ＩＴコンシェルジュの１５１Ａ（一期一会）

　MITB攻撃とは、悪意の攻撃者がユーザーのPCにトロイの木馬などのマルウェアを侵入させて通信を監視し、オンラインバンクにログインされた後の通信を乗っ取り、ユーザーの預金を盗み取る攻撃のこと。
　
　スパイウェアとかマルウエアの一種だが、大きく違うところは、たとえば、従来のマルウエアは、ログインＩＤやパスワードの情報を搾取するが、MITB攻撃は、実際に画面上でログインしている状態で、その通信情報を搾取し自分の口座に変更してしまう。
　
　非常に発見しにくいのが特徴。ユーザーは、オンラインバンクなどで正常に送金、振込みしたつもりになっているが、実際は自分が指定した口座ではなく待ったく別の口座にすり替わっている。送金後に送金履歴、振り込み履歴など確認すれば発見できるだろうが、履歴で確認するという行為はなかなかしないのが現実だろう。
　
　幸いにして、日本の銀行にすり替えられた報告はまだ上がってきてないと言う。しかし、外国で起きていることはいずれ日本にもやってくると考えるのが自然。
　
　防御方法としては、セキュリティ対策ソフトを常に最新の状態に保つなどの一般的な対策しかないというのだから、厄介だ。当たり前の対策を当たり前のように継続するしかない。
　
　非常に難的な攻撃だけに、このような攻撃があるということを覚えていて欲しい。














プロジェクト管理支援・アウトソーシング
ＳＦＪソリューションズ株式会社

http://www.search-firm.jp/sfjs/

100%スパムメール排除のメール
ＳＦＪソリューションズ株式会社

http://www.search-firm.co.jp/it/pwms/

格安！　自分で行うSEO対策！
ＳＦＪソリューションズ株式会社

http://www.search-firm.co.jp/it/seo/

社長･医師のヘッドハンティング
半蔵門パートナーズ株式会社
http://www.hanzomon-p.jp/

人材のアウトプレースメント
麹町パートナーズ株式会社
http://www.kojimachi-p.jp/

　もう、ご存知でしょうが、Microsoftが出す無料のウィルス対策ソフトが、「Microsoft Security Essentials」です。
　
　注目したい特徴の一つが、企業ユースでも無料で利用できる点。小生も、この点を注意深くウォッチし続けています。
　
　ちなみに、対応OSは、正規品は当然ながらの前提ですが、Windows XP (Service Pack 2, Service Pack 3); Windows Vista (Gold, Service Pack 1, Service Pack 2); Windows 7。
　
インターネット ブラウザー:
Windows Internet Explorer 6.0 以降。
Mozilla Firefox 2.0 以降。
に対応です。
　
　特徴に挙げられている点で、「あまりメッセージを表示せず効率的にバックグラウンドで動作する」というのも期待しています。
　
　
Microsoft Security Essentials
http://www.microsoft.com/security_essentials/default.aspx?mkt=ja-jp#dlbutton
　
　ちなみに、表題としては、「ウイルス、スパイウェア、マルウェア対策」とされています。
　
　ファイアーウォール機能がないことは、知っておかなければなりません。Windows Firewallなどとの併用が必要になるでしょう。
　
　無料であれことの我慢すべきところと評価すべきところを整理していきたいところです。人によって感じ方は違うでしょうが、実際にウィルスを発見してから、警告表示されるまでの間が多少長いかなぁと感じますが、これも通常に使用している環境では、我慢できる範囲内でしょう。また、リアルタイム保護をオフにすると警告が出てきてしまいますので、この点もリアルタイム保護を標準にしている環境でないと煩わしいかもしれません。
　
　無料のウィルスソフトは、いくつかありますが、企業ユースでの使用を許可しているものは、そうありません。
　
　新しい境地を攻めていると感じます。
　
　もう少しだけ、様子を見て、情報を集めた上で、クライアントに紹介・導入しようと計画中です。
　
　WEB上では、良い面、悪い面と様々な意見や論評が展開されていますが、完璧ではないものの、対策のひとつとして捉え、そのメリットとデメリットを知った上での導入であれば、よいと思います。メリットを得るためにも、デメリットを知る。これが、導入のポイントかもしれません。

　
　
（参考）
MSの無料セキュリティソフトに依存はダメって、共存もできないじゃん
http://blogs.itmedia.co.jp/niikura/2009/10/ms-1795.html

インストールすべき10の理由
Microsoft Security Essentialsはインストールすべきか？
http://www.atmarkit.co.jp/news/200910/05/eweek.html











