お知らせ

2016/01/09

• パソコン関連

2016年のサポート切れなどチェックを

2016年のサポート切れなどチェックを

2015年にはWindows Server2003、2003 R2の延長サポート終了と、Windows 7のメインストリームサポート終了という二つの区切りがありました。 Officeは2010がメインストリームサポートが終了になりました。 延長サポート終了については、なるだけ速やかなアップデートが必要となります。セキュリティアップデートもない状態で、危険な状態で運用することになります。 メインストリームサポートが終了すると機能アップデートや追加行われない、無償のサポートが受けられない、などの状態で延長サポート終了までの期間を送ることになります。 2016年にはWindowsやOfficeに延長サポート終了のイベントはありません。 Windows8からWindows8.1への更新 Windows8とInternet Explorerは速やかに更新をチェックし、最新の状態にアップデートしておく必要があります。 Windows8は2016年1月12日までにWindows8.1へアップデートをしなければ、サポートは完全に終了しセキュリティアップデートを受けられなくなります。 Windows8から8.1へは無償でアップデートが可能で、Windows8.1へアップデートしていないWindows8のユーザーはなるだけ速やかにバージョンアップを行う必要があります。 Internet Explorerの更新 Internet Explorerも2015年にサポートポリシーが変更となり、2016年1月13日以降、そのOSで最新版のInternet Explorerのみがアップデートなどサポート対象となります。 Windows VistaではInternet Explorer9のみがサポートの対象になります。 Windows7ではInternet Explorer11のみがサポートの対象になります。 Windows8.1以降はInternet Explorer11が最終のバージョンとなっていて古いバージョンのインストールは出来ませんので、この点については今の所アップデートの作業などは必要ありません。 Windows Server製品もこのInternet Explorerのサポートポリシーが適用されます。Internet Explorerのバージョンアップを保留している場合も、可能な限り速やかに最新の状態にアップデートする必要があります。

2015/12/19

• パソコン関連

Flashプレイヤーのアップデートが必要な理由

Flashプレイヤーのアップデートが必要な理由

今インターネットをパソコンで使う最低限のセキュリティとして、Windows Update、Flashプレイヤー、Adobeリーダーの三つの最新版へのアップデートは欠かせません。 WindowsアップデートはWindowsそもそものものですが、なぜFlashプレイヤーなどのアップデートがそこまで重要視されるのでしょうか。 FlashプレイヤーとAdboeリーダーのアップデートが不可欠なのは、ほぼ自動的にWebブラウザで開いてしまうものだからです。 Flashプレイヤーは他のアプリケーションなどに比べ、特別に脆弱なものというわけではありません。 ただWebブラウザとFlashプラグインというセットで利用しているユーザーの数は大変多いものです。 Flashプレイヤーがなければ表示できないWebサイトやサービスもたくさんありますので、FlashプレイヤーはWebサイト閲覧に必須と言っても良いものでしょう。 ウィルスなどのマルウェア作者にとって、利用者の多いところをターゲットにするのはそれに悪意があればなお当然のこととなります。 マルウェアを知らずに実行する怖さ 事前に脆弱性情報のないゼロデイ攻撃で最も恐ろしいのは、それを自動的に開いてしまうことです。 かつてMSブラスターという名のコンピュータウィルスがWindows XP以前のOSで大量の感染を引き起こしたことがありました。 これはOSにプリインストールされているメーラーOutlook Expressの脆弱性をついたもので、メールをプレビューするだけでシステムにウィルスが侵入するものでした。 アイコンのダブルクリックやOKボタンを押すなど明示的に実行を意識せず、ワンクリックでウィルスメールのタイトルをクリックするだけで感染してしまうウィルスは非常に拡散力の強いものでした。 この脆弱性はすぐに改修されましたが、後々Windowsのセキュリティにとって利用者やシステム管理者にとって不安を残すものとなりました。 FlashはFlashの枠の中をクリックする、などを行わなくともページを開いたと同時に自動実行されます。 Adobe社による脆弱性の解決のためのアップデートは頻繁に行われていますが、すでにアップデートされた内容の脆弱性は、悪意を持つマルウェア作者には逆手にとって利用できるものです。 一つバージョンが古いだけでも、その脆弱性を利用したマルウェアの実行は行われてしまうかもしれません。 それが現実になってしまった場合、最悪感染したことを意識せずに利用し続けることになります。 それらのリスクを抑えるために最低限行っておくべきことが、FlashプレイヤーとAdobeリーダーのアップデートです。  

