お知らせ

  • パソコン関連

シャドーITの危険性

noimage

シャドーITの危険性

企業が自社内で管理していないソフトウェアやクラウドサービスなどの導入をシャドーITと呼びます。 シャドーITは企業のセキュリティに大きな隙を作ってしまうことにもなるリスクの高いものです。 シャドーITの例として ・LINEを独自に個人アカウントで利用し、社内の機密を含んだ情報共有や画像・動画などの共有に使っていた ・クラウド型のオンラインストレージを勝手に利用してファイルの保存や共有を行なっていた ・宅ふぁいる便のようなファイル共有サービスに自社ファイルを勝手にアップロードして取引先に渡していた ・GitHubのパブリックリポジトリで社内のソースコードを勝手に公開していた ・オンライン型のオフィススイートで自社のファイルを公開したり取引先に共有していた などが挙げられると思います これらが危険なのは社内でこれらの情報が誤って漏洩・流出がしてしまった場合でも把握しきれないところです。 これらのサービスを業務で利用しないようにすることをルール化し、また利用していないかどうかを確認していくことは今後も必要になるはずです。 もう一つの見方として、これらのシャドーITを利用しなければいけない原因・理由を探ることも大切かもしれません。 例えばメールで数十メガバイトの添付ファイルを送ることはできませんのでオンラインストレージを利用する必要があったのかもしれず、それらの現場で行われた理由があるかどうかを調べる必要があります。 これらファイル共有、ビジネスチャット、ソースコード管理などビジネス利用できるものが多くあり、企業での一括管理も可能な企業プランを持つサービスを時代に合わせて導入することでシャドーITのリスクをなくしていくことができます。 弊社でもクラウド型ストレージDropboxによるファイル共有、kintoneを用いた社内ワークフロー管理などグループウェア、Chatworkを利用したビジネスチャット、GitHubの企業向けプランを利用し、社内での効率化を推進しています。 これらのノウハウについても蓄積しておりますのでご興味のある方はお気軽いお問い合わせください。 有益なツールを積極的に導入することによってシャドーITを一掃することが、企業のセキュリティ向上に役立つことになるという考え方もあります。

  • パソコン関連

スマートフォンと二段階認証

noimage

スマートフォンと二段階認証

現在様々なクラウドサービス、プラットフォームが利用され、それぞれのサービスを利用する上で重要なのはセキュリティです。 現在までに使われていたパスワード型の認証に変わって、スマートフォンを利用した二段階認証が多く用いられ始めています。 パスワード認証はログインIDとパスワードの使い回しや簡単なパスワードの問題によって今まで多くのセキュリティの事件や事故が起こってきました。 二段階認証はPCでアカウントにログインしようとするとSMSでもう一段階認証する方法が普及し、皆さんもご存知かもしれません。LINEなどでもこの方法が使われていたはずです。 登録されている電話番号のSMSに数桁のパスコードが送信されて、それをログイン画面で入力するとログインができるようになるといった方式です。 SMS以外にもGoogle AuthenticatorやMicrosoft Authenticatorなど様々なサービスで利用できるスマートフォンアプリが提供されています。 それぞれのアプリで生成されるワンタイムパスワードや、それぞれスマートフォンの持つ認証システムを利用して二段階認証が簡単にできるアプリです。 本人確認デバイスとして常に携帯しているスマートフォンを利用するのは理にかなっていると考えています。 パスワードのみの一段階認証から、スマートフォンを個人認証デバイスとして利用するという仕組みは今後さらに一般的になるはずです。 持ち込み個人向けデバイスが危険といわれたこともありましたが、今ではセキュリティのために積極的に使っていこうという考え方に変わってきています。

