企業が自社内で管理していないソフトウェアやクラウドサービスなどの導入をシャドーITと呼びます。 シャドーITは企業のセキュリティに大きな隙を作ってしまうことにもなるリスクの高いものです。 シャドーITの例として ・LINEを独自に個人アカウントで利用し、社内の機密を含んだ情報共有や画像・動画などの共有に使っていた ・クラウド型のオンラインストレージを勝手に利用してファイルの……
現在様々なクラウドサービス、プラットフォームが利用され、それぞれのサービスを利用する上で重要なのはセキュリティです。 現在までに使われていたパスワード型の認証に変わって、スマートフォンを利用した二段階認証が多く用いられ始めています。 パスワード認証はログインIDとパスワードの使い回しや簡単なパスワードの問題によって今まで多くのセキュリティの事件や事故が起こってきました。 二段階認……
国税庁が積極的に利用を促しているe-Tax(国税電子申請・納税システム)ですが、これを利用するための電子証明書を発行してみました。 従来e-Taxを利用するためにはFelicaリーダーを用意して、電子証明書を記録されたICカードを読み込ませるという手順が必要で、そのICカードを申請するために書類作成と認証までの時間が必要でした。 法務局が管理運営している商業登記認証局の電子証明書は鍵ペ……
Webサイトの常時SSL対応、https化について必須と呼べるものになりました。 現状最も使われているブラウザでSSL対応していないホームページは「安全ではありません」、「保護されていない通信」とアドレスバーに表示されるようになりました。 これはスマートフォンからの閲覧の際にも表示されることになり、スマートフォンの小さいブラウザの中で表示されるメッセージは大きな存在感があります。 ……
Windows7、Windows XP、Windows 2008、Windows2008R2に深刻な脆弱性が発見されました。 これらは2019年5月の定例アップデートでセキュリティアップデートが配布されており、早急な適応が必要です。 今回はセキュリティアップデートが終了しているWindows XPに対しても例外的に配布されています。 それだけ影響の大きい脆弱性であるため、該当OS……
Googleが各WebサイトへHTTPSの導入を促したり、Let's Encrypt無償のSSLの配布によってHTTPSが推進されることにより、HTTPSが導入サイトが急激に増えています。 HTTPSが導入されたサイトはブラウザとサーバーとの間の通信が暗号化されており、安全にサイトが利用することができます。 WEBサイト運営者は安全に利用者に対してサイトの情報を提供することができます。……
お問い合わせフォームに外国語だけの迷惑問い合わせに苦心しているというお話はよく耳にします。 なぜ迷惑問い合わせがあるのかという理由ですが、かならず迷惑問い合わせの中にはURLやメールアドレスが含まれているはずです。 そちらのURLリンクをクリックさせて不審なサイトに接続させることが目的になっています。 このような手口はかなり古くに遡るものです。 迷惑問い合わせがあった場合、……
主にWebサイトのアップロード・公開のためにFTPは長年利用されてきました。 しかし近年SSHを利用したSFTPの利用が進んでおり、セキュリティの安全性で桁違いのものになります。 セキュリティを重んじるのであればFTPを使わざるを得ない場合以外はSFTPを利用すべきです。 セキリュティの大きなポイントとしてSFTPはパスワードによる認証を拒否するという設定ができます。 公開……
昨今の個人が関わるセキュリティで最も深刻なものがパスワードの使い回しです。 パスワードと個人情報がセットで流出した、多い場合は数千万件が流出というニュースになります。 それも報道される範囲、公表される範囲でのお話で、実際のところ漏洩しても追及がない限り公表しないサービスもあると考えられます。 またおおよその場合、気が付いた時にはすでに遅いという場合が多いものです。数ヶ月前に漏洩し……
Gmailに迷惑メールにも入らない形で完全にブロックされてしまいメールが届かないということが稀に発生します。 全てのメールなどで確認しても見つけられない、また他のメールアドレスに送信した場合届くような条件が整った場合、おそらくGmailのブラックリストに入ってしまっている可能性が濃厚です。 これはメールアドレスがブラックリストに入っているのではなく、送信元のメールサーバーのIPアドレス……