著者
内田 勝也
出版者
一般社団法人 経営情報学会
雑誌
経営情報学会 全国研究発表大会要旨集 2015年春季全国研究発表大会
巻号頁・発行日
pp.197-200, 2015 (Released:2015-07-31)

自治体が持つ住民の基本4情報の「氏名」、「住所」、「性別」、「生年月日」の一部の漏えいは、多くの自治体にとって、深刻な問題との認識は必ずしも大きな問題ではなかった。しかしながら、今回発生したストーカー殺人事件では、被害者の夫になりすました調査会社の経営者の電話での依頼を自治体職員が回答したため、被害者の住所がストーカーに渡り、殺人事件に発展した。個人情報の一部が漏れ、それが殺人に発展した事例は世界的にも稀有な事例と思われ、事件の分析とその対策を考えてみた。
著者
内田 勝也
出版者
国立研究開発法人 科学技術振興機構
雑誌
情報管理 (ISSN:00217298)
巻号頁・発行日
vol.55, no.11, pp.810-818, 2013-02-01 (Released:2013-02-01)
参考文献数
15

情報システムの重要性は益々増大しているが,東日本大震災後の調査でも万一に備えた対応を考える事業継続計画の策定が必ずしも十分ではない。経営トップの無関心や最初から100%完璧な計画の策定を想定しているためとも思われる。本稿では,守るべき情報資産と事業継続を脅かすリスクについて考察した。主なリスクである大規模地震や台風・集中豪雨,テロ,その他(突発的大規模停電)について,事業継続を考える上で必要な事柄を過去の知見から得られた内容について考察した。事業継続計画の文書化に役立ち,机上や実践的訓練に役立てるものと考えている。文書化と訓練の相乗効果が,事業継続計画策定のキーポイントになる。
著者
内田 勝也
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.56, no.12, pp.2219-2229, 2015-12-15

2012年11月に発生したストーカー殺人事件では,加害男性は被害女性の結婚後の名字や転居先市名を脅迫罪執行時に警察の逮捕状読み上げで知ったが,詳細な住所を知ることはできなかった.しかし,加害男性は詳細な住所調査を依頼し,それを受けた調査会社の経営者は被害女性の住所を聞き出すため,被害女性の夫を装い,当該自治体に電話をかけ,対応職員から正確な住所を聞き出した.この経営者は2014年1月に,逮捕された.たった1件の自治体からの個人情報漏えいが,殺人事件に至った.個人情報漏えいから殺人事件に発展した事例は,コンピュータ犯罪史上初めてではないかと思われる. 自治体への電話照会で大量の個人情報が漏れることは少なく,大きな事件・事故につながることはなかった. 自治体職員は個人情報を電話照会で教えた記憶がないと述べており,真相は不明だが,この経営者が大量の個人情報を保持し,自治体へ頻繁に電話をかけていたことを考えると高度な誘導質問術を駆使した可能性は高い. 本稿では,ソーシャルエンジニアの主要手法である誘導質問術等の観点から情報漏えいやその対応策としての教育・訓練について考察した.In November 2012, the stalker murder occurred in a local city of Japan. Because the victim married, and changed her address, the perpetrators man was not able to know the detailed address. The perpetrator man asked to get her detailed address to the executive of research firm. The executive was pretending to be victim's husband and made a phone call to the local government and got her exact address. The executive was arrested in January 2014. Only one personal information leakage from a local government led to the murder. Personal information leakage was developed into a murder case, probably, this is the first computer crime in its history. Staff of the local government have stated that there is no memory that he taught personal information over the telephone inquiry, the truth is unknown. Staff of local government said that there is no memory to divulging information. Because the executive has retained a large amount of personal information and has made the frequent telephone calls, he has likely made full use of the advanced elicitation. The executive has retained a large amount of personal information, so probably, he has used elicitation techniques. This paper introduces elicitation and examines an education and training for the countermeasure of elicitation.
著者
内田 勝也
出版者
国立研究開発法人 科学技術振興機構
雑誌
情報管理 (ISSN:00217298)
巻号頁・発行日
vol.55, no.11, pp.810-818, 2013