  • パソコン関連

商業登記認証局の電子証明書がものすごく簡単でした

noimage

商業登記認証局の電子証明書がものすごく簡単でした

国税庁が積極的に利用を促しているe-Tax(国税電子申請・納税システム)ですが、これを利用するための電子証明書を発行してみました。 従来e-Taxを利用するためにはFelicaリーダーを用意して、電子証明書を記録されたICカードを読み込ませるという手順が必要で、そのICカードを申請するために書類作成と認証までの時間が必要でした。 法務局が管理運営している商業登記認証局の電子証明書は鍵ペア方式ファイルによる電子証明書で、実質1日以内で認証・取得することができます。 認証局を利用した鍵ペア方式は一般的にWebサイトのSSLにも利用されているくらいに一般的でありふれた方法でありつつ、高い安全性が証明された方法でもあります。 手順として専用ソフトを利用してPC内に秘密鍵ファイルと証明書要求ファイルを作成します。 この証明書要求ファイルをCDかUSBメモリに記録し、法務局に印鑑が押された申請書を持ち込むことにより、一時間程度〜で認証局である法務局から暗号鍵とペアになる電子証明書が作成されます。 この電子証明書をダウンロードすることにより国税局のe-Taxシステムで利用することができるようになります。 この手順はWebサイトのSSL申請と全く同じものであり、Webのみならず多くのシステムで利用されているものです。 Felicaリーダーなどの購入費用も不要で、短時間で発行されるために大変取得しやすく扱いやすいものになっています。 もちろんのことながら暗号鍵と証明書ファイルの扱いは慎重な扱いを必要とするものですが、これについてはICカードにも同じことが言えます。 日本のシステムだから何かしら日本独自の仕組みを導入しなければいけないというものも多い中で、このような合理的でシンプルな方法を利用した電子証明書の発行も行われているのだと実感できました。 このようなシンプルかつセキュアな方法がもっと多くの公的な期間で使われるようになれば良いなと思うところです。

  • パソコン関連

すぐにホームページをSSL対応しましょう

noimage

すぐにホームページをSSL対応しましょう

Webサイトの常時SSL対応、https化について必須と呼べるものになりました。 現状最も使われているブラウザでSSL対応していないホームページは「安全ではありません」、「保護されていない通信」とアドレスバーに表示されるようになりました。 これはスマートフォンからの閲覧の際にも表示されることになり、スマートフォンの小さいブラウザの中で表示されるメッセージは大きな存在感があります。 「安全ではない」、「保護されていない」という言葉は過剰な表現ではなく、実際にサーバーとブラウザとの間の通信が安全と保証されていない状態、暗号によって保護されていない状態なのです。 アドレスがhttpsから始まるサイトは暗号化された通信で、表示された内容、入力された内容は盗聴や改ざんをされることはありません。 アドレスをhttpsにするSSL対応はサーバーにSSL証明書を設置し、httpのアドレスにきた要求をhttpsのアドレスに置き換えるための設定を行います。 SSL証明書にも色々なものがあり、ドメインを認証するDV型、企業の存在とドメインが結びついたものである証明を含めたEV、OV型という種類があります。 銀行などはEV型の企業の実在証明などが厳密に審査されており、ブラウザで緑色で企業名が表示されるなどの表記になります。これにはそれなりの期間と、審査証明のための費用が高額です。 一方DV型は手軽に入手できる証明書で、年間で1万円を切るものもあり、SSL対応するためにはもっとも扱いやすいものです。 DV型でも通信を暗号で保護しユーザーの安全を守るものとしては十分なので、素早くするためにもこちらの導入をお勧めしたいところです。 ホームページに来たくださる方に安心したアクセスをしてもらえるようにSSL対応するのは今すぐ行って欲しい施策です。

  • パソコン関連

Windows7とXPに深刻な脆弱性

noimage

Windows7とXPに深刻な脆弱性

Windows7、Windows XP、Windows 2008、Windows2008R2に深刻な脆弱性が発見されました。 これらは2019年5月の定例アップデートでセキュリティアップデートが配布されており、早急な適応が必要です。 今回はセキュリティアップデートが終了しているWindows XPに対しても例外的に配布されています。 それだけ影響の大きい脆弱性であるため、該当OSを利用している方はアップデートを先延ばしにせずに今すぐアップデートを行う必要があります。 Windows8、8.1、10にはこの脆弱性はないようです。 リモートデスクトップの脆弱性を利用してリモートから任意のコードを実行するもので、この脆弱性を放置していればそれを悪用した攻撃や、攻撃によって発生したセキュリティホールに対して新たな攻撃が加えられることが予想されます。 現状ではこの脆弱性による被害というものは出ていないようですが、パッチ公開後は極めて短い時間のうちにこれを利用した攻撃が発生することになります。 Windows7以前でしか発生しない脆弱性というのも今後発見される可能性が高く、Windows7をサポートギリギリまで粘るのではなく出来るだけ新しいバージョンのWindowsを利用することが望ましいです。

