参考:技術的セキュリティ

1. ウイルス対策

Windowsなら、無料のWindows Defenderでもよい。有料版は有効期限を確認する。

https://www.av-comparatives.org/comparison/


Macの場合でも、Mac向けマルウェア(ウイルスや悪意のアプリ)があるので導入する。

無料のものでもBitdefender(高性能だが常駐しないので軽い)、

AVG(高性能で自動スキャンするが重い)などがあるので検討する。

Mac用無料ウイルス対策:

https://ja.safetydetectives.com/amp/blog/best-free-antivirus-for-mac-ja/

スマホの場合も、少なくともandroidには、ウイルス対策する(無料でOK)

iPhone用もあり

https://thehikaku.net/security/hikaku5.html




2. アクセスログの管理ツール

IOデータのLAN DISK Hシリーズ(NAS)

⇒ 単独でシステムログをNAS内部に保存可能

BUFFALOのTERASTATION(NAS):販売中のTS3210以降のシリーズは、ログの取得・保存可能。

http://buffalo.jp/support_s/guide2/manual/ts3010/jp/99/ja/pc_index.html?Chapter7#h3anc15

古いTERASTATIONでは、保存できないのでNASのシスログ出力機能で別のPCにログを出力し、別のPCに入れたシスログサーバで受信・閲覧する。

⇒ Kiwi Syslog Server(無料) : https://www.kiwisyslog.com/free-tools/kiwi-free-syslog-server

※評価版DL画面で、評価版ではなく” Continue Without Adding”をクリックして無料版をDLできる

⇒ pSyslog(無料) http://blog.livedoor.jp/rappazubon/archives/52149910.html

※ブログの記事内の”pSyslig”からダウンロードサイトへ飛べる

QNAP(NAS):IOデータ、BUFFALOと同様、ログの取得・保存が可能

https://www.atc.jp/qnap-nas-logging/

WINDOWSサーバ

Adiscon EventReporter(27,800円)

:WINDOWSサーバのイベントログを他PCに出力する。

+ winsyslog(無料)

:EventReporterで出力したログを表示する。

その他無料/有料ツール :https://www.jtc-i.co.jp/freeware/index.html

⇒ windowsイベントビューワ機能を使い共有フォルダのログを取る。

https://www.netassist.ne.jp/blog/?p=10733

その場合、ログの保存容量(デフォルトは200mb)を拡大する/他のPCに移す。

→イベント・ビューアを起動し、変更したいログを右クリックし、容量を増やす。

3. バックアップについて

・AWSやGoogleWorkspaceなどのクラウドストレージの場合には、SLAでデータの保存・バックアップについて保証されている

(ex. AWSは3つのデバイスにコピーを保存)ので、それでよければ、別途バックアップの必要はない。(任意時点には戻れない)

・NASを利用している場合には、RAID(1,5,6,10)で二重化している場合には、それでOK。

ただし、RAID0は、高速化のための二重化なので耐障害性はない。また事務所の火災では、二重化したドライブが同時に焼失するので、重要データは別サイト保存を考えるのも良い。

4. バックアップツール/クラウドストレージ

バックアップは事業継続性確保に重要。米同時多発テロの際も、取引データのバックアップがあったおかげで企業倒産はほとんどなかった(83年の駐車場テロでは倒産多数)

また社内にファイルサーバをおくよりクラウドの方がコストと管理面で利点アリ。

NI Collabo Smart(380円/人・月)1人当たり1GB、追加5GB/1000円・月

システムログが取れるソリューションとしては、最安かも

http://www.ni-ware.com/

GoogleWorkspace Business(1360円/月・人):GoogleWorkspaceだけでログ管理可能

https://support.google.com/a/answer/4579696?hl=ja

Dropbox Business:ログ取得可能

https://help.dropbox.com/ja-jp/teams-admins/admin/monitor-sharing-activity

※上記、UPFで代理店をしているので、ご希望があればお声がけください。


5. WEBサーバのセキュリティ(1)~SSLで暗号化

WEBサイトで問い合わせ受付などのフォームを設置する場合には、SSLで暗号化することが必須。ISPが用意している無料の共用SSLでも可。

また無料で使えるLet’s Encryptでも可。

Let’s Encryptが管理画面から簡単に設定できるのは、以下のISPなど(他にもあり)

