大阪府交野市の山本けい市長の私物PC

久しぶりに投稿します。
半年以上サボっていたのは、単にやる気が無かったからです。

2022 年 10 月 25 日、大阪府交野(かたの)市の市長である山本けい氏のツイートが注目を集めました。

(2014 年に女子中学生を脅迫したことで有名になった方です。)

そのツイート自体はこの記事を書いている 28 日時点では削除済みですが、
23 日に公式ブログに投稿されていた近い内容の記事(こちらも削除済み)は、WEB魚拓が保存されています。

 

続きを読む

経営課題としての IT セキュリティ(下)

前回の記事で言いたかったことを簡潔にまとめると、「経営課題としての IT セキュリティは、リスクマネジメントに属する。」です。

 

経営者は、「経営」という壮大なテーマの業務を抱えています。
あまりにも壮大すぎて、その全容を明確かつ具体的に言葉で表現することは、少なくとも私には無理です。

ですが、「経営」の中の中心的な業務を(大雑把ですが)いくつかのテーマに分けて、「何々マネジメント」と呼ぶことができます。
そのうちの一つがリスクマネジメントです。

 

続きを読む

経営課題としての IT セキュリティ(上)

「IT」と「IT セキュリティ」は、切っても切れない関係です。企業でも家庭でも。

このブログをお読みの皆さんの勤務先では、「IT セキュリティ」の担当部署はどちらでしょうか。
「IT」と同じく、いわゆる「情報システム部」が担当されているケースが多いではないでしょうか。

では、「IT セキュリティ」は「IT」という概念の中に含まれる小テーマなのでしょうか。

私はそうは思いません。
少なくとも、「経営課題としての IT セキュリティ」については、完全に異なる分野だという認識です。

 

続きを読む

本物の情報を利用した嘘

IT Proの記事によると、「2017年9月19日」にDNSが使えなくなるかもしれないらしい。

決して確実ではないが、DNSSECに用いる鍵の更新の影響で、そういうことが起こり得るんだそうだ。

 

 

こういうニュースが実在することで、攻撃の手口として利用されてしまうのではないか?と懸念している。

例えば以下のような攻撃シナリオだ。

 

続きを読む

続・ランサムウェア再び

前回の記事で、Petya亜種に関するサイトをいくつか紹介しましたが、その最後の「CNET Japan」にはセキュリティパッチ適用以外の予防方法が載っています。

(本来は、セキュリティパッチ適用がベストな予防方法です。)

 

続きを読む

人はなぜ騙されるのか。

ここ数日のIT系ニュースは、ランサムウェアの話題で持ち切りです。

多くのニュースは、最後に「対策」を書いて締めくっているのですが、その内容はどれも似たり寄ったりで、「OSに最新のセキュリティパッチを当てましょう。」や「怪しいメールの添付ファイルは開かないようにしましょう。」といった、常識的なものばかりです。

 

続きを読む

サイバー犯罪の現場

タイトルの「現場」は「げんじょう」と読んでください。

警察や消防では、「げんば」とは読まずに「げんじょう」と読むそうです。

 

警察は基本的に都道府県単位の組織であり、各組織の中に「サイバー犯罪担当部署」が置かれています。

 

続きを読む

CCCの対応がちょっと残念だった件<前編>

CCCというのは、カレー屋さんでもなければ缶コーヒーでもありません。
ちょっと聞きなれないかと思いますが、レンタルビデオで有名な「TSUTAYA」を運営している会社です。
正式には「カルチュア・コンビニエンス・クラブ株式会社」といいます。

TSUTAYAの会員になると発行される "Tカード" は、コンビニなど多くの提携企業でも使えます。
意外なところで会計時に「Tカードをお持ちでしょうか?」と聞かれ、
「こんなところでも使えるんだなぁ」と驚いたことのある方も多いと思います。
本日は、あのTカードの個人情報の管理についてのお話です。

