サイバーセキュリティ月間

 

2016年2月3日(水)

情報交換を積極的に

 筑波大学大学院 システム情報工学研究科 コンピュータサイエンス専攻
 美濃 圭佑

 
 皆さんは情報セキュリティについてどのように感じているでしょうか。今日では、多くの方々がパソコンやスマートフォンからインターネットを利用されていることと思いますが、特に情報セキュリティに関しては、よく分からない、なんとなく怖いと言ったイメージをお持ちの方が多いのではないでしょうか。
 
 さて、皆さんの中で、複数のウェブサービスで同じパスワードを使い回している、という方はいませんか。多くのウェブサービスがある中で、全てのサービスで異なるパスワードを設定するということは、大変なことだと思います。しかし、情報セキュリティの観点から、複数のウェブサービスで同じパスワードを使い回すことは危険です。なぜなら、万一あるウェブサービスからIDとパスワードが流出した場合に、それらの情報が他のウェブサービスへの不正アクセスに用いられることがあるためです。そのため、ウェブサービスごとに異なるパスワードを設定する必要があります。このように、インターネットを安全に利用するためには、脅威と対策を知り、またそれを実践することが求められます。日々新たな脅威も登場していますから、継続的に新しい情報を取り入れることも重要であると言えるでしょう。
 
 しかし、そのような情報は、難しい言葉が使われていて分からなかったり、そもそもあまり知る機会がなかったりといったこともあると思います。そのため、まず第一に、情報セキュリティの専門家は一般の方々へ分かりやすく伝えることが重要であると考えています。また、情報セキュリティの専門家ではないという方も、家族同士や友達同士といった日常的な会話において、情報セキュリティに関する話題を扱ってみてはいかがでしょうか。インターネットに関わるより多くの方々が、日常的に情報セキュリティに関心を持ち、脅威の存在とその対策を知ることで、より安全にインターネットを利用できるようになるでしょう。
 
「パスワードは使い回さない方が良いんだってー。」
「えっ、そうなの?なんでなんで?」
「えっとね…」
 
 皆さんも情報セキュリティに関する情報交換を積極的に行い、便利なインターネットを、さらに安全なものに変えていきましょう。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

 2016年2月3日(水)

運用中のシステムにもソフトウェアアップデートを適切に適用しましょう

株式会社レキサス プロダクト企画開発部 アプリ・Webサービスチーム
ミドルウェアエンジニア 又吉 伸穂

 
 連日色々な製品の脆弱性情報が公表され、そのアップデートが公開されています。皆さんは利用されている製品についてこれらのアップデートを適切に適用しているでしょうか? 最近のOSやブラウザであれば自動更新の仕組みにより意識せず更新が行われていることがほとんどだと思います。ですがそれ以外の製品についてはどうでしょうか? 「今アップデートされると困るから後にしよう」「そもそも(更新の)チェックを行っていない」といったことは無いでしょうか? そのまま放置してしまうと脆弱性を残したままになってしまい、悪意のある第三者に悪用されてしまうという恐れがあります。
 
 これは身の回りにあるPCやスマートフォンといったクライアント端末だけではなく、サーバーにも当てはまることです。
 ShellShockHeartbleedといった脆弱性はまだ記憶に新しいと思います。これら以外にもWordpress、色々な脆弱性情報が公表されています。サーバーの場合脆弱性を放置した場合、サービスで保持している情報が抜き出されてしまうといった事が考えられます。また外部より不正操作されてしまった結果、サイトを閲覧したユーザーへ悪意のあるソフトウェアをダウンロードさせてしまうなど重大な問題に繋がり兼ねません。その他にも問題を起こしてしまったことにより社会的信用性が低下してしまうということにもつながりかねません。
 
 弊社ではJPCERT[1]JVN[2]から公開される脆弱性情報をRSSリーダーを活用して関連部門へ通知が行われるようにしたり、ニュースサイトなどに掲載された脆弱性情報を社内へ展開する体制の構築を行っております。ですが様々な観点から運用中のシステムの変更は容易ではありません。これまでよりも更に早く問題に対処するための体制づくりが今後の課題となっています。
 
 最後に宣伝になってしまいますが、WASForum[3]が開催している「Hardening Project」やその派生である「MINI Hardening Project」では一般的なシステムに対して行われる攻撃を模擬的に体験することができるセキュリティイベントを開催しています。実際に体験してみることでシステムを運用する上でどういった対策を行うべきなのかのヒントになると思います。ぜひ参加されてみてはいかがでしょうか。
 
[1] https://www.jpcert.or.jp/
[2] http://jvndb.jvn.jp/
[3] http://wasforum.jp/
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。







 

 

  

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら

 

 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。