【月刊 B-2 News Vol.082】を配信します。
────────────────────────────────
このNewsレターは、株式会社インフィニティが自社にて運営管理する、
B-2サーバーサービスをご利用のお客様や、お取引先様、関係諸団体の
皆様、名刺交換させて頂いた皆様へ、毎月第1営業日にお届けしている
<情報の定期便>です。お気軽にお読み下さい。
▼初めての方や以下の手続きをご希望の方は最後尾からお読み下さい。
◆メールアドレスの変更をご希望の方
◆ニュースレターの配信がご不要な方
━━【B-2 News Vol.082】━━━━━━━━━━━【2015/12/01】━━
<特集>未更新のソフトウェアを一発検索して脆弱性を一括排除
━━【ご挨拶】━━━━━━━━━━━━━━━━━━━━━━━━━
毎月ご愛読頂きまして誠に有り難うございます。表面に経営理念である
「一座建立」の言葉が入った「お抹茶色のカラー名刺」でお馴染みの、
「月刊 B-2 News」編集長の齋藤です。1ヶ月間のご無沙汰です。
12月にお誕生日を迎える皆様、お誕生日おめでとうございます。
ご家族でお誕生日をお祝いすると共に、少し照れ臭いでしょうが、
ご両親には感謝の言葉を伝えて下さいね。今のあなたが在るのは、
これまでにあなたが出会いとご縁を頂いた沢山の人達のお陰です。
心から感謝しましょう!
遂に師走を迎えました。
いよいよ忘年会シーズンに突入です。
体調万全で平成27年を有終の美で飾りましょうね。
━━【特集】━━━━━━━━━━━━━━━━━━━━━━━━━━
未更新のソフトウェアを一発検索して脆弱性を一括排除
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
技術部ネットワーク担当の池田が日頃利用している、チョット便利な
「フリーウェア」や「Tips」を毎回1種類ずつご紹介しています。
────────────────────────────────
今も昔も変わらないPCネットワークセキュリティの基本だが?
────────────────────────────────
マイナンバーの施行に伴い、企業内におけるセキュリティに対する関心
も少しは高まってきているように感じます。
とはいえ、日本●●機構での個人情報漏洩の不祥事は、職員の端末に対
するウイルスメールによる外部からの不正アクセスにより、約125万件
の個人情報が漏洩してしまったと言う、何とも初歩的な対応のミスが、
マイナンバー制度の見切り発車の舞台裏を垣間見れた様で、この類の
職員の皆様には早急な危機意識と共に罪の意識も持って欲しいですね。
マイナンバー通知の郵便物の配達先間違いは無神経の極みで笑えません。
また一方では、マイナンバー制度に便乗して、最近はいろんな企業から
いろんな対策商材の売り込みがあっているのではないでしょうか?
このハードさえ有れば大丈夫、このソフトさえ有れば大丈夫、
このクラウドに預けさえすれば大丈夫等々のまるで夢のような商品が。
しかし残念ながら、企業内のパソコンやネットワークに対するセキュリ
ティ対策には、「安価で、これ一つでOK」と言う決定打は存在しません。
────────────────────────────────
次の3つの対策を全てやり続けることが情報保護の最低条件
────────────────────────────────
1.使う人間のセキュリティ意識を高める対策を施す。
⇒PCやインターネット運用のポリシーを定め、勉強会を実施する。
2.パソコン本体のセキュリティ環境を高める対策を施す。
⇒ウィルス対策・システムや各ソフトウェアの脆弱性を解消する。
3.ネットワークのセキュリティ環境を高める対策を施す。
⇒FW機能の強化・ネットワークの分離や見直しを行う。
今回はその中でも特に[2]の、「パソコン本体のセキュリティを高める」
事についてお話したいと思います。
────────────────────────────────
うっかり見落としがちなPCソフトウェアの脆弱性にまとめて対処
────────────────────────────────
さて、パソコン本体のセキュリティを高める方法として、よく知らされ
ている対策方法は次の2つでしょう。
1.ウィルス対策ソフトの導入及び最新定義ファイルの適用
2.WindowsUpdateの実施
上記の2対策については、設定の自動化が標準化されているお陰で、
ほぼ間違いなく行われていると思われます。
ところが、最近の攻撃や侵入動向として、上記以外の経路での侵入が
非常に増えてきています。それは、メジャーなPCソフトウェアの脆弱性
を悪用した侵入です。各ソフトウェア自体でもアップデート機能があり、
時々デスクトップやタスクトレイ上で告知を行っています。
しかし、WindowsUpdateやウィルス対策ソフトの定義ファイルの更新とは
異なり、更新が自動化されて無く、うっかり更新を忘れてしまっている
方も以外と多いのではないでしょうか?