2015/11/28

• パソコン関連

IT資産の管理

IT資産の管理

IT資産とは、コンピュータの機器や、ソフトウェア、保管されているデータ、記録メディアなどのことを指します。 コンピュータを業務に導入している限りは複数のIT資産を保有していることになります。 これを慎重に扱うかどうか、機器の盗難だけを対策していればいいか、少しのデータの持ち出しをも制限しなければいけないか、などそれら資産の管理体制というのは現場によって千差万別です。 ただ従業員の個人情報、連絡網や給与関係、これからはマイナンバーの管理を含めて、改ざん、破損、盗難にあわないように企業が管理すべきデータが増えています。 IT資産を漠然と把握しているだけでは、持ち出されてはいけない情報を、USBメモリなどに格納していつの間にか持ち出されているかもしれません。 また持ち出されてしまったことさえ気が付かないことになります。 IT資産管理ソフトウェアというものがあり、株式会社システムキューブではHitachi IT Operations Directorというものを利用しています。 これがDirectorの管理者画面です。現在一つのパソコンに新規のUSBハードディスクが接続されたことがわかります。 許可されたものだけを許可し、無許可のUSBメモリなどを接続させない、というセキュリティポリシーを適用すれば、不明なものの接続を抑止できます。 Winnyに相当するファイル交換など危険な使用禁止のソフトウェアが動作しているかどうかも一目で確認し、動作を抑止できます。 このようなことが管理画面から一括で操作することができます。 その他OSのバージョンアップは正当に行われているか、不正なアプリケーションを利用していないか、不正な操作をしていないかなどを簡単に管理することができます。 ここのパソコンについては、エージェントをインストールするだけで、この操作は一度ですみます。 あとはエージェントが個々のパソコンの状態を管理サーバーに送信するため、ユーザーは普段通りに何一つ意識せずに利用することができます。 どのような資産がどのパソコンに接続され、ソフトがインストールされているか。USBメモリなどの利用頻度はどのぐらいかなどはすぐに一覧で見ることができます。 資産管理という言葉を知って、何から手をつければ良いか、何をすべきかわからない管理者にとっても、一つずつステップアップして管理していくことができます。 全く管理されていない状態から、IT Operations Directorを導入するだけで、様々なIT資産管理を簡単に始めることができます。

2015/11/21

• パソコン関連

Windows XPとWebサイトのセキュリティ

Windows XPとWebサイトのセキュリティ

Windows XPがサポートを終了してから1年半を超え、さすがにもうユーザーはいないはず、と言いたいところですが、まだまだ様々な理由でご利用の方はいらっしゃいます。 Windows XPはセキュリティアップデートもない非常にリスクの高い状態が続いていますが、Webサイトのセキュリティを担うSSLの対応状況にも問題があり、クレジットカード情報などが暗号化されずにサイトに送信されてしまう危険性を持っています。 Windows XPで動作するInternet Explorerは開発時期が古く、対応していない機能がたくさんあり、今後も改良やアップデートされることはありません。 その未対応な機能の中で、SSL SNIにWindows XPが対応できていないことが大きな問題になります。 SSL SNIは一つのサーバーの中に複数のSSL証明書を持ち、同じサーバーで二つ以上のドメインでSSLを運用するための仕組みです。 Windows XP上で動作する最新のバージョンInternet Explorer 8やそれ以下のバージョンではSSL SNIを正しく認識できないため、危険なサイトとして判別してしまいます。 もちろんサーバー側の設定としては完全で、危険な状態でなくとも、Internet Explorer上ではその表示になってしまいます。 SSL SNIが正しく設定していてもアクセス先が危険と表示される以上、その他サポート継続中OSのユーザーに対して表示するページと、Windows XPユーザーのページを切り分けて表示する、あるいはWindows XPユーザーの非対応を表示するかの対応が必要になります。 本来httpsでセキュアな通信であるべきサイトが、httpの暗号化されていないページとして利用せざるを得ない状況は今後増えていくことになります。 SSLが設定されている場合は、ドメインのなりすましなども不可能になりますが、SSL SNIが利用できない以上、Windows XPに対してはなりすましが可能という状況が生まれます。 Webブラウザだけでも様々な機能が遅れをとり、またアップデート、サポート対象外となるWindowsXPからの早急な移行が必要です。

