サイバーセキュリティは寝ててもできる?

クライアントの組織内でパソコンを使わせてもらう時も多く、

Wi-Fi環境をその時もお借りしていた。

しばらくパソコンであれこれと仕事をしていると突然、画面が

ブラックアウトして、何かに乗っ取られたかのような動きになり

全く操作を受け付けなくなった。

何か拾ったか? と慌ててスマホを出して確認してみると、今度は

スマホも同じ状況に。

 

いかん! 絶対何かここのネットワークで何かが起きた! と思って

他の方々の様子を見てみると皆、繋がらなくなって焦っている。

 

とりあえず、原因と思われるところを特定してネットワークから遮断

しなきゃ、と思って探っていると、一人の社員が気まずそうな顔を

している。

「あ、私がさっき変なサイトでうっかりクリックしてしまいました。。。」

 

、とここまで聞いてこの人のPCを見るともう画面に警告メッセージのような

ものが出ている。

 

ここから、LAN上のPCへ一気に拡がるウィルスって何だ?? 

聞いたことのない現象だが、なんとかしよう!


 

 

って、ここで目が覚めた(・・;)。

パソコンもスマホも全く動かなくなって、変にリアリティがあったので

焦った。


 

 

こういう時、どうすればいいかなんですが、

 

「とにかくネットワークから引っこ抜く(=隔離する)」

 

まず、他の端末や顧客に悪さしないように隔離すること。

以前なら、LANケーブルを引っこ抜けばよかったんですが、今は、wi-fiをオフにする。

これが一番。 早いほど被害が少ない。

その上で、原因や状況確認を進めると共に、もし、他に影響が出ていたら

その影響範囲を特定してフォローする。

何も起きないように普段から備えておくことも大切なんですが、何かあった

時にどうすればよいかを知っておくのも大切。

 

夢の中でも冷静に動いていた自分を少しは褒めてあげることにします(笑)。

 

 

概略を知るには分かりやすくていい本です。
寝る前に読むと夢の中で僕のようにサイバー攻撃を受けても対処できます(笑)。

 

 

 

 

 

 

 

ネットワーク技術は誰にでも手加減無く教えます

昨日は、道新文化センターでの講座開講日。

はじめてのネットワーク・セキュリティ

 

 

 

 

 

 

ふつーの技術者向けの内容を誰にでもわかる形で話しているこの講座。

テーマはwi-fi。

以前やったワンコインの1時間セミナーではサラッとした内容だったけど、

今回は目一杯深掘り。

wi-fiについて公衆wi-fiの安全性や利用時の注意点だけで

なく、普段からどういったところに注意すべきかといった所まで。

また、“どうやって声やデータが電波に乗って飛ぶのか?”

というのを、体感してもらいながら伝えるというのをやってみた。

ここで細かくは説明しないけど、普通なら技術者が専門的に

学ぶような標本化→量子化→符号化の話等も楽しく分かりやすく

伝えさせてもらった。この話が分かるとFMとAMのラジオの

音質の違いとかも分かるからね。

 

僕の今回のシリーズはとにかく“原点を知る”事に注力してる。

原点を知っていたら、何が危なくて、何が安全かを

自分で判断できるようになる。技術は常に進化・変化していく。

でも、それを使う人間はそんなスピードでは変われない。

ITにまつわるリスクは世に沢山あるけど、1つ1つに踊らされず

“な〜んだ。じゃ、大丈夫。”と言っていただけるようになるといいなあ。

 

wi-fiの電波について。あと数年したら変わるんだ、これが。常に日進月歩。

 

 

ネットワークの基礎の基礎、楽しいんです♪。

昨日、友人からの紹介で開講することになった講座の1回目。

 

はじめてのネットワークセキュリティ講座。

 

全6回で、素人の人でもセキュリティを理解して

対策を講じる事ができるようにするのが目的。

 

参加申込人数は少ないけど、その分密度の濃い内容に仕立てられる。

 

パケット通信の仕組みから、n進数の話から、ネットワークやインターネット

の基本的な仕組みまで。 中には、traceroute(サーバー間の通信履歴)の

結果を使った内容まで。

 

この内容を専門家はもちろん、市井の人達にも伝えられるのが僕の強み。

話をしていると、受講生の方から

「ほんとうに、楽しそうですね〜。」

と言われ、「はい、楽しいんです♪」と思わず答えてしまった。

 

ネットワークの勉強は、本を見るだけだとなかなか実態が掴みづらい

のだけど、中を流れているデータを可能な限り可視化しながら

伝えると腹落ちします。

 

