月: 2020年12月

ISAのネットワークカードな話題

インターネット老人会ネタです。

好きなイーサネットワークカードは何ですか?ときかれたら、間違いなく、3COMのEhterlink III。メモリウィンドウ使わないのと、CPU負荷率低いのと、パフォーマンスが良いのと、安定しているという最高なネットワークカードだった。NE2000互換の3倍くらいの値段したけど。

中小企業においてセキュリティ対策はどこまでやれば良いのか?

製造業経営者109人に調査!自社で行うPCのセキュリティ対策に「どこまですれば十分な対策と言えるのかわからない」の声75.6%
https://prtimes.jp/main/html/rd/p/000000053.000017714.html

このリリース自体は、自社製品(サービス)を売り込むための情報の羅列なのですが、

「どこまですれば十分な対策と言えるのかわからない」

https://prtimes.jp/main/html/rd/p/000000053.000017714.html

これは当を得ているな。と思ったので、どこまでやれば良いのか考えてみることにしました。

最初に理解すべきこと

セキュリティは生き物

セキュリティだけではないですが、特に、セキュリティにおいては過去の常識は現在の非常識になっていることもあります。
絶対にやってはいけないのは「過去、こうだったから、(現状をよく考えずに)今も同じ対応をしている。」です。
常に現状を考え臨機応変に対応していくことが求められます。

社員はみんな信用できる!なんてことは無い

闇雲に、社員を疑え!ということではありません。無意識、意識的に関わらず、身内(社員)が起因してセキュリティが担保できない事象が多々発生しています。
いわゆる、フィッシング詐欺による情報漏洩は、社員は情報を漏らしている意識がまったくない状態で発生しています。

社員を疑う必要ある=社内も危険な可能性がある

「社内は安全」という神話は、もう何年も前に崩れています。ファイアーウォールの内側だから安全ではありません。社内でもセキュリティ的に危険な状態にあるということは理解しておきましょう。

実施すべきセキュリティ施策

以下の様なことを実施しておけば最低限セキュリティ対策が完了

  • アンチウイルス導入と管理
  • 単一の認証基盤の導入と多要素認証
  • アプリケーションの全クラウド化
  • サポート切れOS、アプリケーション利用不可
  • ファイアーウォール
  • PCデバイス管理

その1 適度なアンチウィルスソフトウェアの導入と管理

セキュリティ対策で真っ先に思いつくのは、アンチウィルスソフトウェアの導入だと思います。20世紀のセキュリティ対策といえば、アンチウィルスソフトウェアを導入することと等しかったですし、現状でも、アンチウィルスソフトウェアは必要です。

しかし、アンチウィルスソフトウェアの過信は絶対にダメです。というのも、最新のウィルスについては、どのメーカーのソフトウェアを使っても発見できないと思って間違いないです。高い発見率、例えば、「ウィルスの99.9%のウィルスを発見」みたいなことを謳っているメーカーもありますが、過去ン十年間にリリースされたウィルスがすべて母数にカウントされていますので、最新のウィルスを発見できなくても、高い発見率は当たりまえなのです。とはいえ、古いウィルスに対しては、一定の効果があるので、最新のウィルス発見ができないからといって導入しない理由にはなりません。

Windowsであれば、OS標準のアンチウィルスソフトでまったく問題ありません。有償製品を別途導入する必要はありません(きっぱり)。また、アンチウィルスソフトウェアを導入しているだけでは不十分で、適切に定義ファイルの更新が実施されているか?が重要です。普通に使っていれば、適宜更新されるので問題ありません。情報システム部門としては、更新されているか?を監視しておくことは必要になります。

Macの場合は、デファクト、いわゆる事実上標準のアンチウィルスソフトウェアがありませんので、なんらかのアンチウィルスソフトウェアを入手し、Windows同様、適宜更新されるような設定を維持することがです。

その2 安全性の高い企業内唯一(単一)の認証基盤の整備

認証基盤は、利用者を特定し「なりすまし」をさせない技術です。シンプルにいえば、IDとパスワードということになります。10年前くらいまでは、「利用者を特定する手段≒ID・パスワード」だったかもしれません。利用者を特定し、なりすましを防止する手段は、パスワードを複雑にするといった原始的な手段をとることが多かったですが、ここ数年は、多要素認証の導入が進み、パスワードの複雑さはあまり求められなくなりました。蛇足ですが、定期的なパスワードの変更はセキュリティリスクを低減しないどころか、セキュリティリスクを増やす原因になるので、そういった制限は今すぐにでもやめたほうが良いです。

認証基盤で、大事なのは「企業内唯一」であることです。アプリケーション毎に認証基盤を用意する、つまりは、アプリケーション毎に異なったID・パスワードを使うという状況は絶対に避けなければなりません。
とはいえ、すでに、複数のID・パスワードをつかっているということもあるでしょう。その場合は、将来的に(できれば1年以内に)統合することを計画します。統合できそうにないアプリケーションがある場合は、統合できるアプリケーションへの移行を計画します。

その2.5 多要素認証の導入

その2の認証基盤でも記しましたが、多要素認証の導入は必須です。仮に複数の認証基盤を使っている場合は、すべての認証基盤で、多要素認証を導入してください。多要素認証はオプションではなく必須に設定します。

