雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について
【セキュリティ事件簿#2024-027】名港海運株式会社 海外子会社への不正アクセスについて
このたび、欧州における当社子会社「Meiko Europe N.V. (以下、ME)」において、2024年1月6日に第三者による不正アクセスを確認しました。
本不正アクセスの判明以降、MEおよび現地のセキュリティ専門会社による調査を行っておりますが、被害の全容を確認するには、一定の時間を要する見込みです。なお、本件は現地当局への報告を行っております。
関係者の皆さまにはご迷惑とご心配をおかけしており、深くお詫び申し上げます。
また、当社IT部門による調査の結果、現時点においてME以外の当社グループに影響がないことを確認しております。
【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 弊社サーバへの不正アクセス発生について
サイバーセキュリティ・キャリア・フレームワークを使うべきか?
米国のNICE
英国のCCF
EUのECSF
EUにおける欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、Enisa(欧州ネットワーク情報セキュリティ機関)が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO(European Cyber Security Organisation)から提供された3つのユースケースも含まれています。
これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。
日本のSecBok
- 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
- Job description(ジョブディスクリプション)の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
- プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。
何を選択するか?
雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。
求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。
しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。
さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。
数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。
【セキュリティ事件簿#2024-025】茨城東病院 患者個人情報を記録したUSBメモリの紛失について
この度、当院において、患者個人情報を記録したUSBメモリを紛失する事案が発生いたしました。このような事案が発生にしたことについて、個人情報を取り扱う医療機関として決してあってはならないことであり、深く反省いたしております。
恵者様及びそのご家旋並びに関係機関の皆様に深くお詫び申し上げますとともに、個人情報管理の徹底を図り、信頼回復に向けて二度とこの様なことを生じさせないよう再発防止に努めてまいります。
1. 紛失の経緯
令和5年12月18日 (月)、当院職員の申告により個人情報を含んだUSBメモリの紛失が判明いたしました。病院外に持ち出しはしていないため、院内で紛失したものと考えております。
同日以降、紛失場所の捜索、職員への開き取り確認を行い、併せて警察にも遺失の問い合わせをいたしましたが、現時点で発見には至っておりません。
2. 紛失したUSBメモリに保存されでいた個人情報
①患者情報
・忠者ID、氏名、病名、居住地域、診療科、入院日、退院日等 2, 533名分
・氏名、転院先、死亡日 3, 605名分
②職員情報 (面談記録、勤務表) 8名分
なお、当該USBメモリには、自動暗号化及びパスワードロック機能を設定しております。
3. 現在までの対応
対象の患者様及びご家族には、個別にご連絡のうえ、謝罪いたします。
また、現時点において、個人情報が外部に流失したことの情報や不正利用された事実等の被害は確認されておりません。
4. 再発防止策
全職員に対して個人情報管理の徹底とUSBメモリ等の外部電磁的記憶媒体にかかる関連規定の順守について周知徹底するとともに、個人情報の取り扱いに関する研修及び個人情報の管理状況の確認を定期的に実施する等対策を講じてまいります。
この度は、患者様及びご家族並びに関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、改めて深くお詫び申し上げます。
【セキュリティ事件簿#2024-024】三浦工業 サイバー攻撃による弊社ホームページ改ざんに関するお詫びとご報告
改ざん内容
ご利用のお客様へのお願い
マリオットのポイント購入ボーナスセール(~2024年3月31日)
マリオットがポイント購入のボーナスを発表。2023年10月1日から12月31日の間にマリオット系列での滞在実績がある会員は40%ボーナス、その他の会員は35%のボーナスを獲得できる。
自分はマリオットポイントはJALマイルの間接購入手段と割り切っているため、宿泊実績は無いため35%ボーナス。
このボーナスは2,000ポイント以上の購入に適用され、2024年3月31日まで利用できる。
過去には、パンデミック(武漢ウイルス流行)時にこのボーナスが60%まで上昇したこともあったが、今回もそうなるかどうかはわからない。
感覚的に60%は無いだろう。50%ボーナスが最大だろうから、その時は全力で購入するとして、その他のボーナス時は少しずつ購入をしていく。
以前は為替の関係で購入をためらうシーンが多かったが、住信SBIネット銀行の外貨自動積立で毎月ドルを積み立て、積み立てたドルはJALペイに移して決済するという解決策を思いついた。
これでドルコスト平均法でドルを買い、ドルのまま決済できるので為替を気にする必要がなくなる。
とりあえず今回は50ドル分買ってみる。
マリオットポイントは毎年6万ポイント分購入(=25,000JALマイル)する方針。
あと、マリオットポイント購入時はTopCashback経由で購入するとキャッシュバックをゲットできるのでオススメ
出典:Buy Marriott Bonvoy points with up to a 40% bonus
【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ
■概要
■応募情報が送信された応募者
■応募情報を閲覧された可能性がある応募者
■本件への対応
- 本アカウントの停止
- 該当される方へのお詫びとお知らせ
- 当該情報を送信された方への応募情報が記載されたメール削除のお願い
- 本事象に関するログ・セキュリティ調査の実施
- 当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施
- 個人情報保護委員会への報告
- 麻布警察署への報告および協力