情報システムの重要性は益々増大しているが,東日本大震災後の調査でも万一に備えた対応を考える事業継続計画の策定が必ずしも十分ではない。経営トップの無関心や最初から100%完璧な計画の策定を想定しているためとも思われる。本稿では,守るべき情報資産と事業継続を脅かすリスクについて考察した。主なリスクである大規模地震や台風・集中豪雨,テロ,その他(突発的大規模停電)について,事業継続を考える上で必要な事柄を過去の知見から得られた内容について考察した。事業継続計画の文書化に役立ち,机上や実践的訓練に役立てるものと考えている。文書化と訓練の相乗効果が,事業継続計画策定のキーポイントになる。
著者
内田 勝也 矢竹清一郎 森 貴男 山口 健太郎 東 華枝
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2007, no.16, pp.327-331, 2007-03-02
被引用文献数
9

企業、組織において、IT 技術の革新により対象業務が飛躍的に高度化し、システム管理者や管理職に対して、組織をより強固にするために、IT 技術に関する調査、攻撃者の動機、組織の脆弱性を考慮することが求められてきた。近年、脅威は多様化しており、多くの攻撃者は人間の脆弱性を攻撃する手法、いわゆる"Social Engineering"を利用するようになってきた。このような攻撃に対して近年の技術的対策や物理的対策だけで解決することは非常に困難になっている。このため、攻撃者、利用者や管理者に関する心理学的研究は、従来の情報セキュリティ対策を飛躍的に向上させることが考えられる。本論文では心理学的な側面からの研究を「情報セキュリティ心理学」とし、その確立を目指したい。Developing information technology and hardware technology makes System Administrators and Managers consider not only many information technologies to make organizations become more secured but also attackers motivation and organization's vulnerability. Recently the threat has become diversification, many attackers take advantage of "Social Engineering" which can be regarded as 'hacking a psychological weakness'. It is very difficult to protect or to prevent these attacks by recent system solutions & physical solutions. Therefore information security level can be improved by psychological research for attackers, end users, and managers of the information systems. We propose for establishing "Information Security Psychology" in the information security.
著者
川越 秀人 内田 勝也
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2008, no.45, pp.7-12, 2008-05-15
被引用文献数
2

急速に進む高度情報通信ネットワークの整備,普及に併せて,官公庁や企業等における情報セキュリティ対策の整備,取り組みが急ピッチで進められている。しかし,個人情報漏洩に代表される,企業等における情報セキュリティ事故は,依然として多発しており,その影響する範囲も拡大している。これらの情報セキュリティ事故は,人的要因(ヒューマンファクタ)に起因することが少なくないと考える。また,これら人的要因が関係する情報セキュリティ事故については,従来から行われている物理的,技術的対策だけでは必ずしも有効とは言えないことから,その対策が大きな課題となっている。本論では,認知科学的アプローチを参考に,今後セキュリティ対策を検討する上で重要だと思われる,ヒューマンファクタのメカニズムとその対策について,ヒューマンファクタによって引き起こされる情報セキュリティ事故への対策及び取り組みの現状について論じる。As today's rapid technology advancement in information and communication network establishment an d popularization, it is required for the government and the company to take active counter-measures for Information Security. However, incidents such as personal information leakage are still occurring and the damages on such incidents are expanding. With reviewing these incidents, it is revealed the necessity of consideration for human factor. If human factor is relating and causing the incidents, traditional physical and technical count ermeasures will not be sufficient. Therefore, it is became our challenge to tackle human factor. This paper describes the mechanism and the countermeasures against it such as human errors, disobedience, and social factors using cognitive science. And current situation for securing from these types of incidents are reported.