まさよの掲示板

このエントリーをはてなブックマークに追加

[表示切替]  [HOMEに戻る]  [留意事項]  [記事検索]  [携帯URL]  [管理用]
BBコード
テキストエリアで適用範囲をドラッグし以下のボタンを押します。
装飾と整形

フォント
この文字はフォントのサンプルです
リスト
標準  番号付  題名付

スマイリー
表とグラフ
データ入力
ファイルから入力(txt/csv)
要素の方向:
横軸の数値:
横軸の値 例:2009,2010,2011,2012
直接入力
凡例
カンマ区切り数値 例:1,2,3
横軸の値 例:2009,2010,2011,2012
オプション
出力内容
グラフタイプ
区切り文字
縦軸の単位例:円
横軸の単位例:年度
マーカーサイズ
表示サイズ
確認と適用
Status表示エリア
プレビュー
絵文字
連続入力
外部画像
  • 画像URLを入力し確認ボタンをクリックします。
  • URL末尾は jpg/gif/png のいずれかです。
確認ボタンを押すとここに表示されます。
Googleマップの埋め込み

  • 説明
  • 説明
確認ボタンを押すとここに表示されます。
HELP

名前
メール
題名
本文※必須
URL
添付FILE 上限500KB
パスワード 英数字で8文字以内(記事修正用)
文字色

題名:Office 365 使いこなし術。(1)〜(4) 
名前:“ た ぬ き ” 2017/11/16(木) 10:42 No.14151  HomePage


14151の画像を原寸大表示します (4)スケジュール調整に Office 365 を、駆使するアスクル、OneDriveは使わず。1〜2

1、EC(電子商取引)サイト大手のアスクルは約1800人が、
利用するコミュニケーションツールとしてOffice 365を使っている。

Office 365を最も評価している点は、メールや予定表などの機能を一つのサービスとして使えることだ。

従来は国内のITベンダーが提供するサービスを個別に使っていた。
一つのサービスに統合することで運用管理の手間とコストを削減できた。

サービスをOffice 365に移行した当初は使い方に慣れない利用者もいたが、
導入から約4年が経過した現在は「使い方が分からない、というような質問はほとんどんない」と、
e-プラットフォーム本部インフォメーションテクノロジーの原田浩幸氏は話す。

いつでもどこからでもデータを見られるメリットもある。
従業員はスマートフォンやPCなど複数の端末からOffice 365にアクセスできる。
従来使っていたメールサービスではPOPでクライアント端末とメールサーバーを同期させる必要があり、
常にデータが同期されているわけではなかった。

表、アスクルのOffice 365の導入時期と用途。

Θ “仮押さえ”で予定の調整が楽に。
アスクルは、メールと予定表の用途でExchange Onlineを、
オフィス向けソフトとしてOffice ProPlusを使っている。

Exchange Onlineでは、メールと予定表の機能が同じアドレス帳を参照しており、
「従業員同士のスケジュール調整が従来より楽になった」(原田氏)という。

※ 次回は … 2、予定表の機能は複数の従業員の、
予定を“横串”に見ることができ、会議などの参加を打診する機能もある。です



題名:情報セキュリティ > まるわかり標的型攻撃。(1)〜(6) 
名前:“ た ぬ き ” 2017/11/16(木) 10:10 No.14150  HomePage


14150の画像を原寸大表示します (4) 事例2 日本年金機構のインシデント。1〜3

1、日本年金機構は2015年5月、年金加入者の個人情報約125万件を漏洩させた。

LAN内のパソコンをウイルスに感染させて、目的のデータを持ち出すという典型的な攻撃だった。

ウイルス感染がきっかけとはいえ、
どうして厳重に管理されていると思われる個人情報が漏洩したのか、
攻撃の流れを見ながら理由を解説していく。
また攻撃が発覚した後に情報が持ち出されているため、その動きも時系列で追っていこう。

Θ 公開アドレスに届いたメール。
年金機構への攻撃は、5月8日に公開メールアドレスに届いたメールから始まったとされる(図2-9)。
公開メールアドレスとは、
よくあるお知らせやリリースなどの問い合わせ先として掲載したメールアドレスである。

図2-9、日本年金機構が受けた攻撃の流れ。
日本年金機構の個人情報漏洩は、
LANに侵入して目的のデータを取り出すタイプの典型的な攻撃だった。
公開メールアドレスに届いた標的型メールをきっかけに、
組織内にウイルス感染パソコンを増やしている。