2015/10/24

• パソコン関連

社内セキュリティ向上

社内セキュリティ向上

標的型攻撃と言われる、無作為でないマルウェアによる情報漏えいなどが現実的なものになり、ことの規模や内容によっては報道されることも増えてきました。 社内のセキュリティ意識の向上は、従業員教育をすることが基本的な手法になりますが、全員のセキュリティ意識を同じ水準にすることは難しいです。 どれぐらい社内でセキュリティが保てれているか、例えば全てのパソコンの操作ログを記録していくというソリューションもあります。 ルール外の行為や、危険なウェブサイトを閲覧した履歴をとって、改めて注意を促す、という運用をすることもできますが、ソリューションの導入初期コスト、保守コスト、社内での運用コストなど、かなりの組織規模かデータの重要性がないと導入を躊躇しても仕方ありません。 セキュリティ教育や、上記のようなログ管理など、セキュリティ部署あるいは専属の担当者を割り当てるのは、ほとんどの企業にとってはかなり重いのが現実でしょう。 かといってウィルス対策ソフトを導入していれば大丈夫と言い切るのは難しく、ウィルス定義パターンが全て更新されているのか、全てのPCにアンチウィルスソフトの導入漏れがないのか、という管理方法についても、簡単な解決方法はありません。 セキュリティアプライアンスと呼ばれるものがあり、セキュリティのための専用の機器です。 UTMもそのうちの一つで、ネットワークを通過するデータをフィルタし、危険な情報を取り除くセキュリティ機器です。 インターネットルーターと社内LANの間に設置することで、社内から社外へ、社外から社内へ通信されるデータを検査し、危険なものがあれば取り除きます。これはUTM自体が自動的に対処します。 またUTMは危険なファイルや、ウェブサイトのブラックリストを最新の状態に更新されているので、仮にアンチウィルスソフトのインストール漏れのパソコンがあったとしても水際でこれを防ぐことができます。 社内のセキュリティの運用コストを大きく低減するセキュリティアプライアンスは、中小企業にとって非常にコストパフォーマンスの高い方法ではないかと考えます。

