的経験からまとめました。 フルスタックエンジニアの定義ですが、ここでは、 企業で開発リーダー/テックリードとして、Webブラウザアプリケーションを前提としたサービスの立ち上げからリリース、運用まで面倒を見られる。 というロールと仮定し、前提条件としては、どちらかという
オペレーション部 江口です。 私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。 このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。 具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。 https://classmethod.jp/policy/ 作成・公開の目的 当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。 ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。 そうしたお問い合わせの一助として、
殺害予告された
やっぱ暑いとみんなイライラするもんで、エアコン壊れた客のヒートアップ具合はすごい。気温に比例するのかな。 夏のエアコン故障と冬の給湯器や暖房故障を比べると、経験上よりキレられがちなのは夏だと思う。頻度も怒りの最大値も、夏の方がヤバい。 特に小さいお子さんが居るという人は本当に強く当たってくる。親の愛情ってすごいなーと思う。 私の職場であるコールセンターにはそういったバチバチに切れたお客様からの連絡が日々あり、最近久しぶりに殺害予告されたので文章にしておく。 言われた内容としては「殺すぞ、ついては事務所の場所を教えろ。態度が気に食わないから直接攻撃しに行く」みたいなことだった。 そこに至るまでには何時間にも渡っていろんなことがあったらしいけど、詳しくは知らない。 休憩に行く時間になった同僚から、状況をまとめた資料とホッカホカの客を渡されていきなり怒られた状況だったから。 殺すとか殴りに行くみ
BigQueryのセキュリティ対策手順
風音屋では、データエンジニア、データアナリスト、データコンサルタントを募集しています。 書籍執筆者やOSSコントリビューターなど、業界を代表する20名以上のアドバイザーと一緒にベストプラクティスを追求できる環境です。 ぜひカジュアルトークをお申し込みください。 風音屋アドバイザーの山田雄(@nii_yan)です。 データ活用においてセキュリティ対策が最重要トピックであることは言うまでもありません。 風音屋でBigQueryの導入支援を行うにあたって、どのようなセキュリティ対策を行っているのかをご紹介します。 この記事の全体像 この記事は2つのパートに分かれています。 最初に、BigQuery導入プロジェクトを始めるにあたって、セキュリティ観点でどのようなコミュニケーションが必要になるかを説明します。 次に、一般的な情報セキュリティ対策である「抑止」「予防」「検知」「回復」の4つの観点にもと
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワード
元BIG4コンサルが中小企業のセキュリティ対策を考える
記事の執筆背景 私がベンチャー企業にジョインしてみて、これまで各領域では百戦錬磨の猛者たちも、セキュリティの分野となると結構ちんぷんかんぷんで、 セキュリティの専門家同士で話している中ではもはや当たり前であることは、一般事業会社や、ベンチャー企業では全く当たり前ということはないということを肌で感じた。 そのようなメンバーの環境の中で、さらに判断をより難しくさせるのは、「推進側にプロジェクトスコープなんてものはない」ということである。 コンサルのプロジェクトは受注した時点でプロジェクトリスクを最大限提言するために、業務実施スコープをできるだけ制限し明確に決定することから、コンサル時代であれば 「〇〇の対策をすべきです(ただし、手間はかかりそうだし、一番嫌がっていた○○部長が大変になりそうだけど、そういうのはいったん考えないでいいか)」というようなアウトプットも出されていたりするのだけれど、
一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマ
社内の情報共有ツールを Qiita:Team から esa に乗り換えました - Feedforce Developer Blog
