ブログランキング参加中!

人気ブログランキングへ

2011年5月2日月曜日

BCP分析:サイバーテロに備えよ!PlayStation Networkに見る事例とソニー・ショック➁

ソニーも米連邦捜査局(FBI)に捜査し、事態は大きな問題へと進展し、ソニーに対する訴訟も米国を中心に増加するだろう。
その被害額は?
因みに、筆者はプレイステーション3をBD再生機として使用しているが、ネットワーク登録はしていない。
何故なら、日本企業のネットワークのシステムは脆弱な事を理解していたからである。
(筆者は、久多良木氏と一緒に、初代プレイステーション1のMIPS R3000Aコアを採用したカスタムMPUの開発を行った。この専用LSIのASICプロセス”LCB500K/R3000A⇒セルベースIC/IPコア ⇒0.35ミクロン&パッケージ"MQUAD"の日本側の開発責任者でもあった。)

これも個人レベルでの危機管理対策。
ソニーは、ユーザーに対して、今回のお詫びに一部ゲームを”無償”解放するとしているが、これがお詫びというのは、個人情報保護法の観点から考えれば、余りにもプライベート情報を軽視しているよう思える。
ネットワーク再開の前に、強固なファイヤウォールのシステムを記者会見で説明して欲しい。
(世の中には絶対は無いが、万全の対策を打ったと。仮に、このファイヤーウォールを破られた場合、平井副社長が経営責任を取るくらい覚悟で臨んで欲しい)

※ソニー副社長が陳謝、プレステ情報流出で(1日)⇒記者会見映像
http://jp.reuters.com/news/video?videoId=205777214&videoChannel=200
※関連記事:ソニーとSCE、PSNの不正アクセス問題を受け会見を実施--PSNのサービスを一週間以内に一部再開へ(⇒システムへの侵入経路説明)
http://japan.cnet.com/digital/av/35002362/

筆者が日本のメディア(ハイテク産業分野)の中で最も信頼し、最も日本で優秀なブルームバーグ社の中島記者の『ソニーのいサイバーテロ攻撃』の記者会見の状況非常に良くまとめた最新レポートである。

【ブルームバーグ社の最新報告書】
最新報告書⇒ソニー:サイバ-テロで7700万件の情報流出-米FBIに捜査依頼(2)
http://www.bloomberg.co.jp/apps/news?pid=90900001&sid=aWmgJR5SUZG0

【記者:中島三佳子】

5月1日(ブルームバーグ):ソニーは1日、ゲーム機「プレイステーション」などのネットワークに外部からの不正アクセスが集中し、大量の顧客情報が流出した問題で平井一夫副社長が記者会見して陳謝し、ユーザー約7700万件分の個人情報が流出した可能性が高いことを明らかにした。
情報保護の対策を行い、5月中のサービス全面再開を目指す。
平井氏は「故意の不正侵入により、サイバーテロが行われた」と述べ、米連邦捜査局(FBI)に捜査を依頼したことを明らかにした。
実際に漏えいしたかどうかは不明としながらも、1000万件程度のユーザーのクレジットカード情報が漏えいした可能性があるとも指摘。
ただ、データベースへのアクセスの形跡や不正利用の報告は「現時点ではない」としている。
利用者がプレステの利用解約を要求した場合は、オンライン決済口座にある電子マネーの返還に応じることなどを検討する。
ただ、補償金の発生規模は、今回の情報流出による被害がどれだけ発生するか見通せず、業績に与える影響も「精査中」と述べるにとどめた。
平井副社長は「ネットワーク事業は最重要戦略の一つであり、それは変わらない」と強調。
年内に発売する次世代携帯ゲーム機やタブレット端末も「予定通り」と語った。
発表によると、今回、流出したとみられる個人情報は氏名、国と住所、メールアドレス、誕生日、性別。それに、ゲーム機プレステ向けのサービス「プレイステーショ ン・ネットワーク」と、動画・配信サービス「キュリオシティ」のログインパスワード、オンラインID。
このほか、証拠はないが漏れた恐れのある情報は、過去の買い物履歴や、セキュリティコードを除くクレジットカード番号とその有効期限など。
発表を受けて、経済産業省はこの問題でソニーに報告を求めた。

