システム屋さんの忘備録

訪問ありがとうございます。システム屋と経営者・ユーザーとのやりとり、社内SE・システム管理者向け情報、生まれ育った京阪神の情報ブログです。このページへは「システム屋さん」で検索。

情報処理安全確保支援士の創設

サイバー安全対策強化へ法律改正案が閣議決定されました。その中でも今までの情報セキュリティスペシャリスト試験に代わって更新が必要な情報処理安全確保支援士試験が創設されます。情報セキュリティスペシャリスト試験は合格率が15%ほどで3,000人(平均約36歳)ほどの合格者がいます。また国内のセキュリティ関連試験の中では最難関となっています。

打ち合わせ

情報処理安全確保支援士を2020年までに遠藤オリンピック・パラリンピック担当大臣は3万人にするという計画らしいですが質を落とすことの出来ない分野ですのであらゆる手段を使って広報活動が実施されると思われます。一般企業でも社内システム管理者に要求される国家資格になるかも知れません。それでも3万人確保は難しいと思います。どうなるのでしょうか?

日本年金機構の情報漏洩では個人情報を扱うにはセキュリティリテラシー不足が原因でした。今回の改正で日本年金機構を内閣サイバーセキュリティセンターの監視対象にしたようで情報漏洩が再発しないように願うばかりです。医師などでも専門の情報共有サイトがあるように情報処理安全確保支援士ネットワークで最新のセキュリティ情報を共有して必要に応じて一般にも公開するとシステム管理者は助かると思います。

会社のセキュリティは大丈夫か?

今回の年金情報漏洩問題が発生してから「会社のセキュリティは大丈夫か?」と社内システム管理者に聞いてくる経営者が増えています。管理者は漏洩内容を知れば知るほど経営者に「はい大丈夫です」と答えにくいようです。セキュリティコストをかけない経営者ほど答えの難しい質問をしてきます。

レントゲン

ほとんどの経営者はセキュリティ対策の提案に対して、費用が高い、今まで感染したことが無い、そこまで運用出来ない等でセキュリティ対策導入をしていません。今まで大丈夫だったのは「狙われていなかった」だけであって今回のようなメールで標的にされれば高い確率で情報流出に繋がります。

年金機構ではメールと年金情報操作が同じPCで可能だったので可用性を優先したようです。「メールができなければ仕事にならない」「メール操作する同じパソコンで年金情報を操作する必要がある」と言ったきたセキュリティ感覚の無いユーザー、管理者の責任は逃れられません。今回の漏洩でセキュリティ導入コストを上回る費用がかかります。

銀行などではクローズされた特定の端末で無いと情報の操作閲覧できません。またプライバシーマーク等を取得している銀行はほとんどありません。銀行にとってプライバシーマーク程度の管理では不十分と思います。重要な情報管理セキュリティ対策には機密性 完全性 可用性に加えて完全な情報分離(クローズ環境)が必要と思います。

Superfishと言う広告ソフト

パソコンメーカーは価格競争により個人向けハードウエアの価格差はほとんどありません。メーカーはパソコンにウイルス対策ソフトなどをプレインストールや延長更新するとセキュリティ対策会社から1台当たり数十円から数百円の手数料を稼ぎます。今回問題なったのは中国レノボ社のSuperfishと言う広告ソフトです。

レノボPC

Superfishは、Webの検索結果に広告を挿入して表示するソフトウエア(アドウエア)です。ご丁寧に独自のルート証明書を使って、SSLによる通信を“乗っ取る”機能を備えているそうです。つまりクレジット、銀行情報などが自動的に中国のサーバーに送信されていたことになります。外部からの指摘で判明しメーカーは削除ツールを先週発表しました。

初心者にはこのツール手順書は証明書削除もあり複雑です。このようなソフトを広告ソフトをインストーールする感覚が理解できません。ただでさえYoutubeなどの広告でうんざりなのにSSLまで対象にした広告が表示されるのは困りものです。Javaのアップデートでもそのまますべて「はい」で更新するとホームページが変わったり既定の検索エンジンが変更されたりしますので注意しましょう。

Superfish削除ツール
http://support.lenovo.com/jp/ja/documents/ht102634

SUPERFISHに関するレノボの見解、対象機器
http://support.lenovo.com/jp/ja/documents/HT102632

Wi-Fi接続は危険なのでしょうか?