もし、ネットワークやセキュリティに関する勉強会やセミナー、

僕自身が楽しめる内容で組み立てるので、きっと皆さんにも楽しんで

もらえるはず。 

 

お困りの方、いつでもこえかけてくださいね^^。

→問い合わせはこちら

昨日、運転中に電話かかってきて、急遽止めた場所。こんな景色みながら打合せってなかなかの幸せです^^;

 

 

常時TLS(SSL)化、おそるるに足らず。

常時TLS化(SSL化)に必要な時間やお金、手順等、全部書いちゃいます^^。


 

昨日届いた、日経NETWORKの表紙を見ると、

「常時TLS時代の衝撃」とありました。

※TLSと、SSLの違いは、この記事がわかりやすいですね
  (→さくらインターネット

まあ、SSLが進化した形態がTLSって考えたらいいと思います。ゴジラの
第2形態への進化みたいに^^;

暗号化というのは、通信途中で盗み見されたりしないように、通信経路上を暗号化してしまうことです。

先日、googleのブラウザで常時暗号化されている状態にないサイトは

「保護されていません」という警告が出るようになりました。

そして、今年10月には更に赤い文字で警告されるようです。
(日経NETWORK9月号より)

 

SEO対策も含めて、googleは常に利用者目線での改善を進めて

きます。今回の事も、公衆wi-fiを始め、誰もがネットに繋げる

社会になってきたからこそ、ウェブサイトを提供する人達に

守ってほしいルールとしてgoogleは打ち出してきた事。

 

こうした動きを他人事と思っているサイトも多いのですが、

利用者目線を持っているかどうかの試金石です。


 

お金と時間がかかるから。といって断られる方もいるかも知れませんが、

ここで、具体的な内容と金額の目安等、書いちゃいます(笑)。

かかる時間は、作業と確認時間を含めて、1日か1日半。

15,000円〜20,000円ぐらいで請け負っている所が多いのではないかと思います。設定作業を終わった後の確認等を考えると

やるべきことは
  ・無料でSSL化できる仕組みのあるレンタルサーバーか確認する
   (最近は、多くのレンタルサーバーが対応しています)
  ・用意されていればSSL化の設定を行う
    →通常、自動的に設定できるような仕組みが用意されている
  ・旧URLから新URLへの転送設定(リダイレクト)
→実は、ここが一番のキモだったりする

こういったところの作業を進めながら、完全に移行された事を確認します。

これで、移行作業は完了します。wordpressを使っている場合と、独自デザイン

のサイトで動きが異なる場合などもありますが、概ね上記の流れで移管できます。

 

「どうしようかな〜」って考えているうちに、googleは

利用者の安全性を高める取組みを次々と進めてきます。

 

ウェブサイトを含めたインターネットの世界は、悪意を持った者が

力を振りかざせる場所です。 利用者に迷惑をかけないためにも

できる限り早く対応してしまいましょう。

今月の日経ネットワーク表紙。この必要性、理解してほしい。

 

余談:通信経路の暗号化と共に、ウェブサイトの実在証明として
のSSL証明書というのもありますが、ここではこの点には触れていません。

 

 

むちゃく先生になりたい。

昔は、毎日夕方に放送されていた全国子ども電話相談室。

むちゃく先生の回答が楽しみでよく聞いていました。

むちゃく先生の記事リンク

 

子供達の純真で素直な質問。 そんなのどう答えたらいいの?

という質問が飛び出すことも多い。

 

でも、むちゃく先生は、どんな時も「わかりません」ということ

なく、その質問に対してわかり易い言葉で親切丁寧に

子供に分かる言葉で回答する。

 


 

インターネットをはじめとして、ITにまつわるいろんな事は、簡単に

使えるようになるほど、仕組みが見えなくなってしまう。

 

そんなIT技術の世界を分かりやすく丁寧に伝えてみんなの疑問を

紐解きたい。

疑問を解消することで、安心して使い込む事もできる。

 

僕はIT業界のむちゃく先生を目指しているのかも知れません。

いつか来た道。GDPRと情報セキュリティの話。

今年6月にEUでGDPR(General Data Protection Regulation)という法律が施行された。

要は「個人のデータを守る権利を保護」するという趣旨の法律。

個人のデータを預かる企業は、データ保護最高責任者という役割を定めて、委託先も

含めた取扱の管理を厳重に行う事が求められ、何らかの情報漏えいがあったら、

委託元の企業が責任を問われる。

 

