フリービットは6月28日、指紋認証付きUSBメモリでフレキシブルなVPNが利用できる「MyVPN　インスタントテレワーク」を、在宅勤務やテレワーク向けに特化した通信サービスとして、災害時のBCP（事業継続計画）対策、また節電対策を考えている企業を対象に提供を開始した。

「MyVPN　インスタントテレワーク」は、社内システムにソフトウェアをインストールするだけで導入が可能で、また、リモートPCからはルータやネットワークも設定不要で指紋認証付きUSBメモリを挿すだけで利用可能なため、利用者側への教育時間やコストが不要。そのため、すぐにテレワークが実現できる高コストパフォーマンスのサービスとして、電力不足が懸念される今夏の節電対策として早急な対応を必要とする企業に適したサービスとなっている。

価格は、初期費用を抑えた「通常プラン」（初期費用23,000円、月額費用3,000円）に加え、月額費用を抑えた「災害対策プラン」（初期費用37,400円、月額費用1,800円）の2つが用意されている。また、同社グループのISPプロバイダであるドリーム・トレイン・インターネットのモバイル回線サービスに同時に加入すると、さらに月額費用が下がるプランも用意されている。

(川原 龍人/びぎねっと)

[関連リンク]

プレスリリース
サービスページ

イメーションは6月20日、米FIPS規格に準拠したセキュアな記録メディア「DEFENDER COLLECTIONシリーズ」として、USBフラッシュメモリと外付ハードディスクを発表した。

「DEFENDER USBフラッシュメモリ」および「外付ハードディスク」は、アメリカ政府が「暗号モジュール」を調達するためのFIPS 規格（FIPS 140-2） Level 3認定を取得した専用プロセッサを搭載。ハードウェアによるAES256ビット暗号化に加え、セキュリティ強度を任意に設定できるパスワード・指紋認証によるユーザ認証、そして強固な筐体により、記録したデータを保護するという。パスワード入力ミスが一定回数続くと、デバイスを無効化する機能も備える。また、セキュリティ機能はデバイス本体に備えているため、PCへのソフトウェアのインストールが不要。

製品ラインアップは、容量2GB/4GB/8GBのUSBメモリと、500GBの外付ハードディスク。発売開始日は2011年7月21日。価格はオープン。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

富士通は6月1日、手のひら静脈情報と指3本の指紋情報を組み合わせた生体認証技術を開発したと発表した。手のひら静脈と指紋の両方の情報を利用することで、100万人規模のデータの中から特定の個人を識別する処理を2秒以内に行うことができる。

ICカードに登録された、特定の生体情報であるかないかの判断する場合は、1種類の生体情報だけを利用する現在の1対1の認証方式でも十分だが、多数の人の中から特定の個人を認識する1対Nの認証においては、母数が100万、1000万と多くなると、他人との違いが明確に区別できない場合があるという。1対Nの認証では、全ての登録データと突き合せた認証を行うため、1対100万での認証精度は1対1に比べて100万倍高い精度が必要とされる。他方、そのために複数の生体情認証方式を組み合わせると、それぞれの入力作業が別々になってしまい、利便性が下がってしまう。

今回発表された技術では、すでに普及している指紋認証に、高い認証精度を持ちながら偽造やなりすましなどの不正行為に対して強堅な手のひら静脈認証を融合することにより、100万人の中から特定の個人を識別することが可能。プレスリリースによると、この技術は世界で初となる「手のひら＋指紋による、100万人規模の認証技術」になるという。

本技術を利用することで、入退室管理用の小規模なものから社会基盤システム向けの大規模なものまで、手ぶらで個人認証を行う生体認証システムを利用者の規模に合わせて構築することができる。また、すでに普及している指紋センサーに手のひら静脈認証を追加するだけで容易に導入することも可能だという。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

ソースネクストは5月25日、簡単操作で暗号化・シュレッダー機能が利用できる「ソースネクスト B’s ファイルガード」を発売開始した。

同製品は、ファイルやフォルダを、ドラッグ＆ドロップや右クリックによって簡単・安全に保護できる暗号化ソフトウェア。重要なデータにパスワードをかけて保護し、漏洩時の解読を防ぐ。フォルダの暗号化も可能。暗号化したファイルは、他のPCでも解除可能。

また、同製品は「安全消去機能」（シュレッダー機能）により不要なデータを安全消去する。暗号化する際に、一時的に作成される作業ファイルを安全に消去、暗号化していない通常のファイルの消去にも利用できる。消去方法のレベルは5段階から選択でき、最高の「レベル5」では、「米国国防総省（ペンタゴン）で採用されている方式：データ処理回数3回＋検証」という消去方法が利用できる。