猛烈に暑かったり暑くなかったりするなか皆様いかがお過ごしでしょうか。自宅のエアコンが故障して修理待ち半月の id:tmd45 です。 先月、5 年間使い続けてきた Qiita:Team から esa へ、情報共有ツールの乗り換えを行いました。80 名ほどの全社移行となかなか大きなプロジェクトだったので、ここに記録を残したいと思います。 なぜ乗り換えに至ったか フィードフォースの情報共有文化 抱えていた課題 動き出した移行プロジェクト 検討した情報共有ツール esa に決めるまで 社内への働きかけ データ移行のノウハウ Emoji の登録 記事データの移行 プロジェクトページ記事の扱い プライベートグループの記事の扱い メンバーの移行とデータの移行のタイミング esa と一緒に使っている便利ツール 記事の自動作成「自動 esa やり機」 Slack に記事 URL から概要を展開してくれる「
WebベンチャーのエンジニアがコーポレートIT立ち上げで学んだ6つのこと - SMARTCAMP Engineer Blog
はじめまして、スマートキャンプの郷田と申します。 この記事では、エンジニアがコーポレートITを立ち上げた経験を元に学んだことをアウトプットしています。 コーポレートITに関わる人の助けになればいいなぁと思って書きました。 経緯 立ち上げの過程でやったこと 情報セキュリティの勉強 コーポレートIT関連の業務の切り出しと巻取り 社員の教育や啓蒙活動 Pマーク申請・取得 採用 立ち上げで学んだ6つのこと 1. セキュリティやシステム管理の知識 2. 想像以上の悲惨な状況 3. バックオフィスの業務 4. 社員のセキュリティへの漠然とした不安 5. 協力者の重要性 6. 自分がやるべきこと コーポレートIT部門をこれから作る企業へ 必要だと感じている方 立ち上げてみたいエンジニアの方 今のスマートキャンプ の状況 さいごに 経緯 2016年の10月頃にスマートキャンプにエンジニアとして入社しました
海外のデータ保護に関する規制強化が大きなリスクに企業におけるデータ管理体制が問われるようになっている。最近では、欧州の「一般データ保護規則」(GDPR)、米カリフォルニア州の「消費者プライバシー法」(CCPA)など、厳しい規制も登場している。日本企業にはどのような影響があるのか。TMI総合法律事務所の寺門峻佑弁護士は次のように答える。 「GDPRは2018年5月に施行されました。当時は、企業として、法令に準拠するための体制整備についての相談が舞い込みました。最近は企業としての体制整備は進んでおり少し落ち着いていますが、一方で、海外にも顧客のいるアプリやゲーム、クラウド上で各種サービスを提供するSaaSビジネスを展開する際に、海外の法令に準拠しなければならない要請があり、その種の依頼が増えています」 データを取り扱うビジネスを行っている企業にとって、GDPRやCCPAなどの法令は当然知ってい
一方、パスワード付きzipファイルを廃止した場合の代替手段をどうするのかという指摘が複数上がっていた。こうした声に対し、平井氏は「民間同士の話もあるし、民と官の話もあるので、ヒアリングさせてもらいたい」とし、「どんなアイデアがふさわしいか広く皆さんのご意見をアイデアボックスで募集したい。柔軟に対応しながら一番ベストな方法を探していく」と述べた。 霞が関でのPPAPの運用については、来週以降、具体的な手順や方針を発表するという。 関連記事 “Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」 一般財団法人日本情報経済社会推進協会(JIPDEC)が、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 freee、パスワード付き添付ファイルのメール受信を廃止 クラウ
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
誤送信を防止できた経験のアンケート 平野善隆氏(以下、平野):変なの第2弾で、誤送信防止の観点でのPPAP。「パスワードを送らないことで誤送信を防止できた経験がありますか?」というアンケートで、「複数回ある」「1度だけある」が合わせて13パーセントぐらいいて、それらの方がPPAPのパスワードを送らないことで誤送信を防止できたと言っています。 一方、先ほどのセッションで同じ話がありましたが、パスワードを送らない、元のzipのファイルは送っちゃったという状態が、情報漏洩に当たるのか当たらないのかは、けっこう意見が分かれています。パスワードを送らないことで誤送信防止が成り立つような考えがあるように見えて、実は情報漏洩に当たると。「なんかちょっとおかしいんじゃないの?」という気はしますが、もうちょっと分析してみました。 「1度だけある」と「複数回ある」と誤送信を防止できた経験のある方の意見を出して