プロジェクト管理支援・アウトソーシング
ＳＦＪソリューションズ株式会社

http://www.search-firm.jp/sfjs/

格安！　自分で行うSEO対策！
ＳＦＪソリューションズ株式会社

http://www.search-firm.co.jp/it/seo/

社長･医師のヘッドハンティング
半蔵門パートナーズ株式会社
http://www.hanzomon-p.jp/

人材のアウトプレースメント
麹町パートナーズ株式会社
http://www.kojimachi-p.jp/

　今や、ビジネスでもプライベートでもメールは必須のツールとなっております。送信ボタンを押した瞬間に
相手に届く。情報やメッセージを伝えられるもの。しかも、通信料なんてあったにようなもの。こんな便利で、安い(無料か!?)ツールです。
　
　でも、メールって、便利すぎるがゆえに、そして、安価なゆえの問題を含んでいることをつい忘れてしまいがちです。
　
　メールを送信して、相手に届く。単純なように見えますが、この経路は非常に複雑です。まず、世界中のサーバーをどう通るか分からない。その中で、相手のドメインを認識し、IPに変換し、その場所を探し出し、サーバーを経由させて、届かせる。これが、瞬時に起きてしまうのだから、インターネットの威力を痛感させられます。
　
　しかし、この途中の経路。誰も保証してくれない。このことをちゃんと認識している人は少ない。つまり、メールを送信しても、正しく到着させることを保証してはいないのです。もし、相手が、受信者が、「受け取っていない」といえば、それを確認する方法は難しいということ。送ったメールが、世界中のインターネットのサーバーをどう”経由するか”、もしくは”経由したか”を確認するのは容易ではないのです。
　
　また、迷惑メールが90%を占めているというメール環境。受信者側が迷惑メールと判断して実際には届いているのだが、迷惑メール扱いとなって捨てられていることもある。これも、受信者側は確認できても、送信者側では確認のしようがない。受信者側も、迷惑メールの仕組みが導入されているかを知らない場合もあり、そうなると、”届いていない”という現象に見えてしまう。
　
　メールを送って安心してはいけないということ。これを、ビジネスでは特に認識しておかなければならない。情報をファイルをメールで送って安心してはいけない。メールで送信した場合は、受信確認を取らなければならない。送っただけで終わらせてしまうと、後で問題が発生してしまったときに、抗弁できなくなるのである。
　
　メールは、便利。普通は、100%近くの確率で相手に瞬時に届く。しかし、100%近くであって、100%ではない。
　
　単なる、情報通信の手段の一つ、コミュニケーションツールの一つであることを知っておくこと。メールの仕組みを知っている人は、信用しきらない。メールの仕組みを知らない人が、便利なツールとして過信してしまう。
　
　メールは、相手に届いていないかもしれない。届いていても見てくれていないかもしれない。そんなツールなのだ。










プロジェクト管理支援・アウトソーシング
ＳＦＪソリューションズ株式会社

http://www.search-firm.jp/sfjs/

100%スパムメール排除のメール
ＳＦＪソリューションズ株式会社

http://www.search-firm.co.jp/it/pwms/

格安！　自分で行うSEO対策！
ＳＦＪソリューションズ株式会社

http://www.search-firm.co.jp/it/seo/

社長･医師のヘッドハンティング
半蔵門パートナーズ株式会社
http://www.hanzomon-p.jp/

人材のアウトプレースメント
麹町パートナーズ株式会社
http://www.kojimachi-p.jp/

　Windows7のセキュリティ強化の中で、BitLocker To Goというものがあります。これは、暗号化により情報漏えいの脅威から守ろうとするものですが、特徴は、リムーバル ストレージ デバイスにまで拡大することにより、データの盗難に対する保護を強化しています。
　
　リムーバル ストレージ デバイスとは、USB フラッシュ ドライブやポータブル ディスク ドライブなどをさします。
　
　コレにより、許可されたユーザーのみにデータの読み取りができるようにします。メディアが紛失、盗難に遭った場合、または悪用された場合に威力を発揮します。
　
　操作方法は、簡単になっているようです。USBメモリを挿入し、右クリックして「BitLockerをオンにする」をクリックするだけだ。あとはメッセージにしたがってパスワードを設定し、パスワードを忘れたときに復元できるようにする回復キーを保存したり、印刷したりすればOK。
　
　注意点とすれば、設定後、USBメモリを挿すと、暗号化されていなければ、USBメモリを暗号化するかメッセージが表示され、もし、暗号化しないなら、USBメモリは読み取り専用になり、USBメモリにファイルを書き込むことはできないこと。また、容量の大きなUSBメモリを暗号化する場合は、最初の暗号化に時間がかかることがあるが、いったん暗号化すれば、普通のUSBメモリと変わりなく使用できる。
　
　使い勝手の部分で、多少違和感が出てくるかもしれません。しかし、情報漏えいが叫ばれる中、必須のエチケット、マナーになってくるものと思われます。
　
　この「BitLocker To Go」。言葉だけでも、今から頭に入れておいたほうがよさそうな仕組みです。




