がんばりすぎないセキュリティ

本

2017年から筆者が主宰して発行し続けているメールマガジンです。発行は週に１通ですが、書いている時にあれもこれもと盛り込んでしまうため、メルマガとしては相当長いです。その分内容… もっと読む

運営しているクリエイター: えがおIT研究所

IPアドレスの不思議（353号）

ここしばらく、情報漏洩やそれを防ぐ方法といったヒトにフォーカスしたお話が続きましたので、今回はネットワーク技術のお話をします。インターネットというネットワークではIP（Internet Protocol:インターネット向け通信手順）に従って通信を行います。インターネットにつながるコンピュータ（パソコン、スマホ、タブレット、ネットワーク機器など）には必ず、IPアドレスと呼ばれる番号が付けられます。ですが、この番号をどうやって決めるの？番号重複することはないの？そもそも

早期発見でみんなをハッピーに（352号）

こんにちは。えがおIT研究所のしみずです。読者の皆様にはご心配をおかけしましたが、ようやく「がんばりすぎないセキュリティ」を再開できる運びとなりました。皆様には今まで以上に有用な情報をお届けできるように努力して参ります。今後とも、どうかよろしくお願いいたします。さて、前回の351号から１ヶ月が経ってしまいました。 349号～351号にかけて、NTT西日本での大規模漏洩についてのお話をしました。さすがに旬を過ぎたネタではありますが、もう少しだけお話しをさせてく

高齢者への情報の伝え方（号外）

えがおIT研究所のしみずと申します。大変お待たせしました。三週間ぶりの「がんばりすぎないセキュリティ」です。と、言いたいところですが、今回はまだ十分な執筆時間が取れませんでしたので、号外でお送りします。前回ご報告した父の看取りブログをご覧の方もおられると思いますが、今回はそのブログを広く告知する時に感じたことをお話したいと思います。高齢者に情報を伝える難しさ私自身は既に還歴を過ぎており、いわゆるシニア世代に属しています。もっとも、私はシステム屋などと呼ばれる

ルールに従うのはホント難しい（351号）

今回も、NTT西日本のグループ会社で発覚した大量かつ長期間の情報漏洩インシデントについてお話です。前々回は10年間も漏洩がバレなかったことについてお話をしました。前回はそれを踏まえて、事件が起きないための予防策についてお話しました。実は、今回の事件では、発覚より前（2022年）に外部から「漏洩ではないか？」という指摘がありました。ここで、マジメに調べていれば事件に気づいた可能性は十分にあったのですが、そのチャンスをみすみす見逃してしまいました。今回は、このケー

内部不正での情報漏洩を防ぐカンタンな方法（350号）

今回も前回に続いて、NTT西日本のグループ会社で発覚した大量かつ長期間にわたる情報漏洩のインシデントについてお話をします。前回は、どうして10年もの長期間にわたって情報の持ち出しが行われたかについてお話しました。今回は、このような情報持ち出しを防ぐ方策についてお話します。事件の概要（おさらい）※ この章は前回と同じ内容です。この事件はNTT西日本のグループ会社であるNTTプロマーケティングアクトProCX（以降ProCX社と書きます）と、NTTビジネスソリュー

10年間にもわたる情報漏洩はなぜ起きたのか？（349号）

前回は外部からの攻撃に備えるためのファイアウォールについてお話をしました。ですが、情報セキュリティインシデント（事件／事故）には内部メンバのミスや不正によって発生する場合も数多くあります。今回は、2023年後半からマスコミをにぎわせてきたNTT西日本のグループ会社で発覚した大量かつ長期間にわたる情報漏洩のインシデントについてお話をします。事件の概要この事件はNTT西日本のグループ会社であるNTTプロマーケティングアクトProCX（以降ProCX社と書きます）と、N

外部からの侵入を防ぐファイアウォール（348号）

組織内の情報を守るには外部からの侵入を防がねばなりません。今回は、外部からの不正侵入を防ぐ強力な武器であるファイアウォールの役割についてお話します。外部からの侵入を防ぐには？外部からの侵入を防ぎたければ、内部から出ていく通信は全て許可し、外部から入ってくる通信は全て拒絶すればよさそうに思います。ですが、それはできないのです。通信というのは双方向の信号のやりとりが必要です。例えば、Googleで検索を行なう場合、次のように外部から内部への通信が必ず発生します