個人情報保護委が、企業のCookie利用を規制する方向で検討していると明らかにした。リクナビ問題を機に、Cookieと他の情報を結合して個人を特定する行為を問題視していた。今後の展開は12月中に発表するという。 政府の個人情報保護委員会は11月26日、企業のCookie利用を規制する方向で検討していることを明らかにした。同委は“リクナビ問題”を機に、Cookieと他の情報をひも付けて個人を特定する行為を問題視しており、再発を防ぐ狙い。この行為を制限する内容を個人情報保護法の改正案に盛り込み、2020年1月の通常国会で提出する可能性があるという。 規制の詳細は未定で、法案提出ではなくガイドラインの制定にとどめることも検討中。12月中に今後の展開を発表するとしている。 今年8月、就職情報サイト「リクナビ」運営元のリクルートキャリアが、学生の内定辞退率を予測して他社に販売していたことが発覚した。
「○○門○○門」「ガリ○○ガリ○○」? Pマークの駅広告がバズった納得の理由(ITmedia ビジネスオンライン) - Yahoo!ニュース
2月5~11日、東京・大手町駅にユニークな広告が掲載された。「ちゃんと隠さないと、個人情報は特定される」というメッセージと、一部を黒塗りにした人物名らしきものが5つ並んでいる。 2月12~18日にJR大宮駅に掲出した広告 妹子……といえば、小野妹子? なるほど、歴史上の人物名のようだ。シェイク……スピア! 「門」が2つ入る名前といえば……誰だろう? ガリ、ガリ……だめだ、お笑いタレントさんの名前しか浮かんでこない。 これは、個人情報保護の大切さについて、消費者の意識向上を促す取り組みを続ける一般財団法人「日本情報経済社会推進協会」(JIPDEC)が展開している広告だ。歴史上の人物をクイズ感覚で考えさせる手法が、SNSなどで話題を呼んでいる。 どのような着想から、今回の広告は実現したのか。同協会で広告展開を担当する、プライバシーマーク推進センターの福岡峻さんに話を聞いた。 ビジネスパーソンで
人類がZIPのパスワードを直後のメールで送る理由
IPAが公開している電子メール利用時の危険対策のしおりの影響 https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf ‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘ 普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい コストも安いとなると多くの企業が飛びついたのだろう、次! PマークやISMSを取得するために必要だから JIS改正に伴うプライバシーマーク審査基準の改正について https://www.jisa.or.jp/service/p
Paperpileとは、MendeleyやEndNoteと同様に文献を管理するためのツールです。 ネット上で見つけたお気に入りの文献をPaperpileに保存し、管理するためのツールですね。 さてそんなPaperpileを使うことで、どんなことが可能になるのでしょうか? Paperpileには以下の機能が備わっています。 文献の保存Wordなどへの引用文献の付与他のユーザーとの文献の共有管理 「この文献は面白そうだな」と思えば、Paperpileに放り込み、 「今書いてる論文に、この文献を引用しよう」と思えば、Paperpileから引き出し、 「共同研究者にこの文献リストをシェアしよう」と思えば、Paperpileで共有する そんなことを可能にしてくれます。 「そんなのMendeleyとかEndNoteとか他の文献管理ツールでもできるじゃん?」 そう思われるかもしれません。 機能だけでみれ
プライバシーマークを運用するJIPDEC、公表を希望しない審査員登録者175人分の氏名を誤掲載 | スラド セキュリティ
プライバシーマーク(Pマーク)を運用する日本情報経済社会推進協会(JIPDEC)が1月27日に公開した「プライバシーマーク審査員登録者一覧」に、公開を希望していない人の氏名175人分が含まれていたことが発覚。1月30日に修正したが、検索エンジンのキャッシュに公開を希望していない人の氏名情報が残っており、2月3日に審査員登録者から指摘を受けたという。その後同協会はキャッシュの削除を依頼、2月4日には実際に削除が行われたとのこと(Security NEXT、JIPDECの発表)。 同協会は個人情報の取扱い手順について、改めて全役職員に周知徹底するとしている。JIPDECが運用しているプライバシーマークは、「事業者の個人情報を取り扱う仕組みとその運用が適切であるかを評価し、その証として、事業活動においてプライバシーマークの使用を認める制度」となっている。
