月: 2022年2月

定期的なパスワード変更を促すウェブサイトは常識のアップデートがされない旧態依然な企業

大昔、

パスワードは定期的に変更しましょう

みたいに言われていた時期がありました。しかし、2017年に米国国立研究所からリリースされた電子的認証に関するガイドラインでは、「定期的な変更は要求すべきでない」と定義されました

総務省の「安全なパスワード管理」に関するウェブページでも

    なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト (soumu.go.jp)

と記載されています。

思い当たる節があるウェブサイト運営者は直ちに改善の計画が必要です。

Mi Bandでメールの通知が受け取れなくなった件

iOSのバージョナップなのか、はたまた、Miアプリの問題なのかよくわからないのだけど、以前は、想定通りに動いていた、iPhone標準メールアプリ着信通知を、なぜだか、Mi Bandで受け取れなくなっている。

iOSの通知やメールの設定を見返して問題になりそうな箇所はなく(ってそもそも通知されていたし)、でも、困っていたので回避方法を。

別のメーラで通知を受ける

まったくもってイケてない回避方法になるのだけど、Outlookアプリをインストールして、そちらで(も)通知するように設定。

とりあえず、Mi Bandへの通知はOutlook側からされる。

WORDLEのコツ(多少ネタバレ)

最近流行のWORDLE。

Wordle – A daily word game (powerlanguage.co.uk)

単語力がないと苦しそうなゲームだけど、以外とそうでも無い感じもするのでコツを記しておく。

1. 最初の単語は、被らない英字で構成される単語

例えば「CLOUD」は最初の選択肢として悪くないけど、「HAPPY」はPが重複しているのでもったいない。

2. 含まれない文字は使わない

使われなかった文字は二度と使わない。複数回使うのはもったいない。特に、使われているけど、場所が違う文字は、毎回、場所を変更して単語を構成するようにする

3. 母音とその位置を重点的に考える

キーになる英文字は母音(aiueo)+y。5英文字の単語の場合、2~3の母音がつかわるケース、特に2英文字のケースが多いので、早めに、どの母音が使われるのか?を特定する。その際、STEAMとCLOUDで、AUEOの4文字を試せるし、PRIME、TOUGHで、IUEOの4文字を試せる

4.適当でも良いので入力して単語にして、並びを眺めてみる

特に1文字目が判明しないと、候補単語のひらめきもなかなかでてこないけれど、入力して眺めてみることが大事。

VPNは危ない(かもしれない)

VPNを使えば安全

みたいに盲目的に思っている人少なくないですね。確かに、Internet経由で社内システムにアクセスしたり、インターネット上のウェブサイトにアクセスする際に、VPN経由して、フィッシングサイトに誘導されないようにするみたいなことが可能になります。

危ないのは、社内システムにアクセスするためのVPN。VPNの入口は攻撃対象になりやすいのは、容易に想像できますよね。実際、VPN器機の認証情報が流出した過去があります。

8万7000台に影響 「Fortigate」のSSL-VPNデバイスの認証情報が漏えい – ITmedia エンタープライズ

VPNに頼らない安全なIT利用、それを考えていく必要があります。

中小企業向け安全な社内ICT構築(はじめに)

少ないコスト、人数で、納得感のあるICT(IT)社内構築をするために考えるコトを記していきたいと思います。

なぜ安全なITは難しくなったのか

大企業だけではなく中小企業においてもインターネットやコンピューター(PC)を使わずに仕事ができない時代になりました。インターネットやPCは便利な反面、正しく使いこなしていないと、中小企業であったとしても、事業運営に大きな影響を与えます。具体的には、情報漏洩であったり、ランサムウェア(※後述)大事な情報が利用出来なくなったりすれば、当然ですが、大きな影響があるのです。

「うちみみたいな小さなところは関係ないよ」は通用しない

以前の攻撃対象は、目立つ企業や大企業でした。しかし、現在は、そうも言ってられず、中小企業であっても、攻撃者からみればターゲットになります。というのも、攻撃者からすると、企業あたりの攻撃コストが大幅に下がっているのです。攻撃には、攻撃劇対象の、脆弱性の発見から攻撃方法の準備など、時間とコストがかかり、攻撃成功時に得られる報酬が多いであろうと想定される大企業が狙われていました。しかし、攻撃方法もかなり一般化し、それこそ企業メールアドレスの1つでも入手できれば、簡単に攻撃を開始できるようになりました。それにより、攻撃者は、ひとつひとつの企業にたいして個別に攻撃するのではなく、企業規模関係なく「下手な鉄砲も数打ちゃ当たる」的な攻撃をしかけるようになり、自然と目立つ企業や大企業だけでなく、中小企業にも攻撃するようになっています。

さくらのレンタルサーバー+CDN環境で、WordPressを使う

Azure App Service (Web Apps)のWindows版で、WordPressを運用していたのだけど、Windows 版 PHPのEnd of Lifeで、年末には使用不要になりそうということで移行先の検討。

CDN配下に配置するということで、最小限のスペック、かつ、管理を簡易化するために、sqliteを使ってデータベースのバックアップをしないという大胆な運用。

で、候補にあげたのが、さくらレンタルサーバー。年1,600円。マルチドメインも20個作れる。2週間お試しで、移行できるかの検証。

結論としては、移行可能そうな感じ。ただ、いくつか注意点があるので、備忘録として記す。ポイントは2点。

1、レンサバの国外IPアドレスフィルタの解除

これ設定解除しないと、WordPressの管理画面に入れない。

国外IPアドレスフィルタ – さくらのサポート情報 (sakura.ad.jp)

2、$_SERVER[‘HTTP_HOST’]=’www.example.com’;をwp-config.phpに追加

ホスト名がCDNではなくオリジンになってしまうので、強制的に、CDNがサーバーのURLになるように変更。

$_SERVER['HTTP_HOST']='www.example.com';

あとは。画像をオブジェクトストレージに保存するとか、cache-controlのプラグインを入れる等々のCDN運用時の通常作業でOK.