そして九州ブロックの担当者が、攻撃者から届いたメールの本文内にあったリンクをクリックした。
次にリンク先からダウンロードしたファイルを担当者が実行してウイルスに感染してしまった。
なお、Webページを開くだけでウイルスに感染させる攻撃▼も存在する。

そして5月18日以降、公開されていない年金機構職員のメールアドレス宛てに、
ウイルスを添付した標的型メールが大量に届く。
非公開のアドレスは、最初にウイルスに感染したパソコンから漏洩したと思われる。
届いたメールには添付ファイルがあり、それを開いた職員のパソコンがウイルスに感染した▼。

5月8日に届いたメールには厚生労働省のWebサイトに掲載されている文書名が、
5月18日以降に届いたメールには年金に関係するセミナーや研修の告知が記載されていた▼。

▼ Webページを開くだけでウイルスに感染させる攻撃。
Webブラウザー上で動くプラグインソフトやJavaスクリプトなどの脆弱性を悪用して感染させる。
Webアクセス型攻撃と呼ぶこともある。
▼ ウイルスに感染した。
年金機構ではウイルス対策ソフトを使っていたが、検出されなかった。
標的型攻撃のウイルスは、既存のウイルスに一部改変を加えて、
検知されないと確認してから使われたためだろう。
改変用のソフトも公開されており、ウイルス対策ソフトだけで検知するのは困難。
▼ 記載されていた。
情報処理推進機構が2016年7月に公開した、ある業界を標的とした攻撃に関するレポートでも、
137通の標的型メールのうち45%がセミナーや説明会に関連するものだったという。

※ 次回は … 2、LANを調査してデータを盗み出す。です



題名:情報セキュリティ > まるわかり標的型攻撃。(1)〜(6) 
名前:“ た ぬ き ” 2017/11/17(金) 08:09 No.14152  HomePage


14152の画像を原寸大表示します (4) 事例2 日本年金機構のインシデント。1〜3

2、LANを調査してデータを盗み出す。

こうしてウイルスに感染したパソコンが年金機構内部に増えた。
攻撃者はC&Cサーバー▼を使って、ウイルスに感染したパソコンに指示を出し、
LAN内を調査して個人情報を含むファイルを盗み出したとされる。

年金機構ではデータベースサーバーから取り出した個人情報を含むファイルを、
一時的にアクセス制限をかけていないファイル共有サーバーに置いてもよいことになっていた。
攻撃者にこの共有サーバーが見つかり、ファイルを持ち出された。

年金機構では、ファイル共有サーバーにファイルを保存するときは、
パスワードロックをかけることを義務付けていた。
しかしほぼすべてのファイルにロックがかかっていなかった。

Θ 感染には早期に気付いていた。
年金機構のインシデントでは、標的型メールのリンクをクリックしたり、
添付ファイルを開いたりしたことが問題としてクローズアップされた。
しかし、受け取ったメールが業務に関連すると判断されれば、開かずにいられないだろう。
年金機構の問題は、
ウイルス感染に気付いてからの対処方法がまずかったことが、情報を漏洩させた原因だ。

年金機構は、内閣サイバーセキュリティセンターによって通信の監視を受けており、
5月8日にウイルス感染した直後、ウイルスとC&Cサーバーの通信が検知されている(図2-10)。
しかも、ウイルスに感染したパソコンは当日中に見つかっていた。

図2-10、日本年金機構が2015年5月に受けた標的型攻撃。
非常に早い段階で攻撃を検知しながら、情報漏洩を許してしまった。
不審な通信が見つかった時点で、セキュリティ専門家などによる、
調査を実施していれば、被害はここまで大きくならなかったはずだ。

ところが、感染パソコンをLANから取り外し、全職員に注意喚起しただけで対処が終わってしまった。
攻撃者が個人情報を取り出したのは5月21〜23日であり、
早期にLAN内の調査を始めていれば、漏洩は防げたかもしれない。

▼ C&Cサーバー。
ウイルスに対して指示を出すサーバ−。
実際にはサーバーに指示を掲載するだけで、
ウイルスがC&Cサーバーに定期的に、アクセスして指示を確認する。
C&Cは、Command & Controlの略。

※ 次回は … 3、インシデント遭遇時は積極的に情報を公開しよう。です



題名:情報セキュリティ > まるわかり標的型攻撃。(1)〜(6) 
名前:“ た ぬ き ” 2017/11/15(水) 08:00 No.14147  HomePage