今までは、ネット上での振る舞い(アクティビティ)を上手に集めて分析して広告主に

販売してきたのがFacebookやTwitter。

同様に、そうした振る舞いを広告宣伝や販売に活かしてきたのがAmazonなどの販売サイト。


もちろん、個人を特定する情報についての保護規定は整備されていたけれども、

「個人の行動履歴など」を守るべきデータを定義したというのが今回の重要な点。

好き勝手に活用してきたこれまでのようにはいかないよ! と考えていい。

 

今までは、好き勝手できたんです。Facebookしかり、Amazonしかり。

でも、これからはそうはいかないし、データを取り扱う以上は最終委託先も

含めて厳重に管理しておかないと漏洩したら莫大な賠償金と共に責任を問うよ、と

EUは世界に向けて宣言したのが、この法律。

 


この流れは1995年にも同じことが起きています。

インターネットがWindows3.1によって幅広く使われるようになり、

Windows95で爆発的に広がった1995年、イギリスでBS7799という

情報セキュリティマネジメントシステムに関する取り決めができました。

最初はイギリス国内だけでしたが、EU全体で利用できるようになり、

その後、世界標準のISO17799として整備されました。

 

こうした歴史的な流れを見ると、アメリカが仕組みを作ってビジネスを

爆発的に広めていくと、ヨーロッパがそれに危機感を持って個人を保護

する法律を整備するという流れが今回も起きています。

日本でも恐らく、今回EUで整備されたGDBRに沿った法律が整備されて

くるでしょう。

「個人にまつわる情報は、行動履歴も含めて全て責任を持って保護する」

この大前提を踏まえた上で、商売に様々なデータを活かしていく時代が

やってきます。

すでに、こうした情報管理自体をひっくるめてアウトソースできる

サービスも生まれていますが、何か事故が起きた時に最終責任を取るのは

情報を活用したビジネスを行っている事業者です。

 

今後、インターネット上で行動履歴も含めて個人情報を扱う為にも基本的な

情報セキュリティに関する基本的な考え方・行動指針は持っておく方が

いいのかも知れません。

さよなら、インターネット。この本はGDBR施行後のインターネットの未来像を描いています。私にとって衝撃的な1冊です。

 

 

1ミリの違和感を感じる余裕を持つ

今日は、人の良心や心理的なミスを誘発してパスワード等を盗み取る

「ソーシャルエンジニアリング(総務省:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/12.html)」についてのお話。


Outlook やBecky,その他、パソコンへメールをダウンロードする場合、

ウィルスメールの多くはプロバイダやウィルス対策ソフトのおかげでほとんど

弾ける(=受信する前に隔離できる)ようになってきた。

 しかし、その反面、一見しただけでは本物かどうか見分けがつかないような

精巧なメールを送ってきてパスワードやユーザーIDの入力画面へ誘導し、

パスワード等を盗み取るという手口が非常に増えてきた。

 

普段からそういう事に対する知識もあるし、対策も取っている友人が先日

こうしたメールの被害にあい、実際、カードを利用限度額まで使われて

カード会社からの通知が届くという事態になった。

実際にメールを見せてもらったけど、まあ、よく出来てる(笑)。

何か用事をしている時とか、急いでいる時にメールを見たら多分、僕も

うっかりクリックしてしまうかも知れない。

 

でも、SNSと違って、メールアドレスはどうにでも偽装できる代物。

 

こういう釣りメールは、落ち着いて読むとメールの最後の方に誤字があったり、

日本語としておかしい部分があったりする。

そうした「1ミリの違和感」を感じる余裕のない時にはメールを見ないように

するのがもしかしたら今の時代は必要かも知れない。

メールはとにかく、今は信用ならない時代。 本人だと確実にわかるもの以外は

疑ってかかりましょう。 誰があなたの良心につけ込もうとしているかわかりません。

 

 

届いたスパムメールのタイトル部分。
少し調べると一発で怪しいってわかるんです、これ。

 

 

 

 

 

 

 

 

 

 

※この怪しいメールのドメイン名(rakuten-security.info)を検索してみても、実在していない
 ということがわかります。

ドメイン探しても見つからない! 偽のアドレスです。

ウェブサイトのSSL化、後進地域かも・・・。

最初に言っておきますが、僕が大好きな所だからこその今日のブログです。

十勝の大手菓子メーカーの二社。
 
 
 
 