  • パソコン関連

HTTPSを導入しないリスク

noimage

HTTPSを導入しないリスク

Googleが各WebサイトへHTTPSの導入を促したり、Let's Encrypt無償のSSLの配布によってHTTPSが推進されることにより、HTTPSが導入サイトが急激に増えています。 HTTPSが導入されたサイトはブラウザとサーバーとの間の通信が暗号化されており、安全にサイトが利用することができます。 WEBサイト運営者は安全に利用者に対してサイトの情報を提供することができます。 ユーザーがHTTPSを導入したサイトを利用しないリスクとしては、パスワードなどを含めた個人情報が流出してしまう、ユーザーが偽サイトに誘導される、あるいは本来意図していないをダウンロードしてしまうという、などが挙げられます。 HTTPSを導入していないサイトではブラウザとサーバー間が一切暗号化されていないため、通信経路で盗聴することを防ぐことができません。 インターネットは個人のPCとサーバーとの間に、Wi-Fiアクセスポイント、スイッチングハブ、ルーター、プロバイダ、プロバイダからも目的サーバーまでに複数のサーバーを中継していきます。 その間に何らかの悪意あるサーバーや機器所有者がいる場合、情報流出の可能性があります。 現在フリーWi-Fiなども普及している中でこれらのリスクは無視することができません。個人情報を記入した入力フォームなどでは特に気をつけることです。 サイトのドメイン・アドレス(www.sys-cube.co.jp)はそれぞれDNSという仕組みによりIPアドレスに変換され、目的のサーバーに接続する仕組みです。 HTTPSのサイトの場合はIPアドレスとドメインがマッチしているかは検証されます。HTTPSサイトではない場合、現在利用しているDNSが変換するIPアドレスのサーバーに誘導されます。このDNSに不正が行われている場合、偽のサイトに接続しても警告されることがありません。 これらも先ほどの経路上の悪意によって不意なタイミングで被害を受ける可能性があります。 これらによる被害がユーザーに出た場合、サイト運営者としては早めのHTTPS化を行なっていれば未然にこれを防げたことになります。 HTTPS化を行えばこれらリスクを防止が可能であり、運営者は早めにこれらを導入することが必要です。

  • パソコン関連

お問い合わせフォームの迷惑投稿対策

noimage

お問い合わせフォームの迷惑投稿対策

お問い合わせフォームに外国語だけの迷惑問い合わせに苦心しているというお話はよく耳にします。 なぜ迷惑問い合わせがあるのかという理由ですが、かならず迷惑問い合わせの中にはURLやメールアドレスが含まれているはずです。 そちらのURLリンクをクリックさせて不審なサイトに接続させることが目的になっています。 このような手口はかなり古くに遡るものです。 迷惑問い合わせがあった場合、まずこのリンクは絶対にクリックしないようにする必要があります。 お問い合わせフォームの迷惑対策について様々な対応方法があり、それらを簡単にご紹介します。。 Wordpressを利用しているサイトであれば、Akismetというプラグインを導入することでかなりの迷惑メールを抑制できます。 またこの内容でよろしいですかというような画面を一つ挟むと送信者の自動化プログラムが対応できない可能性もあり、簡単な実装でお勧めできるものです。 あるいはCAPTCHAという、読みにくく変形された文字列を読み取らせて入力者が人間であるという確認をするというものもあります。 こちらはWEBサービスのアカウント作成やログイン時によく目にする方も多いかもしれません。 技術的なものになりますが、送信者のIPアドレスでこれらをブロックしてしまうことも可能です。 ファイアーウォールに迷惑投稿発信が多い国からの接続をブロックしてしまう方法です。 多くの迷惑投稿がロシアや東欧圏のIPアドレスを持つことからこれらからページにアクセスできないようにします。 ファイアーウォールで設定できない場合も、Webサーバーがオーバーライド可能に設定されていれば.htaccessでIPアドレスを拒否することができます。 このような方法で迷惑投稿をなくし、選り分ける無駄な時間を削減することができます。