────────────────────────────────
近頃の侵入ツール達に悪用されている代表的なソフトウェア
────────────────────────────────
1.Webサイト上での多彩な表現を可能にする<Adobe FlashPlayer>
2.電子書類の標準的フォーマットのPDFを表示する<Adobe Reader>
3.マルチプラットフォームでソフトウェアの実行を可能にする<Java>
特に、Adobe FlashPlayerは毎月更新が行われていますが、今回はその様
なソフトウェアの更新状況を一発で確認できるツールを紹介します。
<MyJVNバージョンチェッカ>
⇒ http://jvndb.jvn.jp/apis/myjvn/personal.html
MyJVNバージョンチェッカは、JPCERT コーディネーションセンターと、
独立行政法人情報処理推進機構 (IPA)が共同で運営している、JVNが提供
している各種ソフトウェアの最新版適用確認ツールです。
MyJVNバージョンチェッカにはJAVA版と.NET版がありますが、.NET版なら
現行のWindowsであればソフトウェアの追加も必要ありませんので、
Javaをインストールしていない環境であれば.NET版の使用をお勧めします。
ダウンロードして、解凍後は上記ページの説明に従って実行して下さい。
主だったソフトウェアの確認が一度に表示され、未更新のソフトウェアが
見付かれば、具体的な対策対応ページを紹介してくれます。
WindowsUpdateと同様に定期的にチェックする事を強くお勧めします。
それでは、次回の<月刊B-2 News>でまたお会いしましょう。(池田)
━━【編集後記】━━━━━━━━━━━━━━━━━━━━━━━━
国際的なイベント開催を迎える中で、サイバー攻撃への対策にも拍車が
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
先日、福岡市内のあるホテル会場にて、福岡県警とインフラ系・ICT系
企業を中心に連携して、サイバー犯罪防止対策の活動を広めている、
福岡県情報セキュリティ連絡協議会に出席してきました。
役員会に始まり総会・講演と続き、総会報告では、恒例と成っている、
サイバー犯罪の現状と対策やサイバー攻撃への対策の情報共有に始まり、
今回は、東京オリンピックやサミットの開催に向けた、危機的な状況を
前提とした様々な場面での攻撃対策のお話しが目立ちました。
これで安心と言う対策は存在しませんので、危機対策は永遠の課題です。
────────────────────────────────
ネットに繋がれば当然ながら、繋がっていない制御系でも危機の脅威が
────────────────────────────────
テレビでは未来カーとしてPRされている車の自動運転や自動制御ですが、
考えれば考えるほど、遠い未来の話しに聞こえて仕方が有りません。
その理由は「汎用ネットワークに繋がっている」と言う現実です。
汎用的な「仕組み」は必ず破られます。それも、もしかしたら容易に。
この安易な「夢物語」に警鐘を鳴らす、脅威を感じる「講演」でした。
講師は、国内でサイバー攻撃の防御を研究する企業の女性技術者です。
講演開始早々、プロジェクター上で受講者への禁止事項の列挙に始まり、
技術者らしい?少し堅めのユーモアを交えながら、講演が始まりました。
余り感情を交えない理系女子(リケジョ)のお話しは以外と分かり易く、
ポイントはしっかりと押さえて、話しの制御が巧みな感じを受けました。
────────────────────────────────
攻撃を最大の防御と捉えて? 国家予算を使ったサイバーテロの実験が
────────────────────────────────
情報システム系では中々理解が生まれない制御システム系のサイバー犯
罪ですが、サイバー攻撃と言うよりもサイバーテロとして受け取るのが
適当かと思います。
重要インフラに向けたテロ行為は世界中で起こっているのが現状です。
情報システム系のサイバー攻撃と、制御システム系のサイバーテロは、
金銭的な被害に対して、人命に関わる被害が及ぶことが決定的な違いです。
海外では、制御システム系のサイバーテロを防ぐために、あらゆるケー
スの攻撃手法を研究し試して、それからの防御対策を理論的に講じる取
り組みが成されている様です。それも、多額の国家予算を使ってです。
────────────────────────────────