代表者WEB動画インタビュー

http://www.search-firm.co.jp/it/message.html

プロジェクト管理支援・アウトソーシング

http://www.search-firm.jp/sfjs/

格安！　自分で行うSEO対策！

http://www.search-firm.co.jp/it/seo/

　昨日朝、会社出社時、ラジオを聴きながらウォーキングしていていたら、”ピロン　ピロン～　ピロン　ピロン～”と緊急地震速報が流れてきました。ちょうど、NHK第一放送のラジオ体操の時間でした。当然のごとく、ラジオ体操の放送に割り込み、地震の情報を繰り返し、繰り返し報道していました。
　
　そのとき、おかしいなと思ったんです。揺れは感じなかったし、それよりも、何分経っても、各地から揺れは感じなかった、被害の情報は入ってきていない。という情報をアナウンサーが繰り返し、繰り返し伝えているのです。
　
　地震の大きさはマグニチュード4.2だったかな。それでも、各地揺れがなかったというのです。
　
　これは、誤報かなと頭の中でよぎりましたが、なかなか訂正も誤報も伝えない．．．　そのうち、通常の番組に戻っていきました。
　
　気になったので、インターネットで調べてみると、皆さんもご存知の通り”誤報”だったようです。
　
緊急地震速報（警報）の誤報について（第２報）
http://www.jma.go.jp/jma/press/0908/25b/200908251700.html
　
　TVにニュースによると、プログラムの変更を行った際のミスだという。しかも、緊急地震速報のプログラムは、変更する予定ではなかったというし、気象庁自身のプログラム変更を管理していなかった。業者が、勝手に変更したという雰囲気さえを感じる報道だった。
　
　つまりは、業者と気象庁のコミュニケーション不足、気象庁の管理体制、業者のテスト不足に、手順の確認不足。あまりにも、お粗末な結果となってしまった。
　
　緊急地震速報は、重要な、かつ緊急度の高い情報だけに、その取り扱いは、しっかり、確実に行わなくてはならない。今回の事故で、”また、誤報かも？”と思われてしまったら、その速報の意義すらなくなってしまう。
　
　今回の事故の責任は大きい。TVでも業者を名指しで報道していた。
　
　誤報の確認、通知すら、数時間後になってしまったというのもお粗末だ。
　
　何か起きてから、体制を引き締めるのでは遅すぎるのだ。何か起きる前に、対策を打ち、遵守していくのが内部統制でもある。
　
　今回の事故。どのようなペナルティや責任が問われるかは、公にならないだろうが、厳格な対処をしていただきたいとい思うし、繰り返してはならない。我々も反面教師として自らを見直さなければならない。
　
　当事者の方の身になれば、冷や汗ダラダラでしょうが、チェック体制、管理体制が不十分だった責任を考えれば、きちんと反省して欲しいと思います。
　
　人は、慣れを作ってしまうもの、ミスをしてしまうもの。これを前提に考え、どうミスを早期発見し、具体化する前に修復するか．．．　この手順や体制を作らなければならないのです。