改めまして株式会社ミクスチャーの楠美と申します。 以前勤めていたリクルートキャリアの個人情報保護法違反についてツイートしたところ、思いのほか大きな反響を得てしまった為、この問題について述べると共に、リクナビ2020、リクナビ2021に登録している学生について、どの様に自身の個人情報が利用される可能性があるか、そのリスクについて説明をしていきたいと思います。 正直随分と長くなってしまいましたので、「リクナビの内定辞退率に関する問題の経緯」、「個人情報保護法違反について」等は学生は読み飛ばしても良いかなと思います。また法解釈については弁護士でもないため、現法を読んだ上での私見であることをご理解ください。 最後に弊社は営利企業につき、後半部分を有料としている点についても、合わせてご理解ください。 リクナビの内定辞退率に関する問題の経緯発端は8月1日の日本経済新聞の報道で「リクルートが学生の内定辞
自社の売上をぐんっと増加させるため、より効果的な開発の進め方を知りたいと思いませんか。 せっかく開発の仕事が取れても開発できるエンジニアがいない。そして売上の機会損失。 このような悪循環に陥ってないだろうか。 これだけサービスがありふれた時代にそんなもったいないことはもうやめましょう。 それでは何があるのか・・・ 「オフショア開発」を利用しましょう オフショア開発と聞いて、 海外で海外の人材を活用し開発を進めることに不安を覚えている方もいるかもしれませんが、 日本人が関わる体制をしっかり構築できれば、より安定した開発につながると考えられます。 また、全体像は分かるけど具体的な進め方がわからない方も多くいるかと思いますが、 本記事では、オフショア開発を利用するための手順を全5ステップにまとめております。 すぐに行動できるように具体的な内容で解説していますので、 マニュアルとして読み返しながら
年始は要注意!サーバーやHDDレコーダーの重度障害を復旧しまくるデータ復旧のプロによくある障害や業者の選び方について聞いてみた
年末年始の長期休暇に合わせて普段実行しない大規模なデータ移行を行ったり、久しぶりにサーバーの電源を落としたりすると、ストレージに不具合が発生してデータが失われてしまうことがあります。95.2%という業界屈指の復旧成功率と累計36万件の相談実績を持つデータ復旧のスペシャリスト集団「デジタルデータリカバリー」では、構成不明なサーバーを完全に元通りに復旧したり、泥まみれになったHDDレコーダーからデータを無事に取り出したりと、他の復旧業者では断られてしまうような高難度ケースでもデータを復旧してくれるとのこと。そんなデジタルデータリカバリーの中の人と話す機会を得られたので、データ復旧業者の選び方や高難度ケースの復旧事例について詳しく聞いてみました。 データ復旧.com【デジタルデータリカバリー】|復旧率95.2%のデータ復旧・復元サービス https://www.ino-inc.com/ 今回は、
SOC2ってなに?テイラーは、エンタープライズ向けのソフトウェア開発基盤を提供しているため、セキュリティをとても大切にしています。 特に、米国市場においては、SOC2という認証規格が、エンタープライズにおけるソフトウェア選定・ベンダ選定の際に見られることが多く、「持ってて当たり前」の認証になりつつあります。日本でも個人情報を扱うコールセンター受託などの事業者が「Pマーク」や「ISMS」を持っているのが当たり前なのと似たような感覚と考えてOKです。 SOC2は基本的には個人情報のみならず、ソフトウェアセキュリティ全般の体制および内部統制が、基準を満たすことを、外部の監査人(CPA)がお墨付きを与える制度になっており、一般的にはISO27017(日本では「ISMSクラウドセキュリティ認証」と通称されているISO規格)よりも高難度であると解釈されています。 (厳密には、ISOが規格のフレームワー