2015/10/17

• パソコン関連

root権限

root権限

現在パソコン、スマートフォンなどで利用されているOSには、最大のアクセス権を持ったroot権限と呼ばれるものがあります。 root権限とはあらゆるファイルの読み書き実行、削除、および権限の変更付与などを可能にするもので、またユーザー追加・削除や、パスワードの割り振りなど、OSに大きな影響を与える操作が可能です。 linux、Mac OS、Android、iOSなどUNIXを源流とするOSではそのままにroot、WindowsではAdministratorと呼ばれています。 rootの権限を取得すれば、そのOS上のあらゆる部分を書き換えることができるため、これをユーザーが持って使うような形のOSは現在ほとんどありません。 かつてWindowsXPなどではAdministrator権限を持ったユーザーが多く、実行したファイルにマルウェアが含まれていたとしても確認なく処理が行われているようになった結果、様々なマルウェアが蔓延しました。 Windows Vista以降はUACのように一時的な権限昇格によってインストールをするかどうか判断する、という形をとるようになりました。 UACによって、場合によってはシステムへの危険な書き込みが行われることをユーザーに明示し、不要なものであれば回避することができるようにしています。 しかし、XP以前の世代の管理者権限がないと実行できないアプリケーションなどとの後方互換性のために、このUACを切らないとインストールできない、というものもありました。 Androidでも本来ユーザーに与えられるべきでないroot権限を取得する方法をroot化などと呼んでいますし、iOSのjailbreakと呼ばれるものも本来の使用法を外れたroot権限の取得です。 linuxなどでも脆弱性を利用してroot権限をとるマルウェアはいくつもあり、侵入を許すとシステム領域を書き換えられてしまい、様々な漏洩、破壊、改ざんなどが行われることになります。 rootの行うことは基本的に正しい行為で、システムファイルの操作も意味のあることという前提がなければシステムのバージョンアップなどは不可能です。 ユーザーは間違えることはあっても、ユーザーの操作が許された範囲でしか間違えることができません。現在ほとんどのOSがマルチユーザーのOSを採用しているのでこの前提がそのままに生かされています。 rootやrootに近い権限を持ったユーザーに対してウィルスなどのマルウェアを実行させ、感染させるのは、攻撃者にとって最も容易なものです。 ユーザーを不正にroot権限を昇格させるためにはOSやアプリケーションの脆弱性をつく必要があり、その隙をなくすことがセキュリティアップデートの何より重要な部分です。 ユーザーによってシステムファイルへの操作が不可能な形をとることが、マルウェア感染に対する最大の守りになります。いかにユーザー権限だけでも不自由なく安全に使うことができるかがデスクトップ OSのあり方になりそうです。

2015/10/07

• パソコン関連

パスワード管理をしよう！

パスワード管理をしよう！

大阪支社のとよです。 夏の暑さもどこへやら、すっかり秋めいてきましたね。 さて、今回はとくに前振りもなく「パスワード管理」のソフト紹介です。 ネット通販やウェブ上のサービスがどんどん増えていく昨今、 困るのが各サイトのユーザーIDとパスワードの管理。 セキュリティのためには、サイト毎に異なるIDとパスワードを登録するのが望ましい―― でも、それをいちいち管理するのは、地味に大変で面倒です。 と、いうことでご紹介するのがパスワード管理ソフト『KeePass Password Safe』です。 『KeePass Password Safe』とは？ 海外製のパスワード管理フリーソフトです。 このソフトが優れているのは、安全管理もさることながら、 登録しているパスワードを、ささっとクリップボードにコピーできたり、 ログイン画面上で自動入力したりと、かなり使い勝手がいいところ。 と、言葉で説明してもいまいち伝わらないので、 早速、導入してみましょう！ 『KeePass Password Safe』のダウンロード ということで、てきぱきダウンロードしてみたいと思います。 ダウンロードページからセットアップ実行ファイル「KeePass 2.XX Setup.exe」をクリックします。 次に、日本語化ファイルを同じページからダウンロードします。 「Translation 2.x」配下の「KeePass-2.XX-Japanese.zip」をクリックします。 （バージョンは実行ファイルを同じものを選択） 以下の２つのファイルがダウンロードされますので、 さくさくっと実行ファイルをクリックします。 『KeePass Password Safe』のインストール 実行するとインストーラが立ち上がります。 基本的にデフォルト設定のままでOKなので、 「Next」ボタンを連打！連打！ で、うまくインストールされると、下記のような画面が出てきます。 デフォルトでは「起動する」にチェックがついているのですが、 起動の前に日本語化を行いたいので、ここはチェックを外して「Finish」ボタンをクリック。 『KeePass Password Safe』の日本語化 先ほどダウンロードした日本語化ファイルを開き、中にある 「Japanese.lngx」をKeePassをインストールしたフォルダにコピーします。 （デフォルトでは『C:\Program Files\KeePass Password Safe 2』） 実行ファイルをクリックすると、画面が立ち上がります。 が、日本語化ファイルをコピーしただけでは、日本語は反映されず、英語表示のままです。 下記の「Change Language...」をクリックして言語選択画面を表示させます。 「Japanese」を選択して画面を閉じると、自動的に再起動します。 （このへんで、マウスで文字を書くのを断念。。。） 再起動後、KeePassに日本語が反映されます。 『KeePass Password Safe』の設定 再起動後、さっそく設定を行っていきます。 まず、下記の赤枠の「新規」をクリックします。 複合マスターキー作成画面が表示されます。 これは何かというと、パスワード管理データベースにアクセスするための パスワードを登録しましょう、という画面です。 とりあえず、適当にパスワードを登録しておきましょう。 ちなみに、キーファイルを指定することも可能です。 これは特定のファイルをパスワード代わりに設定するというもの。 （キーファイルを更新すると、パスワード管理データベースにアクセスできなく なってしまうので、注意が必要です。。。） 次に、パスワード管理データベースの各種設定画面が表示されます。 特にこだわりがなければ、何も弄らずに「OK」ボタンをクリックします。 これで基本の設定は終了です。 次に、パスワード管理を行ってみましょう。 パスワードの登録＆管理 基本の設定が終わると、下記のような画面が表示されます。 赤枠の鍵アイコンをクリックし、エントリー追加画面を表示させます。 こんな画面が出てきますので、ようやくパスワードを登録します。（ここまでがえらい長かった。。） 必要な項目を入力して「OK」をクリックすると、登録されます。 無事に登録が終わると、下記のように登録したエントリが表示されます。 ここで、「ユーザー名」をダブルクリックすると、 クリップボードに「ユーザー名」がコピーされます。 同様に「パスワード」をダブルクリックすると、 クリップボードに「パスワード」がコピーされます。 なお、クリップボードにコピーされた内容は、12秒後に爆発消去されます。 このほか、ブラウザでログインページを表示させている状況で、 右クリックから「自動入力の実行」を選択すると、ユーザー名とパスワードが 自動入力されます。 また、ログインページのユーザー名欄にフォーカスを当てた状況で 「Alt」＋「左Ctrl」＋「A」を同時押しすると、 ページ内容から、自動でユーザー名とパスワードを判別して自動入力してくれます。 今回はブラウザでの使用を解説しましたが、 iTunesなどの各種ツールでも自動入力が可能です。 海外でも大人気！というこのパスワード管理ソフト。 僕も早速、導入してみようと思うのですが、 まずは、ユーザーIDとパスワードを書いたテキストファイルが どこにあるか、PC内を探してみる必要があるようです。。