十勝で一番有名とも言える2社なのにどちらもSSL化されていません(泣)。

 
7月からchromeでの表示が変わります。
 
 
みんなが公衆wi-fiを使うご時世、ウェブサイトはSSL化することがサイト訪問してくれる方への最低限のマナーとなってきました。
 
 
但し、
「クッキーも使わず、表示するだけなら暗号化しないのも1つの方法」として考える事ができます。
見せる部分だけを暗号化していなくてもユーザーには迷惑かからないから。
 

六花亭は、ショッピングサイトは別ドメイン&暗号化されているので、その点は大丈夫。
 
 
柳月は、同じドメイン内でSSLありのページとないページが併存してる。
暗号化されているけど、セキュアの表示にならないから、設定がどこか違っていると思われる。
 

ちなみに、

山本忠信商店
https://www.yamachu-tokachi.co.jp/

オカモトグループ
https://www.okamoto-group.co.jp/jp/

ちゃんとSSL化されている企業もある。

でも、十勝の企業サイトの多くはまだSSL化されていない。

以前はドメイン毎の証明書取得で、多額の費用が必要だったけど、今は無料で
SSL化できるようになってきました。
https://letsencrypt.jp/
7月に入ってからは、きっとみんなが騒ぎ始めます。
その前に、動けるところはぜひ動いて欲しい。
SSL化が必要!って騒いでいるのは、ウェブサイト制作会社の営業トークじゃ
なく、本当にユーザー目線で考えたときに必要な施策なんです。

 

こういうかわいい遊びココロのあるケーキが食べられるのも十勝の幸せな一コマ。店頭でぜひ食べて!

知識は知恵になり、考える時間は減っていく

「知識は知恵になり、考える時間は減っていく」

ってどこかで書いてあった一言だけど、つい先日実際に体感できる出来事があった。

 

友人がFB上で、ネットワークトラブルの困り事をつぶやいていた。

分かりやすく言うと、「繋がるPC」と「繋がらないPC」が混在している状態。

 

こういう時は、IPアドレスの取得はできているけど、そのアドレスが正しく

設定できていないというDHCPサーバーの重複などの場合が多い。特に、光回線

を引いている時には、期せずしてONU(光終端装置)がサーバー機能持っている

事があるので、wi-fiルーターのDHCPサーバーと重複して動くとこういうトラブル

が起きる。

僕以外にもいろんな人達がコメントで書いてくれた内容を読んでいるとやはり

似たようなところにアタリをつけている。

実際、友人自身が存在を忘れていたルーターのDHCPサーバーがイタズラをして

いたということが判明し、そのルーターをオフにしたら問題解決。


トラブルが起きたら、障害部分を切り分けてできるだけ問題を小さくして

原因を突き詰めていく。最初にアタリをつけるのだが、このアタリのつけ方に

は経験値がモノを言う。考えているわけじゃなく、直感的に。


どんな分野でも、職人さんの動きにはムダがない。そこには考える余地はなく、

学びが全部動きに昇華されている感じすらある。

すぐには形にならないかも知れないけど、自分の土台になる部分の学びは大切

だな、と改めて痛感した出来事でした。

僕が大切にしている座右の書2つ。思い出したように時々読み返すと、新しい発見があります。こういう仕組みを考えて実装できる人達はスゴイ。

 

 

パスワードは捨てよう。

パソコンのログイン、楽天、アマゾン、Facebook,etc…………..

あまりにも沢山のパスワードに僕達は囲まれている。

しかも、時々「変更をしなさい」と言われて、変更したら最後、

本人にすら分からない状態になっていく(笑)。

どうするのが一番いいのだろう? と考えてみたけど、結局は「捨てる」のが

一番かも知れない。

作らない。 覚えない。 

  • たった1つでいいので、少し長めで英数字+記号のパスワードを作る
  • 手帳に書く。(もちろん、誰にも見せちゃダメ)
  • 使い回す。サイト毎に変えるには何文字か後ろに足すか、引く。
  • パスワード管理に不安を覚えそうなサイトには近づかない

これだと、1つだけのパスワードなので全く意味のない文字列でも、指が覚える。

ネットとアナログを組合せつつ、きちんと自分でパスワードを覚えられる状態を作る。

いずれは、パスワード自体が必要なくなって、スマホで即座に認証ができるような仕組みが

当たり前になったりするのだろうけど、そうなるまでもう少しだけ我慢してパスワードと

付き合いましょう。

https://www.nisc.go.jp/security-site/files/handbook-01.pdf
※内閣府のサイバーセキュリティに関する小冊子
もちろん、こうした考え方も大切! ユーザー自身の選択次第です。

 

梅雨空の合間に晴れる時もある。
時々、上を見上げると気持ちいいよ。