14147の画像を原寸大表示します (3)事例1・パイプドビッツのインシデント。1〜4

4、1回目の攻撃は失敗。

2015年11月の攻撃では、個人情報は漏洩していない。
攻撃者はプログラムを設置したものの、データベースの個人情報にアクセスできなかった。
しかし2016年4月の2回目の攻撃で、個人情報をダウンロードされてしまった。

2回目の攻撃では、顧客ECサイトの担当者が使う管理画面を悪用した。
管理画面のアクセスには、担当者のIDとパスワードが必要である。
攻撃者は、データベースにある管理画面の認証に使うIDと、
パスワードのハッシュを盗み出したと考えられる。

パスワードは通常サーバーに元データを保存せず、
元の文字列に復号できない暗号化したデータに変換する。この暗号化したデータをハッシュと呼ぶ。

よく使われるMD5やSHA-1▼といったハッシュの生成方法は公開されている。
攻撃者がパスワードを推測してそのハッシュが一致すれば解読できてしまう。
このため、サーバーではソルトという方法でハッシュを生成する(図2-7)。

図2-7、盗み出したハッシュとハッシュ作成プログラムを使って解析された可能性。
管理画面の認証に使うパスワードは、暗号化(ハッシュ)してデータベースに保存していた。
攻撃者は、コンテンツサーバーに設置したプログラムを使って、
データベースからハッシュとハッシュに対応したIDを盗み出していた。
さらに、Webサーバー上にあったハッシュを生成するプログラムを悪用して、
パスワードを発見したと推測される。

ソルトとは、ハッシュ化する文字列に特定の文字列を、
追加して特定の文字列が漏洩しない限り、第三者が同じハッシュを生成できなくする方法だ。
ところが今回の攻撃では、Webサーバーに置いていた、
ソルトを使ってハッシュを生成するプログラムを攻撃者に使われた可能性が高い。
攻撃者はこのプログラムで推測した文字列からハッシュを生成し、パスワードを発見したと思われる。

攻撃者はこうして、管理画面を通して個人情報を含む注文情報を入手した。

Θ 攻撃者の目的はクレジットカード。
パイプドビッツは、注文情報が漏洩したが、
攻撃者の目的はクレジットカード情報ではないかと推測している。
それは、今回の攻撃を気付くきっかけとなった攻撃者のある行動による。

攻撃者は、管理画面にアクセスできるようになった後、
ある注文でクレジットカードの「与信確認中」だったステータスを、
「与信完了」に手動で切り替えていた。スパイラルECでは、
クレジットカードの決済は決済代行会社に委託していたため、
システム内にクレジットカード情報は保存されていない。
しかし攻撃者は、クレジットカード関連のステータスを書き換えたら、
クレジットカード情報が管理画面上に表示されると思ったのではないかというわけだ。

もちろんそうやってもクレジットカード情報は表示されなかった。
逆にこの操作が、顧客ECサイトの担当者に「身に覚えのない操作」と気付かれ、
今回の攻撃発覚につながったのだった。

Θ 3方向から対策を実施。
パイプドビッツは今回のインシデントを受けて、
「脆弱性」「検知」「認証」の角度から対策を実施した(図2-8)。

図2-8、スパイラルECシステムの問題点とパイプドビッツが行った主な対策。
パイプドビッツは、システムの問題として、
脆弱性があった点、攻撃の検知に時間がかかった点、
なりすましログインを受けた点を挙げ、それぞれの対策を施した。

脆弱性では、
WebサーバーでPUTメソッドの受け付けを停止し、セキュリティ診断のやり直しを実施した。
さらに、プログラムなどのファイルをコンテンツサーバーにアップロードできないように、
ファイルの種類をチェックするようにした。

検知では、複数のサーバーのアクセスログを使って統合的に攻撃を検知する仕組みを入れたり、
サーバーのプロセスを監視したりした。さらに今後、WAFの導入を予定する。

認証では、IPアドレスによる管理画面へのアクセス制限を顧客に実施するよう要望する。
アクセス元IPアドレスを固定できない顧客にはクライアント認証▼の導入を検討する。
さらにハッシュの解析をしにくくするため、安易なパスワードを設定できないように仕様を変更し、
ハッシュの計算を繰り返す「ストレッチング」という方法も導入した。