その3 すべてのアプリケーション・サービスのクラウド移行、認証基盤との連携

社内最初に理解すべきことで記した通り、社内だから安全というわけではないご時世ですので、クラウドだから危険ということはありません(クラウドだから安全ということもないですが)。逆に、社内でデータをおいておく(=保存)することにより、確実に、認証基盤と連携した保存、つまりは、ただしいアクセス権での管理ができるようになります。

その4 サポート切れOS、アプリケーション利用不可

すべてのアプリケーション・サービスのクラウド化と書きましたが、社内アプリケーションも、認証基盤と連携すれば、社内に残しておいてもよいですが、相当、困難と思われますし、社内アプリケーションの場合、OS等がサポート切れしないようにします。
常に、利用中のOS・アプリケーションのサポート切れを意識し、サポート切れ1年前には、そのOS・アプリケーションの更新を実施することを推奨します。

その5 ファイアーウォール

クラウド利用には、インターネットへの接続が必要で、当然ながら、ファイアーウォールを導入することになりますが、高機能である必要は全くありません。

その6 クライアントPCの管理

多くの企業は、スマートフォンはMDM(モバイルデバイス管理)ツールを導入して管理しようとしているのに、PCをデバイス管理しない企業は少なくないです。スマートフォン同様、PCのストレージ暗号化、リモートワイプ、アンチウィルス定義ファイルの強制更新、OSの強制アップデート、インストールされているアプリケーションの監視、などPC管理ができるツールの導入が必要です。

その7セキュリティ責任者(部門)の配置と社員のセキュリティ教育

たとえば、PCやスマートフォンをタクシーに置き忘れて紛失してしまう等々も含めれば、規模はどうあれ、セキュリティリスクは必ず発生します。そういった状況で最大の問題は、そのセキュリティリスクを、各個人が報告しないことです。誰にどのような方法で報告するのか?を定義されていない企業も多々あります。まずは、セキュリティ問題が発生したときに報告する先(人・部門)を定義することと、必ず報告することを義務づけることです。そのためには、最低限のセキュリティ知識を最低年1回、非正規雇用者も含め、全社員に教育すべきです。内容は、流行廃りがあるので、都度考慮が必要ですが、正しく認証基盤を利用する、必要最低限のアクセス権利を付与する、等等の教育が必要です。

DoCoMoの20GB2,980円にインターネット接続費戦争のゲームチェンジを感じた

DoCoMoのahamo。20GB2,980円は、イロイロな方面に影響与える衝撃的な価格付けですねー。

大きくわけで2つ。

1つ目は、MVNOはどう対応するのか?という話し。勝手な想像で、MVNO系の基本料金レンジは、3GB/月で1500〜2000円程度。確かに、2980円よりは絶対金額としては、MVNOの方が安い。ただ、10GBを越える大容量系は、ahamoの方が安くなる場合が多い。
まず、この3000円前後のレンジにMVNOは新しいプランを用意する必要がでてくる。当然、そのレンジの値下げは小容量レンジにも影響はありそう。

2つ目は大容量レンジの位置づけ。PC離れが進んでいるからかもしれないけど、自宅に光インターネットを引いている人にも影響がありそう。今まで小容量レンジ+光インターネットの人が、ahamoきっかけで光インターネットを解約で大容量プランに流れる可能性がある。動画を観てるとさすがに20GBはキビしい気がするが、他社も含めて、50GB以上プランが、5000〜6000円程度のレンジになれば、一人ぐらしてあれば、光インターネットの解約も考慮できる気がしている。

本当の意味でシングルサインオンを実現するにはActive Directoryが必要だという話し

なぜなら、Active Directory無しにはシングルサインオン(SSO)は実現できないから。ただし、企業向けChromeOSと一部のWindows10の環境は除くけど。

よく考えてほしいことは、PC立ち上げたあと、すぐに、ID/Passwordの類を入力したり、指紋認証や顔認証つかいますよね。

この時点で、一度ログイン(サインオン)、つまりに認証しているわけです。

だから、クラウドSSOサービスだけを利用しても、PCに対してのログイン、SSOへのログインと、最低2回ログインすることになります。

2回ログインするのに、シングルサインオンって言い張れますか?

ということで、大事なのはPCに対してログインする認証基盤になるわけで、この認証基盤の事実上の世界標準が Microsoft Active Directory(AD)です。マイクロソフト嫌いだし、ADつかいたくないわ!みたいな人もいるかもですが、Appleにしても、Googleにしても、イントラネット内の認証基盤としては、ADが標準と位置づけてます。

イントラネネットではADが標準ですが、クラウドからADに直接接続するのは、(ここでは語りませんが)様々なことから非現実的で、別途クラウド上にSSO用の認証基盤を配置して、ADとの連携というのが正しい解決方法です。

ということで、クラウドを利用する際、クラウド上に認証基盤が必要になるので、SSOサービスを選定するということになるのですが、本当の意味でのシングルサインオンには、(一部後述の例外を除いて)社内にADが必要で、ADが無い場合、シングルサインオンとは呼べないということになります。

ただ、例外があります。例外は、Windows 10 Professional + Azure Active Directory と、Chrome OS + Google Cloud Identityの組み合わせです。これらのOSは、クラウド上の認証基盤(Azure Active Directory / Google Cloud Identity)を直接の認証基盤として利用できるので、イントラネットであっても、AD不要となります。