情報保護でデータセンターを移設
顧客情報保護策の一環として、新規にネットワークを構築したデータセンターへのデータ移設、データの暗号化技術の強化、新しいセキュリティーシステムの導入などを進めることも発表した。
これらの対策を講じることで新たなサイバー攻撃を防ぎたい考えだ。
今回の不正アクセス者やその目的は、現時点で明らかではない。
ただ、最近2カ月程度の間、ソニーグループのシステムに対し「アノニマスグループ」と名乗る者から複数回にわたり不正アクセスなどがあった。
平井氏は、過去の不正侵入と今回の大規模ハッキングとの関連性の有無は「まだ分からない」とした上で、「同一者による侵入行為とは断定できないが、参考情報として言及した」と説明した。
米カリフォルニア州サンディエゴにあるサーバーの障害発生を確認したのは、米国時間4月19日(日本時間20日)。
社内調査の結果、17-19日にかけて「プレイステーション・ネットワーク」と「キュリオシティ」への不正侵入の事実が判明した。
説明によると、ハッカーは、ゲームコンテンツなどの各種情報を管理する「アプリケーションサーバー」と呼ばれる通信網に侵入したことが分かっている。

パスワードの頻繁な変更を要請
ソニーは複数のIT(情報技術)セキュリティ専門会社に調査を依頼し、データの解析を進めた。
26日(同27日)には、利用者の登録アドレスに注意喚起のメールを送るとともに、ウエブサイトを通じた告知を行った。
平井氏は「多大な不安と心配をおかけしたことを深くお詫びする」と謝罪、利用者に「パスワード情報の頻繁な変更をお願いしたい」と呼び掛けた。
会見に同席した長谷島眞時業務執行役員は「アプリケーションサーバーの脆弱性を突かれ、そこを経由してアカウント情報のあるデーターベースサーバーへ不正にアクセスされた」と経緯を説明。
顧客への対応として、プレイステーション・ネットワークとキュリオシティの既存利用者を対象に、特定コンテンツの無料ダウンロードなどのサービスを提供する予定であることを明らかにした。

【ブログ内検証】
●2011年4月28日木曜日
BCP分析:サイバーテロに備えよ!PlayStation Networkに見る事例とソニー・ショック➀
http://a-gd.blogspot.com/2011/04/bcp_28.html

【ソニーの過去の技術特許係争の代表事例】
※関連記事:知的財産事例研究報告書
ビデオゲーム機振動コントローラ訴訟にみる知的財産経営分析
http://www.shimomo.com/ip/ip1_20080229.pdf
※関連記事:ソニーが払ったJPEG特許ライセンス料は1620万ドル
http://www.nikkeibp.co.jp/archives/207/207451.html
※関連記事:米企業がJPEGの特許ライセンスを主張~ソニーが支払いに応じる
http://pc.watch.impress.co.jp/docs/2002/0723/jpeg.htm
ソニーは、エンジニアリングの企業であるが、脇が甘い会社のように思える。
これも過去ソニーが、性善説側の立場である事を証明している。
海外企業の特許係争で、支払った金額も膨大な額である。

現在進行形は、下記の通り。

※関連記事:ソニーの「PS3」がオランダで輸入差し止め LGの特許侵害申し立て受け
http://sankei.jp.msn.com/economy/news/110304/biz11030413370025-n1.htm
※関連記事:LG電子、テレビやゲーム機の特許侵害でソニーを提訴
http://sankei.jp.msn.com/economy/news/110208/biz11020812300015-n1.htm
2011.2.8 11※関連記事:半導体パッケージのテセラ、積層チップ技術の特許侵害でソニーとルネサスを提訴
http://eetimes.jp/news/4324
※関連記事:ObjectVideo sues Sony, Samsung, Bosch
http://www.securitydirectornews.com/?p=article&id=sd201104Q5HURl
※関連記事:Single-patent lawsuit hits Apple, Google, Amazon, Priceline...Alert PrintRetweetFacebook...Hotels.com, Expedia, Sony, Motorola, Kayak, Microsoft, Verizon...
http://www.theregister.co.uk/2011/04/01/patent_infringement_suit_hits_apple_google_and_30_others/