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた:パスワード付ZIPメール(1/3 ページ) 11月、平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPファイルの使用を廃止する方針を打ち出しました。これを機に、パスワード付きZIPファイルをメールに添付して送り、その直後にやはりメールで解凍のためのパスワードを送る「PPAP」──すなわち「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」と呼ばれる方式に反発する声があちこちで沸き起こっています。 PPAPは多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれています。しかし後述する通り、この理由には明確な根拠が見つかりません。その上、セキュリティの効果はあまりないにもかかわらず、メ
CTO室情報システム担当の吉澤です! 前回ISMSとPマークの違いについて 書かせていただきました。 今回も引き続き紹介させていただきます。 先日、ISMSの内部監査を行いました。ROXXでは2回目、私のキャリアとしては初の監査となりました。 今回の記事ではこの内部監査にお話します。 監査に必要なタスクの洗い出し 監査に備え、必要なタスクを洗い出しました。 マインドマップを利用したので、イメージをつかんでいただければと思います。 このマインドマップで全体のタスク量を把握しつつ順に準備を進めていきました。 各部署へのヒアリング内容 具体的な業務は各部署ごとにヒアリングをしながら項目の確認をすすめていきます。 ヒアリング内容は主に3点を担当しました。 情報資産の洗い出し リスクアセスメント 教育 3点とはいえ業務としては多岐にわたっていたので、作業として最も時間を要したリスク管理について書いて
2019年7月6日紙版発売 2019年7月1日電子版発売 沢渡あまね 著 特殊判型判/128ページ 定価1,408円(本体1,280円+税10%) ISBN 978-4-297-10621-8 Gihyo Direct Amazon 楽天ブックス honto ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo この本の概要 昭和の常識,もうおしまい! 累計20万部突破「問題地図」シリーズ著者・沢渡あまねの新境地 「郵送」「印刷して配布」 「とりあえず打ち合わせ」 「手書き」「メールを送ったら電話で確認」「押印」 「メール添付で圧縮してパスワードつけて,パスワードは別送」 「ひたすらテレアポ」「とにかく相見積り,コンペ」 「年末年始の挨拶や表敬訪問」「スーツ&ネクタイ」「ダイバーシティごっこ」 ちょっと待って,そ
2019年11月の、これだけは押さえておきたいWeb関連の動き
Webニュース 2019年11月の、これだけは押さえておきたいWeb関連の動き Wednesday, December 4th, 2019 「Web系の最新情報を知りたいけど、日々業務が忙しくて追いかけられない」という方のために、1ヶ月のWeb系ニュースの中で「これだけは押さえておきたい」というものを1つの記事にまとめています。 Webデザイン・アクセシビリティ Figmaチームが本国から来日! Figma Tokyo Meetup レポート – Yahoo! JAPAN Tech Blog 私も参加していましたが、日本でのFigmaの盛り上がりを改めて感じました。 どんなふうに見えてるの? 色覚に配慮したUI設計事例 #UI – Yahoo! JAPAN Tech Blog Yahoo!ファイナンスの例などを挙げ、色覚に配慮したUI設計について書かれています。 コーディング CSSフレー
発表内容はあくまで第一報であり、その中で「システム全般面における第三者検証を開始する」とあるため、サイバー攻撃の手口といった詳細は今後明らかになっていくはずだ。 今回の事象は学ぶべき点も多く、本件とは無関係の企業、サービスも場合によっては対応を考えるべきだ。“Omiai事件”から学ぶべき点を考えてみよう。 根本的な問題は何だったのか 関連記事 2020年に最も漏えいした、最悪のパスワードとは? ソリトンは5月18日、「日本人のパスワードランキング2020」を発表した。2020年、最も多く漏えいが発見されたパスワードとは? VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ? テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。
