投稿者: master

ＩＰＡ（独立行政法人 情報処理推進機構）のＨＰに「日常における情報セキュリティ対策」という記事が掲載されております。

情報セキュリティ対策は，一度実施すればよいものではなく，継続的に実施すべきものであるため，定期的な見直しや実施状況の確認を行うことも必要です。
情報セキュリティ対策をおろそかにしてしまうと，ウイルスに感染してシステムに問題が発生したり，不正アクセスによって情報が流出したりして，企業や組織が保有する個人情報など重要情報が漏えいするような事故が起こりかねません。
結果として，それまでに企業や組織が積み上げてきた社会的な信頼や評判にも大きな影響を与えかねません。
このような事態を招かないよう，下記の情報セキュリティ対策の各項目についてチェックし見直すなど行ってみてはいかがでしょうか。

組織のシステム管理者向け

・情報持ち出しルールの徹底

・社内ネットワークへの機器接続ルールの徹底

・修正プログラムの適用

・セキュリティソフトの導入および定義ファイルの最新化

・定期的なバックアップの実施

・パスワードの適切な設定と管理

・アクセス権限の再確認

 

組織の利用者向け

・修正プログラムの適用

・セキュリティソフトの導入および定義ファイルの最新化

・パスワードの適切な設定と管理

・不審なメールの取り扱いの徹底

・USBメモリ等の取り扱いの徹底

・社内ネットワークへの機器接続ルールの遵守

・ソフトウェアをインストールする際の注意

・パソコン等の画面ロック機能の設定

家庭の利用者向け

・修正プログラムの適用

・セキュリティソフトの導入および定義ファイルの最新化

・定期的なバックアップの実施

・パスワードの適切な設定と管理

・メールやSNSでの不審なファイルやURLに注意

・スマートデバイスのアプリ導入時の注意

・スマートフォン等の画面ロック機能の設定

上記項目については，
【ＩＰＡ（独立行政法人 情報処理推進機構）】の「日常における情報セキュリティ対策」（https://www.ipa.go.jp/security/measures/everyday.html）
から引用。

企業・団体内では組織が決めた情報セキュリティルールを順守し，情報セキュリティ事故を起さぬよう，最新の注意をしてください。
家庭内では，パソコンやスマホを狙うウイルスやネットの詐欺などインターネットにつながっている機器への攻撃が確認されています。
家庭内のインターネットにつながる機器の各製品提供元からの情報を確認し，ソフトウェアのアップデート等の対策が随時行われているかご確認下さい。

だんだんと気候も暖かくなり、暑いと感じる日もあるのではないでしょうか。
熱がこもると体調不良になるのは、人だけでなく、ネットワーク機器やＰＣなどのＩＣＴ機器も同様です。

今回は、これらＩＣＴ機器の熱対策について、お話しします。

１．ネットワーク機器が集中管理されている場合
　ネットワークを集中管理されている場合、機器は特定の設置場所（部屋）に集中しています。
　この設置場所の室温を空調等で管理されることをお勧めします。

２．ネットワーク機器が室内に置かれている場合
　ネットワーク機器やその周辺に綿埃等が溜まってますと、ネットワーク機器の吸気口から吸い込み、
　内部にて熱上昇の原因となります。
　ネットワーク機器の内部温度が高まりますと、排気ファンが高回転で排気を開始し、
　かなりの音量となりますし、故障の原因ともなります。
　こまめな清掃をお勧めします。

　また、稼働中のネットワーク機器へ掃除機やダストブロワー等で直接の清掃を行うと、故障の原因となります。
　電源を落としてから、清掃してください。

３．ＰＣについて
　ノートＰＣ、デスクトップＰＣを問わず、排気口・吸気口周辺の清掃をお勧めします。
　排気口・吸気口に掃除機やダストブロワー等で直接の清掃を行うと、故障の原因となります。
　周辺の清掃をお勧めしますが、どうしても気になる場合はＰＣの販売／保守業者にご相談してください。

年に一度の大掃除よりもちょこちょことした小まめな拭き取りなどが効果的とも言われています。
本格的に暑くなる前にいかがでしょうか。

先日、”楽天”がDocomo、ａｕ、ＳｏｆｔＢａｎｋに続く、第４のＭＮＯ（移動体通信事業者）
として参入するというニュースが報道されました。
早ければ、２０１９年１０月にもサービス開始される様です。
私たちスマートフォンやタブレットを使う利用者にとっては、さらに新たな製品やサービス
の選択肢が増えて、快適なモバイルライフが期待できそうです。楽しみですね＾＾

　さて今回は、これからスマートフォンやタブレットなどの”モバイル端末”やＳＩＭカードの
購入を検討される方に、知って得する情報をお話したいと思います。
　モバイル端末には大きく分けて、「ＳＩＭロック端末」と「ＳＩＭフリー端末」があります。
「ＳＩＭロック端末」とは、ＳＩＭカードが予め端末に挿入された状態で提供される端末の事
で、通話や通信は通信事業者の回線に限定されます。
「ＳＩＭフリー端末」は、ＳＩＭカードがセットされていないモバイル端末の事を言います。
SIMフリー端末で通話や通信を行うには、MNOやMVNO（仮想移動体通信事業者）が
提供するＳＩＭカードを別に購入して端末に挿入することで通信可能となります。
(WiFi環境に接続して通信する端末もあります。）

　SIMフリー端末は、様々な通信事業者のSIMカードを差し替えて利用できるメリットが
ありますが、そのメリットを賢く活用するにはＳＩＭカードとSIMフリー端末の相性をちゃんと
確認しておく必要があります。
　SIMフリー端末でネット通信を行うには、通信事業者が提供する回線の電波を利用して
通信しますが、その回線は通信事業者ごとに複数の電波の周波数帯（バンド）が割り当て
られていて（図１参照）、どの回線を利用するかは端末に挿入したＳＩＭカードで決まります。
例えば、ＵＱモバイルのＳＩＭカードを挿入したらａｕの回線を利用します。
　しかし、ここからが大切です。ＳＩＭカードを挿してどの回線を利用するか決まっても、端末
の通信仕様（図２）がその回線の電波の周波数帯（バンド）に対応していないと、その周波数
帯での通信はできなかったり、繋がりにくい状態となります。

　ＳＩＭフリー端末を購入（又は買い換え）するときや、ＳＩＭカードを購入（又は買い換え）する
ときは、デザインや操作性・サービス・値段だけでなく、端末とＳＩＭカードの通信に関する相性
も確認して購入しましょう。

最近はいろんなところでパスワードの設定を求められ、ついつい覚えやすい安易なパスワードを付与してしまいがちです。

米国のインターネット・セキュリティ企業スプラッシュデータの専門家が発表した、2017年「ハッカーに最も解読されやすい危険なパスワード」は下記の通り！
最も危ないパスワード「123456」、第2位「password」、第3位「12345678」となっています。
このほか、トップ20の中には、「football」、「iloveyou」、「admin」、「welcome」、「monkey」、「login」、「abc123」、「starwars」、「123123」、「dragon」、「passw0rd」、「master」等が含まれます。

ドキッとされた方もおられるのではないでしょうか。とはいえ、設定したパスワードを忘れてしまっては元も子もないですよね。
そこで、難解だけど覚えやすいパスワード作成のコツを紹介します。

1. まずは、1~2つの文を考え、英語またはローマ字表記に変換する
   （例）Ashita no Tenki ha Hare（明日の天気は晴れ）
2. 次に、スペースを消し、単語の短縮や一部をわざと間違えたものにする
   （例）ashitanotenkinihahaha　または、頭文字をとって　anthh
3. 最後に、どこかに数字を追加して完成！！
   （例）ashitanotenkinihahaha0327　2983anthh

新年度を機会に、パスワードを見直してみてはいかがでしょうか。

PCI DSS（クレジットカード事業者向けのセキュリティ標準）で、2018年6月30日までに「安全でないSSL/TLS」を「安全なTLS1.1以上」に移行する勧告が出されました。
SSL/TLSはセッション層に位置するセキュアプロトコルで、通信の暗号化、データ完全性の確保、サーバ（場合によりクライアント）の認証を行うことができます。
簡単に言うと、ブラウザからhttps://〜でアクセスすると、SSL/TLSのプロトコルにより、通信が暗号化され、盗聴を防ぐことができるということです。
SSL（Secure Socket Layer）は1994年にNetscape社によって作られたプロトコルで、その後継にあたるのがTLS（Transport Layer Security）です。
TLSのプロトコルバージョンは現在TLS1.2まであり、バージョンが後になるほど、以前の攻撃に対する対策が盛り込まれるため、より安全性が高くなります。
このため、普段利用しているサイトがTSL1.1以上に変更となり、利用できなくなる場合がありますので、その時は、ブラウザの設定を変更する必要があります。
ちなみに、Internet Explorerの場合は、｢インターネットオプション｣の中の｢詳細設定｣－
｢セキュリティ｣の中の｢TSL1.1の使用｣｢TSL1.2の使用｣にチェックを入れて下さい。

通販サイトは自宅にいながら買い物できるため、多くの方が日常的に利用し便利な買い物の手段として定着してきています。しかしながら、実在する通販サイトに見せかけた偽サイトによる情報や金銭をだまし取られてしまう被害も多く報告されています。　そこで、偽サイトによく見られる共通点とトラブルを回避する対策を紹介します。

＜偽サイトによく見られる共通点＞

表示義務を果たしていない
通販サイトでは、特定商取引法に基づいた表示をすることが事業者に義務付けられています。少なくとも、運営業者名や所在地、電話番号、代表者名の記載があるかどうかを確認し、それらの項目が1つでも欠けている場合は偽サイトを疑いましょう。

価格が極端に安い
相場より極端に安い商品が並んでいる場合は、何らかの裏があると考えて複数の通販サイトで検索し相場を調べましょう。

決済方法が前払いしか選択できない
決済方法として後払いが用意されておらず、銀行振り込みによる前払いしか選択できない場合には偽サイトの疑いがあります。

不自然な日本語表記がある
明らかに不自然な日本語の言い回しや、誤字、脱字が頻出する通販サイトの利用は控えましょう。

＜トラブルを回避する対策＞

アカウント管理を適切に行う

専用のショッピングアプリを利用する

セキュリティソフトを利用する

ネットでの情報入力は必ず一度立ち止まってから行う

購入前に口コミを確認する

詐欺の最新手口を知る

クレジットカードの利用明細をこまめに確認する

利用しなくなった通販サイトのアカウントを削除する

＊偽サイトにだまされてしまったかもと思ったら、警察や国民生活センターの相談窓口に連絡し、対処方法を確認しましょう。

都道府県警察サイバー犯罪相談窓口 https://www.npa.go.jp/cybersafety/　
国民生活センター　http://www.kokusen.go.jp/map/index.html

近年，Webサイト構築にCMSを利用する企業が増えてきている。

CMSとは，Contents Management Systemの略で，技術的な知識がなくとも，より簡単で効率的にWebサイトの作成ができるシステムである。Webサイトの管理画面からコンテンツを入力しWebサイトに反映させることで，Webサイトを運営する仕組みのものが一般的だ。テンプレートを使用することで，本格的なWebサイト作成が可能となっており，導入事例が今後一層増えていくと考えられている。

CMSには様々なものがあり，最もメジャーな存在となっているのが，WordPressである。

※画像はWordPressの公式サイトより

豊富なテンプレート，わかりやすいUIに加え，圧倒的なシェアを誇るWordPressは，日本でもその人気は高く関連書籍やハウツーサイトも多く情報を収集しやすい点も魅力の一つである。ユーザー同士で情報共有ができるサポートフォーラムでの情報交換も活発だ。
その他，国産CMSを売りにするbaserCMSや，ブログ形式で更新できるMovable Type，ECサイト構築を得意とするEC-cube等も，多くのユーザーに利用されている。

便利で簡単なWebサイト構築をうたうCMSだが，オープンソースであるが故の脆弱性も多く報告されており，サーバー上でコンテンツを改ざんされるケースも確認されている。そのため，CMSでのWebサイト運営には積極的なセキュリティ対策が必須となっている。

>>IPA情報処理推進機構｜WordPress の脆弱性対策について
http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

>>IPA情報処理推進機構｜WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起
https://www.ipa.go.jp/security/topics/alert20130913.html

CMSのセキュリティ対策として有効なものは以下の通り。

1. 常に最新のバージョンへアップデート
2. パスワードを複雑なものに設定する
3. 管理画面にアクセス制限をかける
4. 必要に応じて，海外からのアクセスを制限する　　等

便利で簡単なWebサイト運営ができるCMS。しかし対策をしなければ，時に甚大な被害を受ける可能性もある。適切な対策で，安全なサイト運営を心がけたい。

クラウドサービスを利用する際の認証はどのような方式を利用されていますか
パスワード認証のみで利用しているとパスワードの解析や漏洩によりアカウントを乗っ取られ不正利用される危険性が高まります。
Goolgleアカウント、Apple ID、Microsoftアカウントなどを利用するクラウドサービスでは、2段階認証プロセスにセキュリティコードを使用できるようになっています。
2段階認証により、パスワードだけではクラウドサービスにアクセスできなくなるので、セキュリティを向上させることが可能となります。
セキュリティコードは利用者の携帯電話のSMSやメールなどを介して受信できるので、他人が不正利用しようしていることを知ることができます。
GoogleアカウントやMicrosoftアカウントではモバイル端末用のセキュリティコードを専用アプリを利用して作成することもできます。
面倒だと思って利用されていない方は、2段階認証の設定を行い利用することをお勧めいたします。

＜外部リンク＞
Google アカウント
https://www.google.com/intl/ja/landing/2step/#tab=why-you-need-it

Apple ID
https://support.apple.com/ja-jp/HT204915

Microsoft アカウント
https://support.microsoft.com/ja-jp/help/12408/microsoft-account-about-two-step-verification

私達が日常で使用しているスマートフォンやパソコンに搭載されている無線LANの通信を暗号化する仕組みに新しい規格「WPA3」が2018年に登場します。2017年10月に脆弱性が発覚した暗号化通信規格「WPA2」の後継規格となります。

WPA3では、主に以下の機能が備わると発表されており、次世代に向けてセキュリティが強化されます。

① 複数回のパスワード入力をブロック
② 公衆無線LANの暗号化
③ IoT（Internet of Things：モノのインターネット）機器など画面がない端末の認証
④ 暗号化の強化（鍵長が128bitから192bitに変更）

日頃、街中で公衆無線LANに接続する機会があるのですが、やはりセキュリティが心配なので、私個人としては、②「公衆無線LANの暗号化」に期待しております。③ 「IoT機器など画面がない端末の認証」は次世代を意識した取組みだと感じられます。
ただ、WPA3は端末とアクセスポイント双方の対応が必要と考えられますので、実現するにはしばらく時間が必要ではないでしょうか。「端末のファームアップのみでWPA3に対応」が最良だと思いますがいかがでしょうか。今後の動向が楽しみです。