対応OSは、Windows 7（32/64bit）/Vista（32/64bit）/Windows XP(32bit)。標準価格は3990円。

(川原 龍人/びぎねっと)

[関連リンク]
製品情報

法務省は、「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」、いわゆるサイバー刑法に関するＱ＆Ａを公開した。

この中では、
○この法案は、コンピュータ監視法案ではないかという指摘があるが、どうなのか」「なぜ、この時期にこの法案を提出したのか
○コンピュータ・ウィルス作成罪は、思想・良心の自由や表現の自由を制約するものではないのか
○コンピュータ・ウィルスの作成・提供罪により、ウィルス対策ソフトの開発等の正当な目的でウィルスを作成した場合や、プログラマーがバグを生じさせた場合まで処罰されることにならないか
○コンピュータ・ウィルスを作成しただけで処罰されることになると、コンピュータを監視することができるようになるのではないか
○単にコンピュータ・ウィルスを送り付けられて感染させられた被害者まで処罰されることにならないか
○接続サーバ保管の自己作成データ等の差押え（リモート・アクセス）が導入されると、１台のパソコンについて差押許可状を得るだけで，ネットワーク中の全てのデータを取得できるようになるのではないか
○保全要請の規定が新設されると、捜査機関は無令状で通信記録を簡単に取得できるようになるのではないか
○保全要請の規定が新設されると、捜査機関はプロバイダ等の通信会社から半ば強制的に通信履歴を取得できるようになるのではないか
○この法案は、捜査権強化の第一段階にすぎず、これを成立させた後は、共謀罪の成立や通信傍受の拡大など、更なる捜査権限の拡大を狙っているのではないか

といった疑問に答える内容になっている。

(川原 龍人/びぎねっと)

[関連リンク]
情報処理の高度化等に対処するための刑法等の一部を改正する法律案
「いわゆるサイバー刑法に関するＱ＆Ａ」

情報処理推進機構は5月9日、Webサイトの運営・管理者に、広く対策の徹底を呼びかける注意喚起を発表した。

今回の発表では、Webサイトに対する攻撃事件が目立っていることを受けたもの。Webサイトを用いたサービスの種類も数も増加の一途を辿り、企業活動の中核として位置づけられているケースも多い。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所、電話番号などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。一方で、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した行為も増加しており、事業の継続に多大な影響を及ぼす結果となったものも複数存在する。例えば、2010年には、アウトドア用品のサイトにおいて1万件以上、オンラインゲームのサイトにおいて18万件以上の個人情報の漏えいがあったという。

以上の実情を踏まえ、同文書において、Webサイト運営者に対し、顧客情報の保護および事業継続の観点から、Webサイトにおける脆弱性対策の確認・徹底を図るよう呼びかけている。

Webサイト運営者が行うべき主な対策・対応は、１．サーバにおける脆弱性対策（ソフトウェアの脆弱性対策／Webアプリケーションの脆弱性対策）、２．ネットワーク利用における対策（ファイアウォール、ネットワーク監視、アンチウイルスなどの対策の実施）、３．重要な情報の保護（情報へのアクセス制御、重要な情報の暗号化など多段の防御の実施）４．日常的な運用監視と事後対応（アクセスログの分析、データベースへのアクセス監視で、攻撃を素早く検知できる仕掛けや体制の整備）など、となっている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

情報処理推進機構は5月9日、Webサイトへの攻撃事件・およびその被害が目立っていることを受け、Webサイト運営者に対策の徹底を呼びかけるための注意喚起を発した。

近ごろ、Webサイトを用いたサービスが増加、多様化しており、企業活動の中核として位置づけられているものも少なくない。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。他方、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきている。これらの事件の中には、Webサイトの脆弱性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在する。例えば、2010年に起こったアウトドア用品のサイトにおける1万件以上の情報漏えい、オンラインゲームのサイトにおける18万件以上の個人情報の漏えいなどだ。

Webサイト運営者に対し、顧客情報の保護および事業継続の観点から、Webサイトにおける脆弱性対策の今一度の確認と、徹底を図るよう呼びかけている。具体的には、

１．サーバーにおける脆弱性対策：定期的にWebサイトで使用しているOSやサーバーソフトウェアの脆弱性対策を、ベンダー情報や脆弱性対策データベース「JVN iPedia」などを活用して実施する。

２．Webアプリケーションの脆弱性対策
脆弱性診断を実施するなど、Webアプリケーションの脆弱性を再確認する。脆弱性が見つかった場合は脆弱性を修正する。ウェブアプリケーションファイアウォール（WAF）などの活用も検討する。