平井卓也デジタル改革担当相が打ち出した、パスワード付きファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)の廃止に向けて、霞が関が動き始めた。内閣府と内閣官房は11月26日、ファイル送信時の新ルールの運用を開始。今後、外部へのファイル送信には主に共有ストレージを活用するとしている。 内閣府では25日、全職員に新ルールを通知した。これまでは職員が外部向けのメールにファイルを添付して送信すると、ファイルのZIPファイル化からパスワードメールの送信までを自動化するシステムを導入していたが、このうちパスワードの同時送信機能のみを停止した。事実上、PPAPを廃止した。 内閣府情報化推進室によると、今後は外部へのファイル送信には内閣府のストレージサービスを活用し、ファイルを共有する。外部の事業者などには内閣府のシステムにアクセスするためのURLとログインパスワードを発行。URLやパスワード
SMILE-UP.(旧ジャニーズ事務所)は、所属タレントの個人情報をSNS上で売買する行為について注意喚起を行った。タレントの個人情報や盗撮写真の売買を目的とするSNSの投稿を確認しているという。 SMILE-UP.(旧ジャニーズ事務所)は11月24日、所属タレントの個人情報をSNS上で売買する行為について注意喚起を行った。タレントの個人情報や盗撮写真の売買を目的としたSNSを確認しているという。同社は「警察機関にも相談の上、アカウント投稿者の特定を進め、法的措置も視野に入れる」と表明している。 X(元Twitter)上では22日ごろ「同社所属タレントの個人情報の売買を募る投稿がある」とする指摘が話題に。実際、X上ではタレントの実家の住所や、利用している鉄道路線、プライベートの写真などを売買していると思しき投稿が多数見られる。投稿内容には独自の隠語が使われており、DMや外部サービス上で売買
日本のIT関連団体を束ねる日本IT団体連盟(以下、IT連)は、日経500種平均構成銘柄の企業を対象に、情報セキュリティへの取り組みや情報開示の体制について“格付け”する取り組みを始めた。初年度は500社中42社が「特に優良で他の模範となる」として星を獲得した。 調査期間は2021年7月~9月上旬。各社の有価証券報告書やコーポレートガバナンス報告書、企業Webサイト、ISMS認証、Pマークといった公開情報を参照した他、各社が公開していない情報セキュリティの取り組みを確認するアンケート調査も実施。これらを総合的に評価した。 業種別の傾向では、保険業6社中6社が「おおむね積極的な情報開示を行っていた」として1位に。次点は情報・通信業で「情報開示度合いにばらつきが大きい。通信は積極的である一方、情報(IT)には消極的な企業が複数社あった」としている。その他製品、電気・ガス業、卸売業もばらつきはある
ChatGPTを仕事で活用するためのビジネスパーソン向け無料教材「ChatGPT道場」を公開します。法人内でのChatGPT導入時の研修資料や独学用の教材として是非ご利用ください。本記事『基礎編』に続き、より実務に合わせた『応用編』なども予定しています。 ChatGPT道場とは?ChatGPT道場は、誰もが簡単にChatGPTを業務利用できるようになるための完全無料のレクチャーコンテンツです。課題を通じて、ChatGPTの基礎的な使い方に始まり、最終的には、日々の業務でChatGPTによる業務効率化を試行錯誤できる程度の実力を身につけることを目指しています。「私、ChatGPTを使った業務効率化できます!」と言えるようになりましょう! ChatGPT道場は、主に以下のような方を想定読者としています。完全初学者向けコンテンツのため、AIやプログラミングの知識は一切必要ありません。Twitte
クラウド・ネイティブ活用のために必要なこと 及川卓也氏(以下、及川):次に「クラウド・ネイティブを活用するために必要なことは?」です。クラウド・ネイティブ以前に、今我々が住んでいる日本のITの現状はどうなのか? 『ソフトウェア・ファースト』を読んでいただいた方はわかると思いますが、私自身危機感を持っていて、おそらく登壇されている3人もそうだと思います。 典型的なのは、クラウドへの移行がほかの先進国に比べて遅れている。それ以前に、ITのリテラシーが遅れている。 なので、クラウド・ネイティブと言っていますが、日本のITのイケていないところということで、そもそも何が必要なのかをお聞きしたいと思います。今度は羽山さんからお話しいただいてもよろしいですか。 羽山祥樹氏(以下、羽山):最近感じたことがあったので、それをお話しさせていただきます。ワールドワイドのことはわかりませんが、セキュリティ絡みの話