▼ MD5やSHA-1。
ハッシュ生成の仕様。MD5は128ビット、SHA-1は160ビットのハッシュを生成する。
MDはMessage Digest、SHAはSecure Hash Algorithmの略。
▼ クライアント認証。
端末にインストールした電子証明書などを使って認証する方法。

※ 次回は、(3)が、終わり出ましたから、、、
(4) 事例2 日本年金機構のインシデント。1〜3
1、日本年金機構は2015年5月、
年金加入者の個人情報約125万件を漏洩させた。です



題名:Office 365 使いこなし術。(1)〜(4) 
名前:“ た ぬ き ” 2017/11/15(水) 09:57 No.14149  HomePage


14149の画像を原寸大表示します (3)Office 365の使い方をあの手この手で全社展開、オリックス。1〜3

3、例えば導入によって「時間効率が上がった」か、
どうかについての質問への回答を見てみよう。
2016年8月のアンケートでは、
「はい」と答える回答は14%にとどまり、「いいえ」は32%だった。
回答者数は3500人だ。

Θ 二回目の2016年12月のアンケートでは「はい」が少し増えて22%。「いいえ」は29%。
2017年5月のアンケートでは「はい」が51%で「いいえ」が8%だ。
約半数の従業員が時間効率が上がったと感じていることになる。このときの回答者数は約600人だ。

最もメリットを感じているのは、予定を調整しやすくなったこと。
予定表の機能を使うと、社員のスケジュールを一つの画面に横並びに表示させられる。
既にスケジュールが決まっている時間帯は色つきで表示されるため、
複数の従業員のスケジュールを一覧で把握できる。

それまでグループウエアとして使っていたLotus Notesでは、スケジュールを、
調整するためにスケジュールを管理する複数の、データベース(DB)にアクセスする必要があった。
そのため、それぞれのDBに管理されている予定表を閲覧するためには、
「複数のブラウザーを開いて参照する必要があった」と熊坂課長代理は振り返る。
Lotus Notesでは部門ごとにスケジュールを個別のアプリで管理していたためだ。

アンケートでは改善してほしいと従業員が感じている点も明らかにすることができた。
最も改善への要望が多かったのが、アドレス帳だ。
アドレス帳で従業員の連絡先を検索するときに不便さを感じている従業員は約半数もいるという。

例えば、アドレス帳には役職を一つしか登録できない。
このため二つの役職を兼務している従業員を検索しても、一つの役職名しか表示されない。
「業務改革室長とその他の役職を兼務していたとしても、
それをアドレス帳で管理できない」(熊坂課長代理)。

こうした課題を解決するために、オリックスでは「Office Delve」を使っている。
従業員のさまざまな情報をまとめて登録した専用ページを作る機能だ。
複数の役職や連絡先などを登録できる。
従業員同士はお互いに作成した個人のページを参照して、
アドレス帳と連携させることで情報を調べやすくなる。

ただ、Delveの普及率も現状はそんなに高くないようだ。
写真を登録している従業員数は全体の約3割。
Office 365の課題を克服するには今後も業務改革室の取り組みが鍵になりそうだ。

画1、左から、オリックスの飯島正純業務改革室長と,
熊坂美葉業務改革室業務改革第二チーム課長代理。

※ 次回は、(3)が、終わりですから、、、
(4)スケジュール調整に Office 365 を、
駆使するアスクル、OneDriveは使わず。1〜2
1、EC(電子商取引)サイト大手のアスクルは約1800人が、
利用するコミュニケーションツールとしてOffice 365を使っている。です



題名:Office 365 使いこなし術。(1)〜(4) 
名前:“ た ぬ き ” 2017/11/14(火) 11:19 No.14146  HomePage


14146の画像を原寸大表示します (3)Office 365の使い方をあの手この手で全社展開、オリックス。1〜3

2、ただ、操作研修は1回当たり約2時間かけているため、
忙しい従業員が参加してくれるとは限らない。

ただ、操作研修は1回当たり約2時間かけているため、忙しい従業員が参加してくれるとは限らない。
そこで2017年4月からは、社内の情報共有ポータルで研修内容を発信することにした。
ポータルを開くと、使い方に関する紹介ページがテロップで流れる。
4月、5月でこれらの紹介ページにアクセスした人数は5800人にも上るという。