  • パソコン関連

FTPを使うのをやめた方がいい理由

noimage

FTPを使うのをやめた方がいい理由

主にWebサイトのアップロード・公開のためにFTPは長年利用されてきました。 しかし近年SSHを利用したSFTPの利用が進んでおり、セキュリティの安全性で桁違いのものになります。 セキュリティを重んじるのであればFTPを使わざるを得ない場合以外はSFTPを利用すべきです。 セキリュティの大きなポイントとしてSFTPはパスワードによる認証を拒否するという設定ができます。 公開鍵方式のログイン以外をシャットアウトできるのです。 FTPはパスワードのみの送信で、かつパスワードの送信は暗号化されていない平文のものです。 FTPのパスワードは辞書を利用したものや総当たりでパスワードを突破する方法をとることが可能です。 またフリーWi-Fiなどでパスワードを送信した場合平文であるためにどこかの部分で盗聴される危険性があります。 十分に複雑なパスワードでも使い回しなどをしている場合は辞書を利用した攻撃で突破されてしまいます。 十分に複雑なパスワードでなくともユーザーが設定が可能なため、すべての利用者に複雑なパスワードを強要する仕組みもまたありません。 公開鍵方式のログインを突破する方法は現状不可能に近いものです。 これは現在の計算能力に優れたコンピュータでも暗号解読のために百年以上の長い時間が必要であるため、公開鍵方式の暗号は世界各所の政府・企業などあらゆるところで利用されています。 FTPを今後も使うという場合はあると思われますが、SFTPの方が絶対的に安全であることを常に意識し、可能であれば早く移行してしまうべきです。

  • パソコン関連

パスワードの使い回しをやめるべき理由

noimage

パスワードの使い回しをやめるべき理由

昨今の個人が関わるセキュリティで最も深刻なものがパスワードの使い回しです。 パスワードと個人情報がセットで流出した、多い場合は数千万件が流出というニュースになります。 それも報道される範囲、公表される範囲でのお話で、実際のところ漏洩しても追及がない限り公表しないサービスもあると考えられます。 またおおよその場合、気が付いた時にはすでに遅いという場合が多いものです。数ヶ月前に漏洩していた、という形のニュースにもなることがあります。 この場合、メールアドレスに紐づく氏名、パスワードなどは個人のセキュリティに大きく関わります。 メールアドレスとパスワードが流出してしまった場合、それらのセットを利用して悪意を持ったものが他のメジャーなサービスへのログインが将来的に試みられることになるでしょう。 これは自分には関係のないことと考えることがまず危険なことです。 そしてログインが成功したらアカウントの乗っ取りではなくさらなる情報収拾が行われることになります。 メールアドレスとパスワードを完全にセットにして使い回している人は、今すぐにでも変更するアクションをしていくべきです。 また氏名や誕生日などから想像できるパスワードも、このような漏洩データがある場合は大変危険なものになります。 十分な文字数を持つ別々の強いパスワードを各サービスで利用することが最も安全です。 ただ多すぎると覚えきれなくなりますので、ブラウザのパスワード生成や管理機能などを賢く使うなどの工夫が必要です。 覚えやすい文字列に数文字をバラバラに追加するだけでもパスワードとしての強度は使い回しているものよりははるかに安全です。 パスワード使い回しによる連鎖的な情報漏洩を防ぐためにも同じパスワードの使い回しの危険性を認識するべきでしょう。

  • パソコン関連

Gmailにメールが届かない

noimage

Gmailにメールが届かない

Gmailに迷惑メールにも入らない形で完全にブロックされてしまいメールが届かないということが稀に発生します。 全てのメールなどで確認しても見つけられない、また他のメールアドレスに送信した場合届くような条件が整った場合、おそらくGmailのブラックリストに入ってしまっている可能性が濃厚です。 これはメールアドレスがブラックリストに入っているのではなく、送信元のメールサーバーのIPアドレスがブラックリスト入りしていることになります。 SPAMメールの送信が多く、SPAM報告の多いサーバーの情報が数社によって集められ、その企業の提供するブラックリストをメールサービスが共有して利用しています。 G Suiteの管理機能を使えばブラックリスト入りしているかどうかを確認し、ホワイトリストに追加することができます。 以前あったケースであれば下記の対応でした。 送信した時間とメールアドレスを教えていただいてG Suiteのメールログを確認すると、ブロックされたメールはステータスが返送となっています。 送信者のSMTPサーバーのIPアドレスを教えてもらいそれをホワイトリストに追加することで無事受信ができるようになりました。 国内のISPメールでも共用サーバーの中にSPAM送信が多いアカウントがいるとブラックリストに追加されてしまう可能性があります。 Gmailだけには全く届かないということが起こる場合、おおよそこのホワイトリストへの追加で解決します。

1 2 3 7