代表者WEB動画インタビュー

http://www.search-firm.co.jp/it/message.html

プロジェクト管理支援・アウトソーシング

http://www.search-firm.jp/sfjs/

格安！　自分で行うSEO対策！

http://www.search-firm.co.jp/it/seo/

　個人情報保護、機密情報保護。最近は、情報管理について、企業でも力を入れ始め、その対策を徹底するところも多くなってきました。
　
　現場でよく目にするのが、ファイルのパスワード。ExcelやWord、PDFに、ZIPファイルなど、パスワードをかけて相手にメールで送信して伝達する方法です。
　
　この際、かけられたパスワードはどのように伝えればよいのか。
　
　せっかく、パスワードをかけるという面倒な作業を行ったにもかかわらず、パスワードの伝え方によっては、セキュリティ上問題が残るということも起きているようです。
　
　最近の主流では、パスワードをかけたファイルを添付するメールの本文にパスワードを書くのは問題だということで、添付ファイルだけ先に送信しておいて、別メールで、「先ほどのファイルのパスワードは、****です。」とメール送信して伝えています。そして、そのメールには、「確認できましたら、本メールは削除してください。」と記してあるケースもあります。
　
　セキュリティに専門家からすれば、これは、あまり意味がないということも多いでしょう。メールをハッキングされてしまっていれば、いくら別メールにして送信しても同じようにハッキングされているので、意味がないという論理です。
　
　確かに！　おっしゃるとおり！　です。パスワードは、電話や直接口頭で伝えるべきとおっしゃっています。
　
　では、この方法は、全く意味がないことなのでしょうか？
　
　情報漏えい、セキュリティ対策には、完璧はありえません。このパスワードを別メールで伝えることは、確かに、メールハッキングには意味がないのかもしれませんが、メールハッキングされてしまったら、もっと大きな問題になっているはずです。問題のはき違いをしているのかもしれません。
　
　メールを別便で送る。そして、パスワードのメールを削除してもらうという方法では、他人が送り先のパソコンを操作されたり、送り先の人が謝ってメールを転送してしまうことによる情報漏えいを防ぐには、大きな威力を発揮しているのです。
　
　セキュリティ対策では、どの方法が、どのリスクに対して効果を上げているのかを履き違えて論議することは、愚の骨頂といわざるを得ません。
　
　企業にとって、どのリスクが脅威なのか、リスクを軽減する対策は何なのかを、個別に整理しておかないと、パスワードは別メールで送信することは意味がないと簡単に片付けられてしまうのです。
　
　セキュリティ対策が、何を何から守っているのか。この部分を、管理者だけでなく全ての社員が共有、理解することが理想ですが、まずは、管理者がぶれない対策を立て、徹底することからはじめるしかありません。
　
　パスワードを別メールで伝えることは、全くの無意味ではないのです！！






プロジェクト管理支援・アウトソーシング

http://www.search-firm.jp/sfjs/

格安！　自分で行うSEO対策！

http://www.search-firm.co.jp/it/seo/

　IPA（独立行政法人　情報処理推進機構）のサイトにて、WEBサイト改ざんについての呼びかけがありましたのでご紹介します。
　
「 あなたのウェブサイト、改ざんされていませんか？ 」
http://www.ipa.go.jp/security/txt/2009/07outline.html
　
　企業や団体、コミュニティなどのWEBサイトの改ざん。単に、内容を書き換えるだけでなく、マルウェアやウィルスをダウンロード、拡散させることを行うといいます。改ざんするには、様々な方法があるのでしょうが、WEB管理者が知るFTP情報（サーバー名、ID、パスワードなど）を入手することが挙げられており、管理者の日頃の姿勢やセキュリティ対策の徹底が求められます。
　
　WEB管理者だけでなく、重要なデータやサーバにアクセスできる人の日頃使用するパソコンのセキュリティ対策と心がけの大切さを訴えており、心の隙を作らない体制や監視が必要であると思います。
　
　また、少しでも不穏な動きを察知したら、大丈夫だろうと思わず、きちんと追求することが求められます。中堅・中小企業では、誰に相談したらよいのか分からないということもあり、放置しておいたり、そもそもインシデントに気づかないことが多く、ＩＴ機器やセキュリティの相談役やパートナーを作ることも大きなポイントではないでしょうか。
　
　特に、WEBページでは、表向きな表示を確認するだけでなく、更新日やページの中のスクリプトの内容を定期的に確認しなければなりません。
　
　もし、改ざんが発見されたら．．．
「原因を排除し、改ざんページの修正、再公開を完了させた後、ウェブサイトの利用者に向けた、改ざんの事実とウイルスに感染する危険性があった旨の注意喚起、および謝罪文を掲載することを勧めます。また、利用者からの問い合わせ対応を行う窓口を用意することが望ましい対応といえます。」
とIPAのページでは紹介されています。
　
　そうは言っても、どうしていいかわからない、体制が取れない、対応できる社員がいないという声はよく聞かれます。そのまま、放置せず、ぜひ、ご相談下さい。貴社に合った対策、対応方法、体制作りをサポートできます。
　
ＳＦＪソリューションズ株式会社
http://www.search-firm.jp/sfjs/


