orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

サイバーセキュリティーの盲点 行き過ぎた集中管理はシステムを脆弱にする

サイバーセキュリティーについて思っていることを話しておきます。 運用管理者の責務の中でもっとも大事なのは把握です。会社にどんなネットワークが構築され、その中にどんなサーバーがあり、何を動かしているか。そしてユーザー管理、権限管理がどのように…

個人情報保護法の施行内容が2022年、大幅に変わる件まとめ

個人情報保護法が変わる これは重要なお話。 日本の個人情報に関する決まりは、「個人情報保護法」で制定されているのは誰しも承知している話だとは思いますが、施行内容が2022年4月(令和4年4月)から大幅に変わります。 具体的には二本柱です。 ①令和2年…

「村田製作所の情報を不正持ち出し」の件、正しく理解する

「村田製作所の情報を不正持ち出し」の件、初報だけ見た方は関連記事をもう少し読んで理解を深めた方が良いと思いましてまとめます。 www.jiji.com 村田製作所は5日、会計システム更新の委託先である日本IBMが再委託した中国企業で、個人情報など約7万…

ゼロクリック攻撃とは何か

Yahoo!ニュースのトップにゼロクリック攻撃の話が載ったので、そろそろいろんな情報システム担当が「君、ゼロクリック攻撃って知ってる?」と質問される頃じゃないでしょうか。知りません、とは言えませんよね。 「私のスマホ、大丈夫かな?」と言われ、「iP…

紛失防止タグの危険性に関して

「紛失防止タグ」をVTuberへの差し入れに混入させ、居場所を突き止めるストーキングの可能性が払拭できないため、差し入れを停止すると言う話です。 nlab.itmedia.co.jp VTuber専門プロダクション「LiverCity」は6月10日、同日より所属ライバー(配信者)へ…

ファイルサーバーはもうオワコン 危険性を認識せよ

どんな会社にも、ファイルサーバーはありますよね。 そのデータが流出したら。 www.asahi.com 企業や組織の機密情報を盗み取り金銭を要求するサイバー犯罪グループが、ゲーム大手カプコン(大阪市)に攻撃を仕掛けて機密情報などを入手したとして、同社に取…

「情報セキュリティ10大脅威 2020」とクラウド利用の増大

毎年話題になる「情報セキュリティ10大脅威 2020」ですが、いろいろ今年は状況が激変していてつい見忘れていました。 www.ipa.go.jp なかなか気づきのあるランキング変動です。 特にクラウドの利用が増大しているからこそのランクインと思われる項目が散見さ…

ドキュメントにプログラムを加えてしまったマイクロソフトのしくじり

ドキュメントとは本来データであって、プログラムではありません。 紙の書類を手にしたら、急に動き出してナイフが出てきたら危ないですよね。 ドキュメントと、プログラムは本来は別モノとして厳格に管理するべきでした。 しかし、VBAというものをこの世に…

紙文書管理における不正の数々を思い出す

ハンコ利用が不経済・非効率の象徴みたいな話になっています。が、そもそも紙文書でのワークフロー自体が、一見ちゃんとしているけれども中身は嘘だらけ、のような日本にありがちな現象を助長しているように大昔から思っていました。 過去の職場で見た、実際…

仕様通りに作ってバグもないのに大問題になるケースをどう防ぐか

ドコモ口座問題、大変なことになっていますね。 www.itmedia.co.jp NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとして…

テレワークは古い社内システムの考え方だと危険な件

ホンダにサイバー攻撃 ホンダの社内ネットワークがサイバー攻撃を受けた件、これ、もっと企業は危機感を持った方がいいと思いますので書きます。 www.bbc.com ホンダは9日、社内ネットワークがサイバー攻撃を受けたと発表した。世界各地の工場などが影響を受…

テレワークしている人のパソコンが狙われている

セキュリティー攻撃も新しい展開へ テレワークしている人のパソコンが今狙われています。 www.sankei.com 新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わ…

インフラエンジニア、WEBサイト高負荷との戦いを振り返る

高負荷との戦い インフラエンジニアをやっているとどこかで遭遇する、高負荷との戦い。先日はシャープのECサイトが高負荷と戦っていると聞きました。 pc.watch.impress.co.jp シャープは、4月21日午前10時から開始した、自社生産の不織布マスク「MA-1050」の…

Gitに危険な脆弱性が見つかった

バージョン管理システムについておさらい Gitというのはバージョン管理システムで広く世の中に使われています。あのLinuxの大元を作ったLinusさんが2週間で作ったっていうのは有名な話です。 hyoshiok.hatenablog.com だいたい、バージョン管理システム自体…

完全性の話 想定外との戦い

完全性の話 セキュリティーの三原則と言えば、「機密性」「可用性」「完全性」なのですが、その中の完全性の話です。 完全性と言えば、「いつでも完全な形でシステムやデータを使えるか」という話なのですが、結局のところシステムというのはこれに尽きるん…