Wi-Fi接続は危険なのでしょうか?と言う問い合わせが先日から急に増えました。テレビでスマホを乗っ取る様子を放送していたようです。Wi-Fi接続は手軽に誰でもできるようになりましたが仕組みを理解して設定できる方は少ないのが現状です。

Wi-Fi設定時にパスワードを設定する、ホテルなどではなるべくdocomo Wi-Fiなどの自分の接続を利用しキーが不要の公衆Wi-Fiにはなるべく接続しないようにする。設定時にはバッファローのAOSS接続など手軽に高いセキュリティ接続が可能な仕組みを利用することです。しかしWi-Fiに限らずフィッシングサイトに誘導されエージェントをインストールされればLAN接続でも乗っ取られてしまいます。防止するためにウイルス対策ソフトなどを常に最新に更新するようにします。

ノートパソコン

話は変わりますが十年ぐらい前では外部サプライヤーに依頼するとネットワーク設計と言うだけで約30万円ほどかかりその上に機器代や工事料で結構な金額がかかりましたが、最近は機器の高性能化と低廉化で正しく設定すれば社内システム管理者でも設置ができるようになりました。しかし天井裏のLANと電源の配線、セキュリティの設定、ルーターや中継器の機器の管理システムのインストールなど規模が大きくなると専門の業者に依頼する事になります。外注した時は外部サプライヤーからネットワーク図、機器の操作方法やログの読み方などを記載した完成図書を受取り運用に当たります。

ノートパソコン、タブレットなどの管理

増え続けるモバイル端末の管理に社内システム管理者はルール作りから運用まで色んな苦労があると思います。先日ある会社で社内規定を作成していました、モバイル端末の管理では「社外へ持ち出し禁止」「盗難防止チェーン装着」などと訳のわからないようなルール作りをしていました。初めての社内ルール作りには同業他社の情報を入手する方が手っ取り早いと思います。

モバイルデバイス

モバイル端末にはそれなりのセキュリティ対策が機器に施されています。まずは今ある機能を活用することが重要です。例えばBIOSパスワード設定です、この機能は起動時にBIOSレベルで制御しますので容易には突破できません。次に手間がかかりますがデータの暗号化です。これらの機能の活用を社内ルールとした方がいいでしょう。

最近では盗まれたモバイル端末を取り返す仕組みが販売されています。年額3,740円から利用できます。Windows、Mac、Linux、Windows Mpbile、Blackberry、Symbian、Androidなどが対応しています。資産管理、位置情報トラッキング、盗難/紛失時の遠隔データ消去およびロック、PCの発見と回収サービスができるようです。評価版が試用できますので一度試されたらいかがでしょうか。。
詳しくはこちら → Absolute Software ホームページ

マイナンバーなどの制度改正対応

2016年1月からマイナンバーがスタートします。給与系システムではプログラム作成が急がれています。特に企業のマイナンバー管理の負担は大きくなるようです。正社員、パート、従事者の家族も対象になります。漏洩し悪用(なりすまし等)されれば企業への賠償責任も発生しますのでセキュリティは現在より一層高める必要があります。特に情報へのアクセス権やマイナンバーの本人確認には工夫が必要です。

販売管理システムにおいても法人番号の管理が必要になります。個人番号に比べると制約が無いので自由に使うことができます。また公表もされるようです。12桁の番号とチェックデジット1桁の13桁の番号になります。プログラム的にも分散管理しなくてもいいので容易と思います。

情報システム室

ベネッセの件もあり企業の個人情報の管理、セキュリティの強化は必須の課題です。社内でアクセス権設定するためのルールが無い会社が多いのが実情です。このアクセス権設定を判断できる経営者は少ないのです、社内システム管理者は経営者に機密性(Confidential)、完全性(Integrity)、可用性(Availability)(略称 C.I.A)と言う情報セキュリティの三要素から説明をしなければいけません。ベネッセの対策でもアクセス権の見直しという表現がありました、それだけアクセス権の設定は難しいのです。あなたの会社にアクセス権設定基準はありますか?

その他の制度改正
2015年12月より義務づけ メンタルヘルス対策  (従事者50人以上)

ルータの脆弱性にDDoS(ディードス)攻撃が発生

今回の攻撃対象はプロバイダーのサーバーです。その攻撃によってプロバイダー対処するまでネットが使えなくなります(通信障害)、愉快犯か別の目的があるかも知れません。報道によるとルーターのファームウエアを最新にしておけば対策されているようです。ルーターメーカーのサポートページに更新ファームウエアがあります。(バッファローに関してはこちら)
ルーター
【参考イメージ / 画像クリックでバッファローダウンロードページへ】

エージェントが知らないうちに侵入し指示を待っているパソコンが世界中に多数あります。そこに攻撃者が目標と規模のシグナルを送ると攻撃目標のサーバーへDDoS攻撃をしかけ業務を停止させます。このような特定の目標を攻撃するDDoS(ディードス)はアンダーグラウンドで売買されているようです。対策としては国内のセキュリティ会社で常時モニタリングしてネットワーク監視する固定IP使用の法人向けのサービスがありますがそれなりの費用がかかります。

ルーターには外部からのアクセスを記録する機能があります。分析にはスキルが必要ですが社内システム管理者は定期的にグローバルおよびローカルネットワーク状況を監視する必要があります。最近では負荷をかけずにモニタリングできる法人向けの仕組みが多数販売されています。価格も以前に比べると安くなってきましたが、管理は地味な仕事ですのでシステム管理者の意欲、使命感、スキルに依存することになります。
ブログ内検索フォーム
インデックス
人気ランキング参加してます
人気ブログランキングへ 
法人向けPC、サーバー、他
Translation