テロップで発信する使い方の内容はオリックスの業務改革室とオリックス・システムが話し合い、
「こんな機能を使えれば便利だ」という項目をピックアップして決めた。
日々の仕事に役立ちそうな実用性を重視した。

画1、オリックスが社内の情報共有サイトで発信しているoffice 365の機能紹介のページ。
バックナンバーで従業員のちょっとした困りごとに答える。

例えば有給休暇を取得する従業員の「有給休暇中はメールの返信ができない」といった、
ちょっとした困りごとに対してはメールの自動応答機能を紹介した。

Θ 徐々に業務改善につながる効果が表れる。
業務改革室が進めてきた操作研修などの効果もあり、メリットを感じる従業員は徐々に増えてきた。
オリックスグループはOffice 365の導入後、従業員向けのアンケートを3回実施してきた。
導入の効果を測定し、今後の活用につなげるためだ。

導入当初は従業員が使い方に慣れていないせいか効果を実感する声が少なかったが、
導入後に時間が経過するにつれて徐々に好評価の回答が増えてきたようだ。

※ 次回は … 3、例えば導入によって「時間効率が上がった」か、
どうかについての質問への回答を見てみよう。です



題名:情報セキュリティ > まるわかり標的型攻撃。(1)〜(6) 
名前:“ た ぬ き ” 2017/11/14(火) 09:44 No.14144  HomePage


14144の画像を原寸大表示します (3)事例1・パイプドビッツのインシデント。1〜4

3、サーバーにプログラムを設置。

攻撃開始から3日後に、攻撃者はPHPプログラムをコンテンツサーバーに置いた。
Webサーバーが外部からのPUTメソッドを受け付けていたからだ。

PUTメソッドは、HTTPでファイル転送に使うコマンド。スパイラルECのWebサーバーでは、
ユーザーがWebサイトにアクセスしたときにコンテンツをダウンロードするGETメソッド、
顧客ECサイトの担当者が管理画面からファイルをアップロードするために、
使うPOSTメソッドを受け付けていた。
二つのメソッドだけでシステムは運用できるにもかかわらず、
不要なPUTメソッドも受け付けるようになっていた。
ただWebサーバーがPUTメソッドを受け付けても、
特定のパスを指定しなければコンテンツサーバーにファイルを転送しない設定にしていた。

Θ スキャナーがパスを見つける。

パイプドビッツは、攻撃者が「w3af▼」という、
脆弱性スキャナーを使って特定のパスを見つけたのでないかと推測する。

脆弱性スキャナーが脆弱性を見つける方法は、ソフトによって異なる。
パイプドビッツが事前に使ったスキャナーは、
「よく使われるパスのパターンを集めたリスト型の手法で実施したようだ」(志賀氏)という。

一方w3afは、
WebサイトのHTMLファイル内にあるパスをリスト化してPUTメソッドを試行する(図2-5)。
いわゆるクローリング型という手法だ。
スパイラルECのHTMLファイルには、PUTメソッドで許可されるパスが記述されていた。
攻撃者はこうして、PUTメソッドで許可されるパスを手に入れた。

図2-5、パイプドビッツへの攻撃で使われた可能性がある脆弱性スキャナー「w3af」。
パイプドビッツのWebサーバーで稼働するリバースプロキシは、
外部からのPUTによるファイル転送を許可していた。
ただ、事前のセキュリティ診断ではこの問題は見つかっていなかった。
しかし、w3afという脆弱性スキャナーを使うとこの脆弱性を検知できた。
w3afは、HTMLファイルに含まれるパスをリスト化して、
それを使ってPUTの試行を繰り返す機能を持っていた。
HTMLの中に、コンテンツサーバーが受け付ける特定のパスが含まれていたため、
それを使ってコンテンツサーバーにファイル転送が可能だと、
攻撃者に知られた可能性がある。w3afの入手先は、http://w3af.org/

リスト型とクローリング型という手法の違いだけでスキャナーの優劣は付けられない。
ソフトバンク・テクノロジー シニアセキュリティリサーチャー兼、
シニアセキュリティエバンジェリストの辻 伸弘氏は、
「スキャナーによって得手不得手があり、ツール選択に問題があったとはいえない」という。

Θ 難読化で検知を避ける。
攻撃者は、外部から要求を受けてファイルを閲覧したり、
コマンドを実行したりできるプログラムをコンテンツサーバーに送り込んでいた。
こういったプログラムは、ウイルス対策ソフトやセキュリティ機器で検出されやすい。
ところが、攻撃者は難読化という手法で検知を避けていた。