御池岳の山池群(滋賀県東近江) - 水辺遍路
ver.3.21抜粋(2023年9月更新) それは山上の空母。テーブルランドの空中庭園に点綴する、魅惑の山池群 池が名に冠せられた山は、池好きにとってみれば特別のものがある。隕石クレーターのある長野県の御池山(1,905m)も心躍るが、東海と近畿を隔てる鈴鹿山脈にも、堂々、御池岳(1,247m)がある。しかも鈴鹿山系十座の最高峰。水は低きに流れる。池もまたしかりであるが、池の名が付く山が最高峰というのはどういうことであろうか。 この山を流れ下る水は御池川となり、刻まれた谷は御池谷。池尽くしに加えて、雨乞い信仰もあるとなれば、居ても立ってもいられない。 それは山上の空母。テーブルランドの空中庭園に点綴する、魅惑の山池群 御池岳の山池群の景観と形態 広大な「日本庭園」は山火事がもたらした 冬は「青のドリーネ」を彩る山池 まるで空母の甲板。山上テーブルランド 墓石地形とも呼ばれるカルスト空中庭園
小特集「さようなら,意味のない暗号化ZIP添付メール」より 崎村夏彦(NAT コンサルティング) 大泰司章(PPAP 総研) 楠 正憲(国際大学Glocom) 上原哲太郎(立命館大学) 背景はこちらの記事をご参照ください. 長文の記事です.分割して読みたい方は,こちらからどうぞ. PPAP の定義 崎村:さて,本日は「社会からPPAP をなくすには?」というテーマで座談会を行いたいと思います.アジェンダですが,PPAP の定義,PPAP 賛成の論拠への反論,より良い方策を議論します.まずPPAP の定義ですが,オフラインで鍵を共有するのもPPAP だと思っている方もいらっしゃるようなのですけれども,それは違いますよね. 大泰司:1 通目にZIP を暗号化して添付ファイルを送って,2 通目でパスワードを送るというやり方です.2 つの軸があって,パスワードを同じ経路を送るか,違った経路で送るか
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
三井住友カードからの脱出先の検討メモ - 職業プログラマの休日出勤
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
リクナビ運営元に「Pマーク」取り消し措置 “内定辞退予測”を問題視
Webフルスタックエンジニアになるためのチェックリスト
クラスメソッド 標準セキュリティチェックシートを公開しました | DevelopersIO
パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
規制強化で高まるDX推進リーダーの法律リテラシーの重み
“PPAP”の代替手段は「アイデアボックス」で募集へ 平井デジタル相
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
12文字以下のパスワードは解読可能 普通のパソコンでも1秒間に50億回は解析できる
個人情報保護委、Cookie利用の規制案を検討中 12月中に発表へ “リクナビ問題”の再発防ぐ
リクナビ問題でリクルートキャリアの「Pマーク」取消し - 弁護士ドットコムニュース
【研究者が解説】神ツール”Paperpile” 文献管理を10倍効率化
リクナビ2020、2021に登録している学生が被るリスクについて|楠美 義明|note
オフショア開発を成功させるための実践的な進め方【5ステップ】
担当者なしでセキュリティ認証 SOC2 Type2 を取った話|テイラー(YC S22)
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた
ISMSの内部監査に向けて行ったこと - ROXX開発者ブログ
仕事ごっこ ~その“あたりまえ”,いまどき必要ですか?
「Omiai」情報漏えい事件、何がダメだったのか 他の会社も「他人事ではない」理由
内閣府と内閣官房で脱“パスワード付きZIP”運用を開始 ファイル送信は内閣府のストレージサービス活用
「SNSでタレントの個人情報の売買止めて」──旧ジャニーズ事務所が注意喚起 法的措置も視野に
情報セキュリティ体制の“格付け”、IT連が開始 初年度は42社が星獲得
ビジネスパーソンのためのChatGPT道場-基礎編-|松田光希 / Mitsuki Matsuda
日本はクラウド導入の「抵抗国」 クラウド・ネイティブ推進を阻むもの
座談会 「社会からPPAP をなくすには?」|情報処理学会・学会誌「情報処理」