危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン:Security&Trust ウォッチ(36) 前回のコラム「メールアドレスを漏えいから守る方法」では、メールアドレスという情報の重要性の見直しと漏えいから守る方法について紹介した。しかし、残念ながらどんなに個人情報保護対策を行っていたとしても、漏えいする可能性は0%にはならないものだ。 日々の対策を実施することも重要であるが、万が一漏えい事件が発生してしまった後の対処方法を知っておき、その状況になったときに確実に対応できるように危機管理体制を整えておくことが重要である。事件後の対処方法次第で個人情報漏えいを起こしてしまった企業のイメージがどれぐらい回復できるかが決まってくる。情報資産の扱いを甘く見てはならない。 個人情報漏えいが発生した後に正常な状態に復旧するまでの一般的な手順は次のようになる。 こういった手順と並行して(3)
要件10.7ではアクセス・ログのライフサイクル(オンライン保管,オフライン保管)について明確に期間が定義されている(廃棄まで踏まえたほうが望ましい,図5)。この中で一番検討に時間をかけなくてはならないのがオンライン保管のフェーズである。明確に最低3カ月間という保管期間が定められているため,ログの容量,ネットワーク環境,閲覧する仕組みなどを考慮しなければならない。PCI DSSではログの集中管理が推奨事項となっているため,それを想定した場合に容量を満たす機器を選定しなければならない。 オンライン保管フェーズでは,閲覧機能を含む統合ログ管理のソリューションを導入することによって,ログの保管,検知,バックアップなどの運用を自動化し,日々の運用負荷を下げることが望ましい。また,個人情報が外部へ流出する懸念はあるが,これらのインフラ,運用のすべてを第三者のサービス・プロバイダにアウトソースすることも
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