・さくらインターネット

・Xserver

・カゴヤ

・スターサーバー(ネットオウル)

・Zenlogic(IDCFrontier)

・heteml(GMOペパボ)

・ロリポップ(GMOペパボ)

・お名前ドットコム(GMOインターネット)

・WADAX(GMOクラウド)

・コアサーバー(VALUE-DOMAIN by GMO)

など。

・Googel Workspaceで作成したサイト、フォームなどは、Googleが自動的にSSL証明書を作成し、保護してくれる。

※ISP経由以外で購入したSSL証明書をサーバに設置した場合、SSLにならないことがある

⇒webサーバの「.htaccess」ファイルを修正してhttpsに強制リダイレクトする。

6. WEBサーバのセキュリティ(2)SQLインジェクション対策

Web上にDBを持ち、マイページにID/PWでログインさせる場合、入力欄にSQL文というDBの言語を流し込まれる(インジェクション)と、DBが騙され、権限のない攻撃者にDBの中を見せてしまう。防御のためには、入力欄にSQL文を流し込まれたらハジク設定をするか、サーバにWAF(Web Application Firewall)を設置するか、レンタルサーバの設定をONにする。

WAFがコンパネから簡単にonにできるレンタルサーバは以下の通り。

・さくらインターネット

・Xserver

・heteml

・AWS

・Google Cloud Armor

 (Google WorkspaceもGoogleによるWAFと同様なモニタリングと脆弱性管理をしている)

・カゴヤ

・ロリポップ(GMOペパボ)

・WADAX(GMOクラウド)

・コアサーバー(VALUE-DOMAIN by GMO)

参考:https://biz-server.net/function17/

7. WEBサーバのセキュリティ(3)クロスサイトスクリプティング(XSS)対策

事業者が掲示板などを運営し、利用者に書き込みを許している場合、悪意の投稿者が投稿記事にスクリプトを書き込み、他の利用者がそのスクリプトを踏むと、事業者の偽サイトに誘導されたり、事業者サイト利用のためのID/PWが盗まれたりする。

対策は、スクリプトの書き込みを拒否する設定にする、WAFを入れる、など。

8. Wordpressの脆弱性チェック

https://www.kagoya.jp/howto/wordpress/wordpress-security/

http://bit.ly/wp_doctor ・・・ 調べたいサイトのURLを入れるだけ


メールの誤送信防止

相変わらず情報セキュリティ/個人情報の事故では、メールの誤送信が上位を占めています。

メールの宛先に、送ってはいけない人が含まれていた!

別人に送るべき添付ファイルを間違って添付してしまった!

等が発生しています。

防ぐためには、「送信前のチェック=警告」「送信猶予」「上長のチェック」などの機構を組み込むことが有効です。


・Gmailを使っている場合、送信取り消し可能時間を5秒から30秒に延ばす

 (送信後、30秒は送信されない)

・Gmailのアドオン「サテライトオフィス・メール誤送信防止/標的型攻撃メール対策機能 for Google Workspace」

 ※お試し&10人まで無料(有料でも100円/月)

 https://www.sateraito.jp/Google_Apps_Mail_Gososhinboushi.html

・Gmailの誤送信防止アドオンを入れる

 https://chrome.google.com/webstore/detail/gmailsend-address-checker/gdckkpniogfhndklmlgbnolnkbceeofp?hl=ja

 https://www.coo-kai.jp/google-apps/lineup/gmail-checker/

・送信遅延機能(添付ファイルがある場合、すぐに送信されないようにする)があるメーラーを使う

 outlookを使う

 https://outlooknavi.net/2010donotsend#i-3

 Shuriken 2018(有料)

 https://www.justsystems.com/jp/products/shuriken/features/post_3.html#header01

・第三者承認機能(送信前に上長が承認してから送信)があるメーラーを使う

 ※メールサーバに設置して組織全体で使うことになるので高いです。

 https://www.maildealer.jp/

 https://hennge.com/jp/service/one/emailsecurity/



ご参考まで。