難読化とは、プログラムの文字コード▼を変えたり、
圧縮したりして検知されにくくする手法だ(図2-6)。

図2-6、セキュリティ機器やウイルス対策ソフトで検知されにくくする難読化。

攻撃者は、HTTPのPUTを使ってコンテンツサーバーにPHPプログラムを置いた。
この際、セキュリティ機器のウイルス検知機能やサーバーのウイルス対策ソフトは、
不正なプログラムを検知できなかった。
プログラムを変換して検知されにくくする「難読化」という手法を使っていたためだ。
難読化の手法には、文字コードの変更やデータの圧縮などがある。

▼ w3af。
無償で使える脆弱性スキャナーの一つ。
オープンソースソフトで、コミュニティによって開発される。入手先URLは、http://w3af.org/
▼ 文字コード。
コンピュータなどで文字を処理するために、文字に割り当てられた番号(コード)。
JISやUnicodeなどの標準がある。

※ 次回は … 4、1回目の攻撃は失敗。です
.

  
 

題名:図2-8、  名前:“ た ぬ き ” 2017/11/15(水) 08:01 No.14148  HomePage

14148の画像を原寸大表示します 図2-8、


題名:Office 365 使いこなし術。(1)〜(4) 
名前:“ た ぬ き ” 2017/11/13(月) 15:46 No.14143  HomePage


14143の画像を原寸大表示します (3)Office 365の使い方をあの手この手で全社展開、オリックス。1〜3

1、「Office 365を活用するにはマニュアルを配るだけでなく、、、。

活用法を丁寧に教える取り組みが必要だ」。オリックスの飯島正純業務改革室長はこう話す。

Office 365を導入してから1年半以上が経過しているオリックスグループ。
導入後に業務改革室が取り組んできた操作研修や社内向けの情報発信の効果もあり、
メリットを実感する従業員は徐々に増えてきた。

グループ全体で約1万5000人がメールや社内の情報共有ポータルなどの用途で使っている。
2015年11月にグループ会社のオリックス生命保険とオリックス・システムの、
合計3000人で先行して使い始め、2016年6月にはオリックスが導入した。

表1、オリックスのOffice 365の導入時期と用途。

導入してから約半年後の2017年1月から、
業務改革推進室の主導でOffice 365の操作研修を実施している。
既に合計で約10回、130人に実施した。
「実は基本的な操作を知らないという従業員がいることが研修で分かった」
(業務改革室の熊坂美葉 業務改革第二チーム課長代理)。

例えば、予定表におけるスケジュールの表示形式の変更方法を知らない従業員が多かったという。
予定表の機能では、一日のスケジュールを表示する開始時間を変更できる。
当初の設定では午前0時から表示できるようになっているが、
始業時間に近い午前9時からの表示に設定できる。
ところがその機能を知らない従業員が多かったという。「半数くらいの従業員が知らなかった」。

※ 次回は … 2、ただ、操作研修は1回当たり約2時間かけているため、
忙しい従業員が参加してくれるとは限らない。です



題名:情報セキュリティ > まるわかり標的型攻撃。(1)〜(6) 
名前:“ た ぬ き ” 2017/11/13(月) 06:01 No.14141  HomePage


14141の画像を原寸大表示します (3)事例1・パイプドビッツのインシデント。1〜4

2、攻撃は2015年11月から始まる。

スパイラルECへの攻撃は、2015年11月12日に始まった(図2-3)。

図2-3、スパイラルECが2015年11月と2016年4月に受けた攻撃の流れ。
スパイラルECの公開サーバーを攻撃され、
約1万件の個人情報を含む顧客ECサイトの注文情報を流出した。
さらに、最大で98万件の個人情報を含む顧客サイトの会員情報が閲覧された可能性がある。
SQLインジェクションやクロスサイトスクリプティングの攻撃は、
脆弱性スキャナーの動作だった可能性がある。

攻撃者が最初に実行したのは、脆弱性スキャナーを使った調査だ(図2-4)。
脆弱性スキャナーとは、公開サーバーに危険な脆弱性が残っていないかを確認するソフトやサービス。
本来Webサーバーなどを設置するときに、担当者が実行する。
これを攻撃者が使って、公開サーバーを攻撃する糸口を探すのだ。