同じ日本人同士の似通った専門分野でも日本語の理解や意識が違う
────────────────────────────────
当社が属しているICT(情報通信技術)分野と、一般的に馴染みが深い
IT(情報技術)分野では、安全や危機に対する意識に違いを感じます。
同じ様に、情報システム系の人と制御システム系の人でも、次の様に、
直面するモノによって観点がかなり違うようです。
<情報システム系の認識傾向>・対・<制御システム系の認識傾向>
1.システム運用年数:数年・・・・・・・・対・数十年
2.リアルタイム感覚:遅延許容・・・・・・対・安全確保
3.セキュリティ優先:可用性重視・・・・・対・安全性重視
4.物理セキュリティ:良好状態・・・・・・対・厳重重視
5.セキュリティ更新:定期更新・・・・・・対・遅延・困難
6.想定する最悪被害:金銭被害・法律違反・対・爆破・破壊・人命侵害
文化の違いも含めて、相手によって認識が違うことを理解する事が必要。
技術的な会話に留まらず、平仮名表記の弊害が広がる現代に於いて、
意識の違いと理解の違いが重なり合って、何んの事を言っているのか、
益々解らない状況が生まれているのも厄介な問題です。
相手が言っている事や相手が考えている事への理解の共有・浸透が、
多様化・高度化するサイバー攻撃への的確なサイバー防御に繋がります。
────────────────────────────────
犯罪者はあなたが信頼している相手を悪用して攻撃して来ます
────────────────────────────────
確実に攻撃対象を攻め落とす常套手段は「先ずは外堀を攻める」、
そしてあなたが油断した隙に「次に本丸を攻め落とす」と言う作戦です。
疑わしきモノには決して手を出さないが鉄則です。あなたが信頼してい
る相手から届いたメールだとしても、一度は疑ってみた方が無難では?
それでは、次回の<月刊B-2 News>でまたお会いしましょう。(齋藤)
━━【最後に】━━━━━━━━━━━━━━━━━━━━━━━━━
今回の内容はいかがでしたか? 皆様のお役に立てれば幸いです!
【バックナンバー】はこちらからご覧下さい!
⇒ http://www.strategyn.jp/2015/12/01/b-2_news_vol-082
▼▼▼▼▼▼ 初めての方や以下の手続きをご希望の方へ ▼▼▼▼▼▼
直ぐには役に立たない知識や情報かも知れませんが、後々ボディーブロ
ーの様に効いてくるかも知れませんので、しばらくお付き合い下さい。
▼ご意見やご質問を希望の方はお気軽にお申し出下さい。
▼メールアドレスの変更をご希望の方はお知らせ下さい。
▼メール配信がご不要な方はお手数ですがご一報下さい。
SSL+独自の安全処理を施した【専用フォーム】にてお手続き。
⇒ https://secure.b-2.jp/mailform/strategyn/form008.html
【注】このメール宛への直接のご返信には対応しておりません。
━━【発行元】━━━━━━━━━━━━━━━━━━━━━━━━━
<業務システムの安定稼働 と 業務データの維持保全>をサポート
────────────────────────────────
株式会社インフィニティ|月刊 B-2 News編集局
〒810-0001 福岡県福岡市中央区天神4-1-23-9F
編集長|齋藤 純(Atsushi Saitoh)
Tel |092-714-2500
Fax |092-733-0066
Mail |newsletter@b-2.jp
Web |https://www.b-2.jp
────────────────────────────────
主観的な安心は客観的な危険! あなたの安心は本当に安全ですか?
安全な 全Webコンテンツ完全SSL暗号化
安全な 全Webコンテンツ自動バックアップ
安全な PC/Eメールサーバー間SSL暗号化
安全な Eメール型SSL暗号化データ送受信
安全な ASP型SSL暗号化大容量データ送信
便利な マルチWeb対応
便利な マルチ・ドメイン対応
便利な マルチ・デバイス対応
<中小企業戦略支援サーバー>
http://www.strategyn.jp
────────────────────────────────
免震ビル|生体認証|防犯・防災監視|電源・回線・機器の冗長化対策
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