2015/08/18

• パソコン関連

VPSにさくらのSSL導入しました

VPSにさくらのSSL導入しました

さくらインターネットがさくらのサーバー利用者用にSSL証明書をかなり安価に提供するサービスを始めました。 SSLはWebサーバーとブラウザの間の通信を暗号化し、情報の安全のために利用される仕組みです。 ブラウザでも鍵のマークなどがつき、httpsからURLが始まるのがSSLを使っている目印になります。 オンラインショッピングなどでよく利用され、個人情報などの流出を防ぎます。 さくらのレンタルサーバーの場合はさくらのコントロールパネルから申し込めば自動的にSSL証明書をインストールしてくれます。 弊社WebサイトはさくらVPSを利用していますので、少しだけ多めの操作が必要です。 WebサーバーでSSLを導入するには、サーバーの秘密鍵生成、SSL証明書要求を認証局に提出、SSL証明書をインストール、の三つのプロセスが必要です。 さくらでは申込フォームはこのようになっています。今回キャンペーンのラピッドSSLを利用します。 VPS側でサーバー鍵、証明書要求(CSR)を作成し、フォームの登録を進めていきます。 openssl req -new -key server.key -out server.csr OpenSSLを利用している場合、上記でCSRが生成されます。 さくらの申込手順で、CSRを入力という画面で、サーバーで生成されたCSRをテキストエディタで開いて -----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- すべてをコピーしCSR入力用テキストボックスに貼り付けます。 するとコントロールパネルから認証ファイルをDLできるようになります。 これをWebサイトのドメイン直下に置きます。弊社の場合でしたらhttps://www.sys-cube.co.jp/XXXXX.htmというように設置します。 ここから弊社で登録した際、翌営業日の10時に認証ファイルの確認が行われました。 確認されるとサーバ証明書DLというボタンが表示されるので、サーバ証明書をダウンロードします。 サーバ証明書と中間証明書という二つのファイルが必要になります。 中間証明書は認証完了メールにURLが書かれていますので、そこからコピーし、サーバーに保存します。 今回は証明書はserver.crt、中間証明書はserver-chain.crtという名称に設定しました。 SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt これをapacheのssl.confに追加し、場所をインストールした場所を指定します。 これでWebサイトにSSLを導入することができました。 さくらのユーザー専用とはいえ、国内でのRapidSSLでは最安値ではないかと思います。 さくらインターネットを利用されている方にはお勧めできるものです。