図2-4、公開サーバーを脆弱性スキャナーで調査。
脆弱性スキャナーは、公開サーバーに対して、
よくある攻撃手法を受け付けるかどうかを調べるソフト。
外部からリモートアクセス可能なtelnetサービスの稼働状況や、
担当者が意図しないディレクトリーへのアクセスを可能とするディレクトリートラバーサル、
SQLインジェクション、クロスサイトスクリプティングの実行可能性などを調べる。
図では、SQLインジェクションの脆弱性を示したが、
スパイラルECではSQLインジェクションの脆弱性は見つかっていない。
脆弱性スキャナーは本来、
公開サーバーの担当者が設置前に脆弱性の有無を調べるために使用する。
担当者以外が、担当者の許可を得ずに公開サーバーに対して実行すれば、
不正アクセス禁止法の罰則対象になる。

パイプドビッツ CISOの志賀 正規取締役は、
「事前に脆弱性スキャナーなどを使ってセキュリティ診断を行っていたが、
問題は見つからなかった」という。

※ 次回は … 3、サーバーにプログラムを設置。です

  
 

題名:図2-6、  名前:“ た ぬ き ” 2017/11/14(火) 09:45 No.14145  HomePage

14145の画像を原寸大表示します 図2-6、
  
 

題名:図2-4、  名前:“ た ぬ き ” 2017/11/13(月) 06:05 No.14142  HomePage

14142の画像を原寸大表示します 図2-4、


題名:Office 365 使いこなし術。(1)〜(4) 
名前:“ た ぬ き ” 2017/11/12(日) 11:13 No.14139  HomePage


14139の画像を原寸大表示します (2)寺子屋形式とメンター教育で活用を支援、日本郵船のOffice 365。1〜3

3、一方、不満に感じている点の一つは遅延だ。

最も遠いところでは、チリやブラジルと連絡を取ることがある。
遠隔の拠点と主にSkypeで会話をする際に、「遅れを感じることがある。
国際同時中継放送のような感じだ」(松廣氏)。
SharePoint Onlineを利用する際のレスポンスについても、遅さを感じることがあるという。

データセンターの地理的な場所に関しては、変更を望んでいる。
同社はマイクロソフトから、データセンターは日本と指定されたという。
日本でなくては困る、あるいは日本にしてほしいと望む企業があるのは確かだが、
日本郵船は「日本と海外に分散させてバックアップができるようにしてほしい」(班目氏)と、
いうスタンスだ。

このニーズは、BCP(事業継続計画)の観点から出てきている。
同社には第3国間の輸送など日本を介さないビジネスもあり、
万が一災害や有事で日本のデータセンターの稼働がストップしてしまい、
Office 365の利用に支障が出てしまうと困る。この点に関しては、
マイクロソフトに対応を依頼中だという。

画1、東京都千代田区にある日本郵船本社ビル。

クラウドサービスであるだけに、Office 365には続々とツールが追加されているが、
これはきちんとコントロールして従業員に使ってもらえる前提であり、良い面だと捉えている。
班目氏は、「様々な事業者の最先端のツールをそろえる必要はない。
競争相手に後れを取らず少し先を行ける、
うまくかみ合った手ごろなシステムであることが大事」と説明する。

ツールが増えユーザーとして選択肢が広がる点は評価しているものの、
ツールについての情報が少なくどれを使えればよいか迷うことがあるのは課題。
また、ツールが持つ機能の用途や使い方についても、情報不足を感じている。

それに対応するため、日本郵船では簡易的なマニュアルを作成した。
しかし「Office 365は、どんどんアップデートされていく。
そうするとマニュアルは誰が更新するの?という話になる」(塚本氏)という。

このほか良いと感じている点として、マイクロソフトの営業担当者の対応の良さと、
Office 365導入前から使っているツールとの親和性の高さを挙げている。

※ 次回は、(2)が、終わりですから、、、
(3)Office 365の使い方をあの手この手で全社展開、オリックス。1〜3
1、「Office 365を活用するにはマニュアルを配るだけでなく、、、。です


[現行ログ] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47]
[過去ログ] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64]
以下のフォームから自分の記事を修正/削除できます [説明]

処理:  記事No:  パスワード:


今日: 1
07/04 () 1
06/29 (月) 1
06/17 (水) 1
06/16 (火) 1
06/14 () 1
06/05 (金) 1
合計: 12749

- aimix-BBS無料レンタル掲示板 [掲示板の作成はこちら] -

script - Kent-web