３.ネットワーク利用における対策
ファイアウォール、ネットワーク監視、アンチウイルスなどの対策を実施するとともに、ネットワーク上でやり取りされる情報の暗号化による保護などで、リスクを低減する。

４．重要な情報の保護
万一、ウイルス感染や不正アクセスをされた場合でも、情報へのアクセス制御の実施や、重要な情報の暗号化などで多段の防御をする。

５.日常的な運用監視と事後対応
日々、アクセスログの分析や、データベースへのアクセス監視で、攻撃をいち早く検知できる仕掛けや体制を整備する。万が一事件・事故が発覚した場合は、それに対応するマニュアルや体制を事前に確立しておくことで、二次被害を最小限に留めるように備える。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース（pdf）

情報処理推進機構ソフトウェア･エンジニアリングセンター（SEC）は4月27日、ユーザ企業の経営層に向けた、システム構築における要件定義の重要性を平易に説明した読本「経営に活かすIT投資の最適化」と、システム構築手順に関する社内標準化などの担当者向けに事例集を公開した。

情報システムの構築要件の検討・定義は、システム導入後の業務効率化、他企業との差別化などに直接関わるため、ユーザ企業の経営層がこれらを理解した上で、より詳細に行われる必要がある。しかし、情報システムの要件は、家電製品や自動車と異なり、用語が難解なことや、「何をどの程度求めるのが適切なのか」といった程度の設定に専門知識が必要なため、容易なことではない。そこで、IPA／SECは、システム基盤における安心・快適に関わる要件定義の用語を理解しやすい言葉に置き換え、解説した読本を公開した。読本では、平易な用語を使い、自動車の購入時における検討事項と情報システムの要件定義をドキュメンタリ風に対比して紹介しており、情報システムの事業リスクや投資効果の判断を行う経営層向けに、システム基盤の要件定義の重要性を訴求する。

たとえば、「回復性」という用語は「安定感／障害発生後、いつまでにシステムを復旧すべきか」、「保守運用」は「点検／保守点検はどの程度の頻度にするか」など。

また、システム構築手順に関する社内標準化や品質管理の担当者向けに、情報システムの安心・快適に関わる要件定義のための手法を企業がどのように活用しているのか、具体的な事例を事例集として紹介している。

読本「経営に活かすIT投資の最適化」（PDF形式）および「非機能要求グレード」活用事例集（PowerPoint形式）は、Webサイトから無償で入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

富士通、富士通フロンテック、富士通研究所は4月19日、世界最小・最薄となる非接触型手のひら静脈認証センサーを実用化したと発表した。

このセンサーは、非接触かつ反射方式で認証する手のひら静脈認証の優位性を活かし、幅29.0mm、高さ11.2mm、奥行き29.0mmという世界でも最小・最薄のサイズを実現した。また、手のひら静脈を毎秒約20枚連続撮影できる高速撮影機能、その中から認証に最適な画像を瞬時に選び出して自動的に照合する機能を搭載している。これにより、従来のようにセンサーの上で手のひらを静止させるのではなく、タッチさせるような感覚で認証できるようになり、高精度、かつ軽快な操作性を実現している。

「静脈認証」は、通常は目に見えない手のひらや指などの静脈パターンを読み取る方式ゆえ、高い精度を持ちながら、「偽造」や「なりすまし」などの不正行為に対して強堅。また、手のひら静脈は指静脈などと比べて静脈の本数が多く複雑な形状のため情報量が多く、本人拒否率 0.01%、他人受入率 0.00008%といった高い認識率が実証されているという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
手のひら静脈認証

東芝は4月13日、想定外の機器に接続されると記録データを瞬時に無効化する機能を搭載した2.5型ハードディスクドライブを発表した。HDD盗難による情報漏えい防止策や、廃却時などのデータ無効化に有効な製品として、デジタル複合機、POSシステム、PCなど用途に応じた利用が可能。

この製品は、HDDへの電源供給が断たれた場合にデータを瞬時に解読不能にするという、暗号化技術を応用した同社独自の技術をベースに、より汎用性を持たせたセキュリティ機能を搭載した。HDD本体が、搭載されたデジタル複合機やPOSシステム、PCなどの機器と認証を行い、あらかじめ決められた機器以外のシステムからアクセスされた場合に、自動でデータを無効化する。搭載機器からの指示がなくても自動的にデータを無効化できるため、HDD盗難に対しても情報漏えい防止が図れる。

ラインナップは、は、容量640GBの「MK6461GSYG」、500GBの「MK5061GSYG」、320GBの「MK3261GSYG」、250GBの「MK2561GSYG、160GBの「MK1661GSYG」。いずれも2.5型。量産開始は6月下旬より。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース