システム屋さんの忘備録

訪問ありがとうございます。システム屋と経営者・ユーザーとのやりとり、社内SE・システム管理者向け情報、生まれ育った京阪神の情報ブログです。このページへは「システム屋さん」で検索。

ウイルス対策ソフト 2017年1月31日

ウイルス対策ソフトは何を入れていますか、以前あるウイルス対策ソフトを入れたところ「基幹業務が止まる」という致命的な結果とその対策ソフトメーカーの対応に失望したことがあります。サーバー管理者としてはMicrosoft純正以外は経験上入れていないのですがブラウザ開発者にとっても同じようです、MSの純正は性能が低いと「裏付けも無く」言われている方が多いようです。

MS

以下転載
Mozillaの開発者だったロバート・オカラハン氏がブログで、「ウィルス対策ソフトはひどい。Microsoft純正のもの以外はインストールするべきではない」と述べています。どうやら、ウイルス対策ソフトはブラウザ開発者にとって大きな障害になっているようです。
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

オカラハン氏は、多くのウイルス対策ソフトについて「ウイルス対策ソフトでセキュリティが向上するという証拠はほとんどない」とブログで明言しています。GoogleのProect Zeroがウイルス対策ソフト・ノートンに25個のバグがあることを発見したことについては、「ウイルス対策ソフト開発者は標準的なセキュリティ対策に従っておらず、ウイルス対策ソフトに含まれるバグのせいで攻撃経路が作られてしまっている」と述べています。ただし、Microsoftのウイルス対策ソフト「Microsoft Security Essentials」だけは例外的に優秀だとのこと。
詳しくは → http://gigazine.net/news/20170131-stop-using-antivirus/

こんな記事も
http://gigazine.net/news/20170131-trend-micro-200-vulnerabilities/

ウイルス付きメールに注意 2017

ほとんどの社内システム管理者は毎年2日の仕事始めが多いようです。日頃できないサーバのファームウエア、BIOS、ドライバー等のアップデート、不審なファイルが無いかどうかなどやるべき事は沢山あります。

最近、企業や行政機関を狙ったサイバー攻撃が巧妙化する中、実在する企業や個人を装ってウイルスつきのメールを送りつけるケースが相次いでいます。Microsoft社の調査によると企業の約90%が既に侵入済みとの驚きのデータがあります。

感染を待つ

侵入経路は電子メールの添付ファイルが多いようです。「新年のごあいさつ」「請求書」「新年会のご案内」などで送付されます。クリックすると同時に感染しますがユーザーは気づきません。メールの便利な機能は「添付ファイル」ですが、「ファイルを開くな」と言っても検疫担当者を置いている大企業以外では添付ファイルの拡張子、メールアドレスは自在に変更できるので防ぐことはできません。

攻撃者は侵入したパソコンのパスワードや内部情報からネットワーク内を調査します、次に他のパソコンも感染させます、ユーザーに知られること無く侵入から2日ぐらいですべての情報の抜き取りが可能になります。この状態の企業が多くある事を認識するべきでしょう。

長期休暇における情報セキュリティ対策
https://www.ipa.go.jp/security/measures/vacation.html#section2

システム関連予算の獲得

3月期決算の企業では予算作成する時期になりました。経営者を説得しなければならないのでシステム管理者の中には苦手な方がいます。専門用語を並べて詳しい説明をする方もいますがこれは逆効果でプレゼンや提案ではなるべく専門用語を使用しない事が重要です。それでも経営者から「それは必要か」「結果が目に見えない」と言われなかなか思うように予算が取れないとぼやきを聞く季節です。

zerodium
脆弱性買い取り価格

マネジメント(ドラッカー)ではコストを生産的コスト、補助的コスト、監視的コスト、浪費的コストの4つの種類に分けています。予算作成が比較的容易なのは生産、販売、営業、サービスなどの生産的コスト、総務(日本特有の組織)や経理などの管理部門の費用、またパソコンや事務用品などを含めた補助的コストです。セキュリティ対策などの予算は監視的コストになります。この監視的コストは費用対効果を示しにくいのが特徴で与信管理や警備にかかるコストがあります。セキュリティ予算作成では対策が「ある時」「無い時」を分かりやすく見えるように提案する必要があります。

経営者から「うちのセキュリティは大丈夫か」と聞かれて「はい」とウソを言っていませんか?今や会社のデータを狙う攻撃者は確実に内部情報を入手する時代です。侵入スキルは向上しそれをサポートするツールが出回っているのです。侵入ツールはマーケットで高値で取引されています。例えば脆弱性の価格はアップルのiOS 10では150万ドル、Android7では20万ドル程度で買い取ってくれます、と言うことは攻撃者等はそれ以上の利益を上げていると思われます。

独立行政法人情報処理推進機構 技術本部セキュリティセンター
サイバーセキュリティ経営ガイドライン解説書 (IPA)

陸上自衛隊の内部情報が流出した可能性

先日「防衛省へのサイバー攻撃」報道がありました。車で移動中に聞いたのですがその内容は「流出した」「大規模な国家機関の関与」と報道していました。某国の国家機関が狙えばオープン系のネットワークはハッキングされる可能性は高いと思われます。

内閣サイバーセキュリティ

仕事柄「当社の情報セキュリティはどうか」と経営者に聞かれます。その時は「大いにリスクはあります」と答えています。中小企業で上記の様な「国家機関」から狙われたらひとたまりもありません。必要が無いので狙わないだけなのです。その内容は従来のイタズラや愉快犯から実利を得るための攻撃が主流になっています。

情報漏洩は社員など人的な原因が60%以上を占めます。対策として情報管理の社内ルール作成と社内教育を十分に行う。クローズネットワークの利用(外部と繋がっていない環境)。社内連絡はグループウエア等を利用しEメールの成りすましのリスクを低減する。詳しくは下記のサイバーセキュリティ対策のページが分かりやすいです。

【サイバーセキュリティ対策はこちら】
http://www.nisc.go.jp/index.html

情報処理安全確保支援士の創設

サイバー安全対策強化へ法律改正案が閣議決定されました。その中でも今までの情報セキュリティスペシャリスト試験に代わって更新が必要な情報処理安全確保支援士試験が創設されます。情報セキュリティスペシャリスト試験は合格率が15%ほどで3,000人(平均約36歳)ほどの合格者がいます。また国内のセキュリティ関連試験の中では最難関となっています。

打ち合わせ

情報処理安全確保支援士を2020年までに遠藤オリンピック・パラリンピック担当大臣は3万人にするという計画らしいですが質を落とすことの出来ない分野ですのであらゆる手段を使って広報活動が実施されると思われます。一般企業でも社内システム管理者に要求される国家資格になるかも知れません。それでも3万人確保は難しいと思います。どうなるのでしょうか?

日本年金機構の情報漏洩では個人情報を扱うにはセキュリティリテラシー不足が原因でした。今回の改正で日本年金機構を内閣サイバーセキュリティセンターの監視対象にしたようで情報漏洩が再発しないように願うばかりです。医師などでも専門の情報共有サイトがあるように情報処理安全確保支援士ネットワークで最新のセキュリティ情報を共有して必要に応じて一般にも公開するとシステム管理者は助かると思います。

会社のセキュリティは大丈夫か?

今回の年金情報漏洩問題が発生してから「会社のセキュリティは大丈夫か?」と社内システム管理者に聞いてくる経営者が増えています。管理者は漏洩内容を知れば知るほど経営者に「はい大丈夫です」と答えにくいようです。セキュリティコストをかけない経営者ほど答えの難しい質問をしてきます。

レントゲン

ほとんどの経営者はセキュリティ対策の提案に対して、費用が高い、今まで感染したことが無い、そこまで運用出来ない等でセキュリティ対策導入をしていません。今まで大丈夫だったのは「狙われていなかった」だけであって今回のようなメールで標的にされれば高い確率で情報流出に繋がります。

年金機構ではメールと年金情報操作が同じPCで可能だったので可用性を優先したようです。「メールができなければ仕事にならない」「メール操作する同じパソコンで年金情報を操作する必要がある」と言ったきたセキュリティ感覚の無いユーザー、管理者の責任は逃れられません。今回の漏洩でセキュリティ導入コストを上回る費用がかかります。

銀行などではクローズされた特定の端末で無いと情報の操作閲覧できません。またプライバシーマーク等を取得している銀行はほとんどありません。銀行にとってプライバシーマーク程度の管理では不十分と思います。重要な情報管理セキュリティ対策には機密性 完全性 可用性に加えて完全な情報分離(クローズ環境)が必要と思います。

Superfishと言う広告ソフト

パソコンメーカーは価格競争により個人向けハードウエアの価格差はほとんどありません。メーカーはパソコンにウイルス対策ソフトなどをプレインストールや延長更新するとセキュリティ対策会社から1台当たり数十円から数百円の手数料を稼ぎます。今回問題なったのは中国レノボ社のSuperfishと言う広告ソフトです。

レノボPC

Superfishは、Webの検索結果に広告を挿入して表示するソフトウエア(アドウエア)です。ご丁寧に独自のルート証明書を使って、SSLによる通信を“乗っ取る”機能を備えているそうです。つまりクレジット、銀行情報などが自動的に中国のサーバーに送信されていたことになります。外部からの指摘で判明しメーカーは削除ツールを先週発表しました。

初心者にはこのツール手順書は証明書削除もあり複雑です。このようなソフトを広告ソフトをインストーールする感覚が理解できません。ただでさえYoutubeなどの広告でうんざりなのにSSLまで対象にした広告が表示されるのは困りものです。Javaのアップデートでもそのまますべて「はい」で更新するとホームページが変わったり既定の検索エンジンが変更されたりしますので注意しましょう。

Superfish削除ツール
http://support.lenovo.com/jp/ja/documents/ht102634

SUPERFISHに関するレノボの見解、対象機器
http://support.lenovo.com/jp/ja/documents/HT102632

ブログ内検索フォーム
インデックス
人気ランキング参加してます
人気ブログランキングへ 
法人向けPC、サーバー、他
Translation