第31巻　第2号 2017年9月｜日本セキュリティ・マネジメント学会（Japan Society of Security Management）

巻頭言

Things再考

間形　文彦… 1

研究論文
Research papers

消費者に過度な負担を負わせず実効性のある
個人情報漏えい後の救済方法について（再掲）
On the Effective Remedy after Data Breach
without Too Much Burden on the Consumer

金子　啓子… 4
Keiko KANEKO

解説
Commentaries

攻撃者の分類の一考察
A Study of Classification of Attackers

谷口　星彦…17
Toshihiko TANIGUCHI

状況認識の強化が求められるサイバー脅威対策
Enhancement of Situation Awareness is needed
for Cyber Threat Countermeasure

名和利男…23
Toshio NAWA

ニュースレター
Newsletter

………………………………………………33

======================================================================================

研究論文
Research papers

消費者に過度な負担を負わせず実効性のある
個人情報漏えい後の救済方法について

On the Effective Remedy after Data Breach without Too Much Burden on the Consumer

情報セキュリティ大学院大学　　　金　子　啓　子

Institute of Information Security Keiko KANEKO

要　旨

一般に個人情報漏えい事故が発生すると、本人は通知や公表を受けて自衛することと損害賠償請求は可能だが、流通してしまった自らの情報をコントロールすることが難しい。日本においては、レピュテーションリスクが個人情報保護規範の最強のエンフォースメントだが、それを気にしない事業者への法執行は低調である。このため、見知らぬ事業者からの勧誘電話などで自らの情報を保有する事業者が分かったとしても、個人参加の原則に基づく権利を行使することや直接の接触を躊躇するからである。一方、世界18か国で導入されているDo not call制度では、消費者は自分の電話番号を運営機関に登録するだけで、電話勧誘事業者の架電リストから自らの情報を削除させることができる。これは、消費者に特定の事業者に能動的に働きかける負担を負わせずに、自分の個人情報をコントロールすることができる制度として、有益である。日本においても、この制度を参考に、単に架電リストからの削除だけでなく、自らの情報を持つ事業者を発見し、執行機関による個人情報保護法の執行の端緒として不正に入手した個人情報を削除させる「Do not hold」制度を創設することを提案したい。

キーワード

個人情報、消費者、特定商取引法、Do not call、不招請勧誘

————————————————————————————

解説
Commentaries

攻撃者の分類の一考察

A Study of Classification of Attackers

サイバー空間アナリスト谷　口　星　彦

Cyber Space Analyst Toshihiko TANIGUCHI

要　旨

サイバー空間における攻撃と防御は、攻撃が有利であるといわれている。攻撃側は、ターゲットの脆弱性を攻撃するわけであるが、その攻撃方法は多岐にわたる。一方、防御側は自らの防御対象のすべての脆弱性を知る必要があり、そのすべてを掌握し、それらすべてに対して個別に防御手段を導入することは難しい。

攻撃には、攻撃者の意志と技術力が必須である。このため、攻撃者の意志、技術力を読み解くことは、防御するにおいて非常に重要な要素の一つと成る。そこで、これらを容易にするために、攻撃者を個人あるいは緩やかな集団である場合と、組織として意志を持つものに分類する。更に細かく分類し攻撃者の意志、技術力を分析し、有効な防護・防御方法について考察する。

なお当然ながら、本稿は著者の見解であり、所属あるいは関連する団体の正式な見解ではないことをお断りしておく。

キーワード

攻撃者、サイバー攻撃、防護、防御

————————————————————————————

状況認識の強化が求められるサイバー脅威対策

Enhancement of Situation Awareness is needed for Cyber Threat Countermeasure

サイバーディフェンス研究所　　　名和利男

Cyber Defense Institute, Inc. Toshio NAWA

要　旨

サイバー脅威は、我々の想定を超えるベースで高まっており、もはや防御側がコントロールすることが困難な領域が増加している。このような状況に陥ってしまった理由の一つに、攻撃側及び防御側双方に対する状況認識の不足が挙げられる。これを補うためには、検知或いは識別困難なサイバー攻撃の深い理解が必要である。そして、現場における攻撃対処は、実行性及び合理性を確保する必要がある。

キーワード

状況認識、サイバー脅威、マルウェア、C2
————————————————————————————

消費者に過度な負担を負わせず実効性のある 個人情報漏えい後の救済方法について

On the Effective Remedy after Data Breach without Too Much Burden on the Consumer

攻撃者の分類の一考察

A Study of Classification of Attackers

状況認識の強化が求められるサイバー脅威対策

Enhancement of Situation Awareness is needed for Cyber Threat Countermeasure

関連記事

消費者に過度な負担を負わせず実効性のある
個人情報漏えい後の救済方法について