2015/06/05

• シスキュー技術部

Windows PowerShellがSSHをサポートの方針

Windows PowerShellがSSHをサポートの方針

MicrosoftがPowerShell BlogでOpenSSHへの対応の方針を明らかにしました。 http://blogs.msdn.com/b/powershell/archive/2015/06/03/looking-forward-microsoft-support-for-secure-shell-ssh.aspx (英文) Windowsを使っていて、SSHが標準で使えないことが筆者としては一番不満足に思うところでした。 SSHは暗号化した回線で他のコンピュータをリモートコントロールする手法です。 LinuxなどUNIX系のOSでは標準的に使われているもので、公開鍵による認証、リモートコントロール、暗号化されたFTP、SSHの接続を利用した他のポートへの接続など、様々な便利で使い易い機能が含まれています。 PuttyやTeraTerm、WinSCPなどを使えばSSHのサーバーに接続することができましたが、標準機能で鍵の生成などもできるようになるのであれば、このアプリをダウンロードして、この鍵生成ツールを利用して、という手順をものすごく簡略化できるようになります。 またOpenSSHのサーバーにもなるのであれば、さらにWindowsの使いやすさが向上します。 WindowsPowerShellからWindowsの色々な機能をCUIで実行できるので、マウスでウィンドウを開いていく操作に比べて素早い操作が可能になります。 なんでもリモートデスクトップで行うよりも、コマンドでさっと済ませてリモートセッションを閉じるという使い方がWindowsでできるのであれば、1日でも早く実現して欲しいと願う機能です。

2015/06/04

• パソコン関連

安全なファイルの送受信

安全なファイルの送受信

日本年金機構の情報漏洩は不用意に悪質な添付ファイルを実行してしまったことによるものです。メールは送信者の欄をいくらでも偽装できるので、送信者の欄だけをみて正しい送信元かを判断することは簡単ではありません。メールヘッダという部分を理解して見れば偽装がわかっても、誰もがメールを受信してまずメールヘッダをみようとは思わないはずです。送信元をしっかりと把握でき、経路の暗号化を行ったファイル転送というと、クラウドストレージGoogle Driveでのファイルの限定共有が一つの選択肢として挙げられます。Google Driveのファイルやフォルダは、全体公開でなければ、一意のGoogleアカウントからの共有という形で通知されるのでこれを偽装することは難しいです。共有元のメールアドレスまできっちり確認すれば、相手先が乗っ取られていない限りは正しい送信者であることが確認できます。この方法が問題になるのは、まず社外のサーバーにファイルが置かれることです。これを社内規約として禁じている組織は多くあるはずです。ただ社内サーバーでも今回のようなセキュリティ事故が発生しますので、社内なら大丈夫という前提は確かなものではありません。誤って全体公開にしてしまうリスク、あるいは米国政府によって開示を求められた場合はGoogleも提出を余儀なくされるなどがあるので、政府機関でこれを全面的に採用するのは難しいでしょう。組織外とのファイルの送受信はこれだという決め手は難しいところはあります。電子メールでも電子署名を利用すれば、送信元の確かさを証明することができます。あるいはPGPなどの公開鍵暗号を利用すれば、お互いのファイルの暗号化と発信元の確かさを保証することができます。これらの手段を使っていない場合、電子メールは送受信の暗号化にも乏しく、発信者の確認も簡単ではない手段であることをまず意識するところからセキュリティ対策を始める必要があります。