5月4日、佐賀県武雄市樋渡啓祐市長が、市立図書館の利用者管理に
Tカードを全面導入する計画を発表して話題になりました。
まだ"提携基本合意"という段階なので、具体的にどういう形で運営されるのかは未知数なのですが、
市長の記者会見を報じるネット上のニュースにおいて、少々気になるところがありました。

利用者の個人情報の扱いについて、市長が
「何を借りたかっていうのは、なんでこれが個人情報だ!って思ってる」
と発言したそうです。

市長の構想としては、貸し出し履歴のデータを元に、
amazonのような「リコメンド」をしたいそうです。
「もちろん市民の同意の上」とも言っていますが。

この発言に対し、「貸出履歴が個人情報じゃないわけないだろ!」というツッコミが
ネット上で散見されました。これはまあ、フツーの反応だと思います。

これに対し市長は、5月6日の自身のブログに反論を掲載しました。
曰く、
「具体的に言うと、「樋渡啓祐が「深夜特急」「下町ロケット」「善の研究」を5月6日に借りた。」
この情報が外部に出るとこれは個人情報の関係法令の適用に当たる、これは当然。
僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、
「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、
個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない、これが僕の見解」
とのことです。

たしかに、個人情報保護法における個人情報の定義は「特定の個人を識別することができるもの」です。
なので、個人が容易に特定できないよう加工されたデータは、個人情報ではありません。

どうやら市長が言いたかったのは、人間視点からの「誰が何を借りたか」という情報ではなく、
本の視点からの「この本はどれぐらい借りられているか、どんな本と一緒に借りられているか」
という情報だったようです。
あの言い方(上述)では誤解されても仕方が無いと思いますが。

ですがTカードを利用する以上は、個人を特定できる情報、つまり
「樋渡啓祐が「深夜特急」「下町ロケット」「善の研究」を5月6日に借りた。」という情報は
図書館だけでなくCCCにも共有されます。
少なくとも、「樋渡啓祐が本を3冊借りた」という情報はCCCにも共有されるはずです。
でないとポイントの管理が出来ませんからね。
(厳密に言いますと、ポイントの管理をしているのはCCCの100%子会社である株式会社Tポイントです。)
あるいはもしかしたら、その手のデータは全てCCC側で集中管理していて、
図書館など提携企業側で自前のデータベースを持つことは無いのかもしれません。

まだ構想段階なので、どのような情報がどういう範囲で共有され、何に利用されるのかは
具体的にはほとんど決まっていませんが、慎重に取り組んでいただきたいと思います。

さて・・・

図書館の話はまだ先のことだとしても、Tカードはすでに多くの企業と提携しています。
私もTカードを持っているのですが、このニュースについて調べているうちに、
私の各種利用履歴がどのように扱われているのか、だんだん気になって来ました。

私がコンビニでシュークリームを買ったのが今日の何時何分なのか、
そんな情報がもし全提携企業間で共有されていたら、さすがにちょっと嫌ですから。
なにしろ4社や5社どころではないので。
そこで、CCCの問い合わせ窓口に直接聞いてみることにしました。
(問い合わせフォームはこちら

つづく

パーソナルファイアウォール

自宅のPCには、フリーのセキュリティソフト「COMODOインターネットセキュリティ」を入れています。
これはアンチウイルス機能よりも、もっぱらパーソナルファイアウォールの機能が良いことが評判です。
かなり細い設定でフィルタリングしたり、通信ログを取ることができます。
この自宅のPCは、アイオーデータのブロードバンドルーターにある
ダイナミックDNS」機能を使い、外からのリモートデスクトップを許可しています。
(必要無い時は繋がらないようにしていますが。)
先日、久しぶりにリモートデスクトップ接続の着信ログを見てみたところ、
身に覚えのない着信が結構ありました。
接続までは許可していないので侵入はされていないはずですが、
油断できないものです。
発信元のIPアドレスをいくつかブラウザに入力してみると・・・
中国語のサイトが現れました。
まあ、そういうことなんでしょうね。