[出来事] * トーマツ：顧客情報４０００件紛失も１カ月半通知せず (毎日新聞)

---

textile監査法人最大手の「トーマツ」が、監査手続きのために預かった会社の顧客情報約４０００件のデータが入ったパソコンを紛失しながら、１カ月半も被害者に通知していなかったことが分かった。…通知が遅れたことについて同社は、「住所や電話番号がないため、特定の個人が識別される個人情報に当たるかどうか、商社や弁護士と協議していた。６月７日に金融庁に届け出をし、公表を指示された」という。

一ヶ月間、どこかから出てこないかなー、と祈るように待ってた情景が目に浮かぶようです。(汗 関連： * お客さま情報の紛失について (トーマツ)

---

[雑談] * [openmya:025845] Re: SQL インジェクション (byいけぴょんさん)

---

textile何でもかんでも公開鍵暗号を使う必要はないかと思います。例えばECサイトであればクレジット番号だけ公開鍵暗号を使ってその他は通常のデータで保存でも問題ないかと。…他の情報資産は暗号化して格納だとかしているにもかかわらず、システムでは一律DBに保存なんてことでいいの？というのがずっと前からの疑問だったりします。

お！ なるほど、納得です。　 発注側のプッシュは必要でしょうねー。 受注側にセキュリティを考慮した設計・開発をさせるための要件定義書品質への要望のサンプルみたいなのがあれば良いかも。[セキュリティ] * IPAがWebサイトのセキュリティ・ホールを塞ぐための緊急チェック・ポイントを発表 (IT Pro)

---

◆* ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜 (IPA)

---

textile1. ウェブアプリケーションのセキュリティ対策(1) 公開すべきでないファイルを公開していないか？(2) ユーザからの入力値をチェックして無害化していますか？(3) 不要なエラーメッセージを返していないか？(4) ウェブアプリケーションを不要に高い権限で運用していないか？(5) ログを記録しているか？2. ウェブサーバのセキュリティ対策(6) 見慣れないファイルやプログラムが置かれていないか？(7) サーバ、ミドルウェアに修正プログラムが適用されているか？(8) 余分なサービスを立ち上げていないか？(9) 不要なアカウントがないか？(10) パスワードが推測可能でないか？(11) ファイル、ディレクトリへの適切なアクセス制御をしているか？(12) ログを記録しているか？3. ネットワークのセキュリティ対策(13) ルータ機器を使用してネットワークの境界で不要な通信を遮断しているか？(14) ファイアウォールを使用して、適切に通信をフィルタリングしているか？4. セキュリティ監査

ありがたい。 良くポイントが絞られていると思います。(^-^)まぁ、SQLインジェクション・クロスサイトスクリプティング・OSコマンドインジェクション・ディレクトリトラバーサル・他人へのなりすまし などの多くの問題が、すべて、(2) の 『ユーザからの入力値をチェックして』 に集約されてるような気がしないでもないですね。 何かあったときに 言った・聞いてない、ということになっちゃうかな？(汗[出来事] * Winnyで原発情報流出 (ITmedia)

---

textile三菱電機は6月23日、子会社の三菱電機プラントエンジニアリング（MPE）が点検を請け負っている原子力発電所の情報が、MPE社員のPCからWinnyを通じて流出したと明らかにした。

原発の点検結果報告書や、MPE社員の出張報告書、作業員名簿・・・？(汗　 「火力発電所のトラブルを電力会社に隠すことを打ち合わせたとみられる文書」なんてのも強烈ですね。 怖いなぁ。[雑談] * 1日1箱40年間の喫煙で女性の身体は7.4年余分に老化する、英研究 (日経BP)

---

ってことは、×年後の ずきんさんの見かけ上の年齢は・・・。（←計算すな！ｗ）「それでも貴女はたばこを吸いますか？」