＜＜ＰＲ＞＞
格安！　自分でできるSEO対策！

http://www.search-firm.co.jp/it/seo/

　内部統制は、企業にとって、生きている間永遠に逃れることのできない呪縛なのかもしれません。呪縛というと、悪いイメージを持ってしまうかもしれませんが、決して悪いものではありません。正しい知識と正しい判断を下すことで、内部統制が企業の大きな柱や武器になることは知られています。
　
　では、それを具体化するにはどうすればよいでしょうか。
　
　内部統制は、既に上場されている会社の場合、J-SOX法が施行され、IFRS（国際会計基準）が見え隠れしている状況です。その中で、世界の流れ、日本流れ、さらには、自分の会社の流れを知ることがとても重要になります。特定の社員が知っていればよいという時代ではなく、多くの社員がその流れを知ることが求められてきます。
　
　その一つとして、若手社員の内部統制勉強会という方法があります。いわゆる、講義形ではなく勉強会スタイルです。リード役が司会をしながら、若手社員だけでなく、希望者や会社から指名された社員が参加し、議論したり、自社の業務を考えたりすることで、内部統制や会計、J-SOX法、IFRSを知ってもらうというもの。
　
　自らの業務に関する部分をテーマにしますので、非常に分かりやすい、考えやすいという面もあり、効果は大きいものと思いますし、実際勉強会を実施しているケースでは効果をあげています。
　
　ポイントは、ざっくばらんな雰囲気作りと会社側の理解となります。知識の詰め込みではなく、参加者自ら答えを導いていくことが特徴です。
　
　もし、このような他にはない内部統制対策を進めたいとお考えの方は、ぜひご相談下さい。一緒に、作り上げて行ければと思います。
　
　
SFJソリューションズ株式会社
http://www.search-firm.jp/sfjs/

　IFRS自体もアルファベット略語であるが、今後、様々なアルファベット略語が目の前を過ぎていくことでしょう。そこで、いくつか代表的なアルファベット略語をご紹介してみたい。
　
IFRS：「International Financial Reporting Standards」
　　　「国際財務報告基準」
　
ASBJ：「Accounting Standards Board of Japan」
　　　「企業会計基準委員会」
　
IASB：「International Accounting Standards Board」
　　　「国際会計基準審議会」
　
IASC：「International Accounting Standards Committee」
　　　「国際会計基準委員会」
　
FASB：「Financial Accounting Standards Board」
　　　「米国財務会計基準審議会」
　
GAAP：「Generally Accepted Accounting Principles」
　　　「［公正妥当と］認められた会計原則」
　
MoU：「Memorandum of Understanding」
　　　「覚書」
　
　会話や文字で出てきても、ぴんときませんね。略語でなくても、理解しがたい。IFRSの歴史、流れが頭の中に入っていないと．．．
　
　まぁ、略語が分からなくとも、本質が分かればいいとも言えますが、やはり、本質を理解するためには言葉は重要で．．．
　
　略語の嵐がIFRSの流れに乗ってやってくるようです。
　
　
　

　ようやく、J-SOX法対応内部統制が一段落したと思ったのに．．．　そんな声がアチコチで痛切に聞こえてくる。国際会計基準（IFRS）の動きを見据えての声だろう。
　
　J-SOX法では、ご存知の通り米国のSOX法を基にして、日本に合うようにと様々な緩和策が採られて導入された。それでも、楽なものではなかった。
　
　次の大波は、国際会計基準（IFRS）の強制適用。国際基準であるがために、日本に合うようにと緩和された策が強烈に厳しくなると言われている。
　
　強制適用は国際化の流れから言っても避けられない情勢。早ければ、2015年からの予定だ。まだ、６年も先の話だと言ってはいられない。2010年3月期以降の決算から任意適用も可能になる見込みであり、早々にもIFRSの動きが目の前に見えてくることになる。
　
　また、2013年3月期からは、15年の強制適用に備えて比較される年度でもあり、IFRSに準拠した会計を行うことが予想される。
　
　では、IFRSへの変更は、どのくらいのインパクトがあるのか。
　
　たとえば、H社では、「国際会計基準（IFRS）導入支援サービス」を出しているが、期間は約2カ月、料金は1500万円。企業のIFRS対応プロジェクトのロードマップを策定したり、業務やシステムの改変を支援するサービスだという。
　
　今後も、ぞくぞくと国際会計基準（IFRS）導入（切り替え）支援サービスが出されてくるだろうが、決して簡単に進められる金額でも手間でも内容でもないことは事実である。
　
　すべての上場企業に課せられるかも、未だ不透明であるが、ビッグインパクトになることは間違いない。
　
　早めの情報収集と対策を採られることが望ましいと言えるかも知れない。様子を伺いながら．．．で結構失敗したのが、J-SOX法対応内部統制だったという反省も聞かれる。
　
　いずれにせよ、IFRSの適用の流れには注目していきたい。