うるう年ならぬ「うるう秒」がなくなる（347号）

今回も時刻ネタが続きます。「うるう年」を知らない方はいないでしょうが、「うるう秒」は知らない方も多いと思います。今回はその「うるう秒」が今後は使われないくなるというお話です。うるう年地球は太陽系の惑星として太陽の周りを1年かけて1周（公転）します。その周期は365日よりちょっと長い365.2422日くらいです。そのため、うるう年を使ってその補正を行っていることは皆さんご存知の通りです。現在のグレゴリオ暦では、4年に1回のうるう年で366日とするのを原則とし

2038年問題は心配しなくていい（と思う）（346号）

前回、複数のサーバ間での時刻同期についてのお話をしました。今回はその続きというわけではないですが、2038年問題についてお話をします。日時情報の持ち方一般にコンピュータが扱える値には上限があります。これは、データ領域をどれだけの大きさに定義するのかによります。さて、コンピュータでは数値を表現する時、必ず領域の大きさを事前に決めておきます。例えば、4ビット（二進数で4ケタ分）なら0～15(16種類)しか表現できません。これは月を示すには十分ですが、時分秒には

インターネットでの時刻合わせという難題に挑む（345号）

コンピュータシステムにとって、時刻というのはとても大切な情報です。サーバと呼ばれるコンピュータでは日常的には人を張り付けたりしていません。いざ問題が起きてから「なんだなんだ。何が起きたんだ」と担当者が調査を始めます。こういった調査では「いつ」「何が」起きたかを正確に把握することが肝心です。ですが、この「いつ」を複数のサーバ間で時刻を共有することが意外に難しいということはあまり知られていません。今回は、インターネット上での時刻合わせについてお話をします。な

多要素認証は面倒だけれど安全（344号)

IDとパスワードだけでは安全性の確保が不十分というサービスでは、もう一段の認証を設ける場合があります。こういった認証手段を二要素認証や多要素認証と言います。今回はこの多要素認証についてお話をします。二要素認証と多要素認証用語として、二要素認証と多要素認証というコトバがあります。 2FAやMFAという略語はこれを指しています。 2FAは二要素認証のことで、2 Factor Authentication の略、FMAは多要素認証のことで、Multi Factor A

リモートデスクトップの仕組み（343号)

テレワークが広がることで、シンクライアントやリモートデスクトップという仕組みを利用する機会が増えています。今回はシンクライアントとリモートデスクトップについて、仕組みと安全性のお話します。テレワークを支える技術2020年からのコロナ禍によって、働き方が大きく変わりました。それまでは事務所に出社して作業を行うスタイルが当然だったのが、自宅で作業をするスタイルが一気に市民権を得ました。それまでもテレワークや在宅勤務があるものの、多くの組織では事情のある方（介護や子

神奈川県出願システムトラブルはGmailの影響か？（342号）

前回、Gmailの迷惑メール強化対策についてのお話をしました。丁度、その折に「神奈川県公立高等学校入学者選抜インターネット出願システム」というシステムでGmailとのメールのやりとりができないというトラブルが主にセキュリティ界隈で話題になっていました。この件については、内実がよくわかっていない（公開されていない）点がたくさんありますので、この記事で前提としている内容が間違っている可能性が十分にあります。あくまで筆者の見解としてご覧いただければと思います。神奈川県

Gmailの迷惑メール対策で何が変わるのか？（341号）

前回、前々回とフィッシングメールに関するお話をしました。そんな折、2024年の2月までにGoogleのGmailが迷惑メール対策を強化するというニュースが飛び込んできました。 Gmail側としても、迷惑メール（フィッシングメール）が増えていることに危機感を持っているようで、「変なメールは受信しない（受け付け拒否する）」方向とするようです。タイムリーでもありますので、今回はこのGmailの迷惑メール対策についてお話をします。迷惑メール＝フィッシングメール？前回（3