SSLサーバー証明書は2年物を買ってはいけない

SSLサーバー証明書は2年物を買うべきではない 今日の今日、今の今知ったことですが、たくさんの人に知られるべきだと思ってまとめます。サーバー証明書を購入する時、たいてい「1年」「2年」が選べると思います。更新作業は面倒なので、2年を選びたくなる…

Zoomで今、何が起こっているのか

はじめに Zoomというサービスがテレワークで流行していて、しかしセキュリティーに問題があっていろいろとすったもんだしていると伺いました。 何がZoomに起きているのか、いろんな記事を確認していきます。 さまざまな脆弱性 toyokeizai.net アメリカ連邦捜…

急にテレワークを始めた企業が危ない

テレワークとSaaSの関係 テレワークも長丁場となってくると想像力が働いてくるのですが、この状況を機に新しいSaaSなどのシステムを入れた企業も多いのではないでしょうか。 SaaS提供企業もこの状況に対して寄与するために、無償利用キャンペーンをするのが…

社内メールを乗っ取られてスパムメール送信の踏み台にされる的な話

意図しないメールが送信された 私はメール運用なんて、さっさとGmailやらMicrosoft365やらにぶん投げちゃえばいいと思っていますが、こういう件があるとさらにそう思いますね。 www.itmedia.co.jp 日本郵便は2月14日、同社のメールアカウントが第三者から不…

消防法レベルでサイバー攻撃に対する防衛をしなければいけない時期にあるのではないか

日本の消防はすごい 日本ってどこの地域に行っても消防署があって、防火・防災を中心に地域の安全を守ってますよね。火事や災害は人の命や財産に直結しているので、国民が生活をしていくうえでとても重要な組織だと思います。 法的な根拠として「消防法」と…

なぜ『ITの7つの無意味な習慣』が無くならないのかを現場から考える

『ITの7つの無意味な習慣』 セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。 qiita.com 2019年の今年は「令和元年」であるわけだが…

ハードディスクやSSDの中身はどうやったら本当に消えるかの議論を整理する

ハードディスクやSSDの中身はどうやったら消えるか 某事件の発生以来、世間で「おい、システム終了後にシステムが保管していたデータは本当に消えるんだろうな?」という疑念は沸きあがっているように思います。もっと具体的に言えば、ストレージにあるデー…

ハードディスク破壊の現場と、人の問題

消えないハードディスクの中身 オンプレミスの運用をやっていたときの思い出ですが。 お客様の物理サーバーをお預かりし、データセンターでシステムを運用していたことがあります。 お客様のシステムを終了する際、そのシステムを動かしていた物理サーバーの…

セキュリティー問題で「深刻」と表現する意味はあるのか

セキュリティー問題と、深刻という言葉 多くのソフトウェアがインターネットによって接続され、相互に関係しあうようになったため、あるソフトウェアの脆弱性が多くの人々を巻き込むようになりました。自分が使っていないからと言って関係ないとは言い切れな…

sudo脆弱性(CVE-2019-14287)はてへぺろ

sudoってヤバいの? 久々にセキュリティーネタでびっくりしましたよ。 japanese.engadget.com Linuxのsudoコマンドに、本来root権限をとれないユーザーがそれを奪取できるようになる脆弱性が発見されました。この脆弱性を突けば、sudoを利用する際の権限設定…

ランサムウェア「Lilu」「Lilocked」にLinuxサーバーが感染するとどうなるか

Linuxに新種のランサムウェアが猛威 ランサムウェア「Lilu」あるいは「Lilocked」が、Linuxサーバーに対して脅威となっているそうです。 news.mynavi.jp 既に数千台のLinuxサーバがこのランサムウェアに感染したとされている(フランスのセキュリティ研究者で…

リクナビ問題 個人情報保護委員会の是正勧告とは何か?

初の是正勧告 リクナビ問題について、個人情報保護委員会が初めての是正勧告を出すと日経新聞が報道しました。 www.nikkei.com 就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が就活生の同意を得ずに「内定辞退率」の予測を企業に…

IT技術者はどこまで業務指示に従うべきか

サイバー攻撃とIT技術者 日韓の安全保障問題が大きな話題となる中、IT技術者としては別の記事が気になりました。サイバー攻撃への防衛力強化の件です。 www.nikkei.com 日米両政府が19日に開いた外務・防衛担当閣僚協議(2プラス2)はサイバー攻撃への防衛力…

ITエンジニアは個人情報問題で炎上しないためにPIA(プライバシー影響評価)を知ろう

個人情報のデータ活用に潜むリスク リクナビが学生の個人情報を元に内定辞退率の予測データを販売していた問題は、これからのWebサービスを考える上で問題提起となったと思います。 www.itmedia.co.jp リクルートキャリア(東京・千代田)が、就活支援サイト…

「BIG-IPの深刻な脆弱性」をエフセキュア社が主張 情報まとめ

「BIG-IP」に深刻な脆弱性? 夏の大型連休直前、金曜日の夕方に報道されていて何となくスルーされているニュースがあります。 pc.watch.impress.co.jp エフセキュア株式会社は、F5 Networksの提供するロードバランサー(負荷分散装置)の「BIG-IP」において、…