システム屋さんの忘備録

訪問ありがとうございます。システム屋と経営者・ユーザーとのやりとり、社内SE・システム管理者向け情報、生まれ育った京阪神の情報ブログです。このページへは「システム屋さん」で検索。

システム関連予算の獲得

3月期決算の企業では予算作成する時期になりました。経営者を説得しなければならないのでシステム管理者の中には苦手な方がいます。専門用語を並べて詳しい説明をする方もいますがこれは逆効果でプレゼンや提案ではなるべく専門用語を使用しない事が重要です。それでも経営者から「それは必要か」「結果が目に見えない」と言われなかなか思うように予算が取れないとぼやきを聞く季節です。

zerodium
脆弱性買い取り価格

マネジメント(ドラッカー)ではコストを生産的コスト、補助的コスト、監視的コスト、浪費的コストの4つの種類に分けています。予算作成が比較的容易なのは生産、販売、営業、サービスなどの生産的コスト、総務(日本特有の組織)や経理などの管理部門の費用、またパソコンや事務用品などを含めた補助的コストです。セキュリティ対策などの予算は監視的コストになります。この監視的コストは費用対効果を示しにくいのが特徴で与信管理や警備にかかるコストがあります。セキュリティ予算作成では対策が「ある時」「無い時」を分かりやすく見えるように提案する必要があります。

経営者から「うちのセキュリティは大丈夫か」と聞かれて「はい」とウソを言っていませんか?今や会社のデータを狙う攻撃者は確実に内部情報を入手する時代です。侵入スキルは向上しそれをサポートするツールが出回っているのです。侵入ツールはマーケットで高値で取引されています。例えば脆弱性の価格はアップルのiOS 10では150万ドル、Android7では20万ドル程度で買い取ってくれます、と言うことは攻撃者等はそれ以上の利益を上げていると思われます。

独立行政法人情報処理推進機構 技術本部セキュリティセンター
サイバーセキュリティ経営ガイドライン解説書 (IPA)

陸上自衛隊の内部情報が流出した可能性

先日「防衛省へのサイバー攻撃」報道がありました。車で移動中に聞いたのですがその内容は「流出した」「大規模な国家機関の関与」と報道していました。某国の国家機関が狙えばオープン系のネットワークはハッキングされる可能性は高いと思われます。

内閣サイバーセキュリティ

仕事柄「当社の情報セキュリティはどうか」と経営者に聞かれます。その時は「大いにリスクはあります」と答えています。中小企業で上記の様な「国家機関」から狙われたらひとたまりもありません。必要が無いので狙わないだけなのです。その内容は従来のイタズラや愉快犯から実利を得るための攻撃が主流になっています。

情報漏洩は社員など人的な原因が60%以上を占めます。対策として情報管理の社内ルール作成と社内教育を十分に行う。クローズネットワークの利用(外部と繋がっていない環境)。社内連絡はグループウエア等を利用しEメールの成りすましのリスクを低減する。詳しくは下記のサイバーセキュリティ対策のページが分かりやすいです。

【サイバーセキュリティ対策はこちら】
http://www.nisc.go.jp/index.html

情報処理安全確保支援士の創設

サイバー安全対策強化へ法律改正案が閣議決定されました。その中でも今までの情報セキュリティスペシャリスト試験に代わって更新が必要な情報処理安全確保支援士試験が創設されます。情報セキュリティスペシャリスト試験は合格率が15%ほどで3,000人(平均約36歳)ほどの合格者がいます。また国内のセキュリティ関連試験の中では最難関となっています。

打ち合わせ

情報処理安全確保支援士を2020年までに遠藤オリンピック・パラリンピック担当大臣は3万人にするという計画らしいですが質を落とすことの出来ない分野ですのであらゆる手段を使って広報活動が実施されると思われます。一般企業でも社内システム管理者に要求される国家資格になるかも知れません。それでも3万人確保は難しいと思います。どうなるのでしょうか?

日本年金機構の情報漏洩では個人情報を扱うにはセキュリティリテラシー不足が原因でした。今回の改正で日本年金機構を内閣サイバーセキュリティセンターの監視対象にしたようで情報漏洩が再発しないように願うばかりです。医師などでも専門の情報共有サイトがあるように情報処理安全確保支援士ネットワークで最新のセキュリティ情報を共有して必要に応じて一般にも公開するとシステム管理者は助かると思います。

会社のセキュリティは大丈夫か?

今回の年金情報漏洩問題が発生してから「会社のセキュリティは大丈夫か?」と社内システム管理者に聞いてくる経営者が増えています。管理者は漏洩内容を知れば知るほど経営者に「はい大丈夫です」と答えにくいようです。セキュリティコストをかけない経営者ほど答えの難しい質問をしてきます。

レントゲン

ほとんどの経営者はセキュリティ対策の提案に対して、費用が高い、今まで感染したことが無い、そこまで運用出来ない等でセキュリティ対策導入をしていません。今まで大丈夫だったのは「狙われていなかった」だけであって今回のようなメールで標的にされれば高い確率で情報流出に繋がります。

年金機構ではメールと年金情報操作が同じPCで可能だったので可用性を優先したようです。「メールができなければ仕事にならない」「メール操作する同じパソコンで年金情報を操作する必要がある」と言ったきたセキュリティ感覚の無いユーザー、管理者の責任は逃れられません。今回の漏洩でセキュリティ導入コストを上回る費用がかかります。

銀行などではクローズされた特定の端末で無いと情報の操作閲覧できません。またプライバシーマーク等を取得している銀行はほとんどありません。銀行にとってプライバシーマーク程度の管理では不十分と思います。重要な情報管理セキュリティ対策には機密性 完全性 可用性に加えて完全な情報分離(クローズ環境)が必要と思います。

Superfishと言う広告ソフト

パソコンメーカーは価格競争により個人向けハードウエアの価格差はほとんどありません。メーカーはパソコンにウイルス対策ソフトなどをプレインストールや延長更新するとセキュリティ対策会社から1台当たり数十円から数百円の手数料を稼ぎます。今回問題なったのは中国レノボ社のSuperfishと言う広告ソフトです。

レノボPC

Superfishは、Webの検索結果に広告を挿入して表示するソフトウエア(アドウエア)です。ご丁寧に独自のルート証明書を使って、SSLによる通信を“乗っ取る”機能を備えているそうです。つまりクレジット、銀行情報などが自動的に中国のサーバーに送信されていたことになります。外部からの指摘で判明しメーカーは削除ツールを先週発表しました。

初心者にはこのツール手順書は証明書削除もあり複雑です。このようなソフトを広告ソフトをインストーールする感覚が理解できません。ただでさえYoutubeなどの広告でうんざりなのにSSLまで対象にした広告が表示されるのは困りものです。Javaのアップデートでもそのまますべて「はい」で更新するとホームページが変わったり既定の検索エンジンが変更されたりしますので注意しましょう。

Superfish削除ツール
http://support.lenovo.com/jp/ja/documents/ht102634

SUPERFISHに関するレノボの見解、対象機器
http://support.lenovo.com/jp/ja/documents/HT102632

Wi-Fi接続は危険なのでしょうか?

Wi-Fi接続は危険なのでしょうか?と言う問い合わせが先日から急に増えました。テレビでスマホを乗っ取る様子を放送していたようです。Wi-Fi接続は手軽に誰でもできるようになりましたが仕組みを理解して設定できる方は少ないのが現状です。

Wi-Fi設定時にパスワードを設定する、ホテルなどではなるべくdocomo Wi-Fiなどの自分の接続を利用しキーが不要の公衆Wi-Fiにはなるべく接続しないようにする。設定時にはバッファローのAOSS接続など手軽に高いセキュリティ接続が可能な仕組みを利用することです。しかしWi-Fiに限らずフィッシングサイトに誘導されエージェントをインストールされればLAN接続でも乗っ取られてしまいます。防止するためにウイルス対策ソフトなどを常に最新に更新するようにします。

ノートパソコン

話は変わりますが十年ぐらい前では外部サプライヤーに依頼するとネットワーク設計と言うだけで約30万円ほどかかりその上に機器代や工事料で結構な金額がかかりましたが、最近は機器の高性能化と低廉化で正しく設定すれば社内システム管理者でも設置ができるようになりました。しかし天井裏のLANと電源の配線、セキュリティの設定、ルーターや中継器の機器の管理システムのインストールなど規模が大きくなると専門の業者に依頼する事になります。外注した時は外部サプライヤーからネットワーク図、機器の操作方法やログの読み方などを記載した完成図書を受取り運用に当たります。

ノートパソコン、タブレットなどの管理

増え続けるモバイル端末の管理に社内システム管理者はルール作りから運用まで色んな苦労があると思います。先日ある会社で社内規定を作成していました、モバイル端末の管理では「社外へ持ち出し禁止」「盗難防止チェーン装着」などと訳のわからないようなルール作りをしていました。初めての社内ルール作りには同業他社の情報を入手する方が手っ取り早いと思います。

モバイルデバイス

モバイル端末にはそれなりのセキュリティ対策が機器に施されています。まずは今ある機能を活用することが重要です。例えばBIOSパスワード設定です、この機能は起動時にBIOSレベルで制御しますので容易には突破できません。次に手間がかかりますがデータの暗号化です。これらの機能の活用を社内ルールとした方がいいでしょう。

最近では盗まれたモバイル端末を取り返す仕組みが販売されています。年額3,740円から利用できます。Windows、Mac、Linux、Windows Mpbile、Blackberry、Symbian、Androidなどが対応しています。資産管理、位置情報トラッキング、盗難/紛失時の遠隔データ消去およびロック、PCの発見と回収サービスができるようです。評価版が試用できますので一度試されたらいかがでしょうか。。
詳しくはこちら → Absolute Software ホームページ

ブログ内検索フォーム
インデックス
人気ランキング参加してます
人気ブログランキングへ 
法人向けPC、サーバー、他
Translation