参考：技術的セキュリティ

２． アクセスログの管理ツール

・ IOデータのLAN DISK Hシリーズ（NAS）

⇒ 単独でシステムログをNAS内部に保存可能

・BUFFALOのTERASTATION(NAS）：販売中のTS3210以降のシリーズは、ログの取得・保存可能。

http://buffalo.jp/support_s/guide2/manual/ts3010/jp/99/ja/pc_index.html?Chapter7#h3anc15

古いTERASTATIONでは、保存できないのでNASのシスログ出力機能で別のPCにログを出力し、別のPCに入れたシスログサーバで受信・閲覧する。

⇒ Kiwi Syslog Server（無料） ： https://www.kiwisyslog.com/free-tools/kiwi-free-syslog-server

※評価版DL画面で、評価版ではなく” Continue Without Adding”をクリックして無料版をDLできる

⇒ pSyslog(無料) ： http://blog.livedoor.jp/rappazubon/archives/52149910.html

※ブログの記事内の”pSyslig”からダウンロードサイトへ飛べる

・ QNAP（NAS）：IOデータ、BUFFALOと同様、ログの取得・保存が可能

https://www.atc.jp/qnap-nas-logging/

・ WINDOWSサーバ

⇒ Adiscon EventReporter（27,800円）

：WINDOWSサーバのイベントログを他PCに出力する。

＋ winsyslog（無料）

：EventReporterで出力したログを表示する。

その他無料/有料ツール ：https://www.jtc-i.co.jp/freeware/index.html

⇒ windowsイベントビューワ機能を使い共有フォルダのログを取る。

https://www.netassist.ne.jp/blog/?p=10733

その場合、ログの保存容量（デフォルトは200mb）を拡大する/他のPCに移す。

→イベント・ビューアを起動し、変更したいログを右クリックし、容量を増やす。

３． バックアップについて

・AWSやGoogleWorkspaceなどのクラウドストレージの場合には、SLAでデータの保存・バックアップについて保証されている

（ex. AWSは3つのデバイスにコピーを保存）ので、それでよければ、別途バックアップの必要はない。(任意時点には戻れない)

・NASを利用している場合には、RAID（1,5,6,10）で二重化している場合には、それでOK。

ただし、RAID０は、高速化のための二重化なので耐障害性はない。また事務所の火災では、二重化したドライブが同時に焼失するので、重要データは別サイト保存を考えるのも良い。

４． バックアップツール／クラウドストレージ

バックアップは事業継続性確保に重要。米同時多発テロの際も、取引データのバックアップがあったおかげで企業倒産はほとんどなかった（83年の駐車場テロでは倒産多数）

また社内にファイルサーバをおくよりクラウドの方がコストと管理面で利点アリ。

・ NI Collabo Smart（380円/人・月）1人当たり１GB、追加5GB/1000円・月

システムログが取れるソリューションとしては、最安かも

http://www.ni-ware.com/

・ GoogleWorkspace Business（1360円/月・人）：GoogleWorkspaceだけでログ管理可能

https://support.google.com/a/answer/4579696?hl=ja

・ Dropbox Business：ログ取得可能

https://help.dropbox.com/ja-jp/teams-admins/admin/monitor-sharing-activity

※上記、UPFで代理店をしているので、ご希望があればお声がけください。

５． WEBサーバのセキュリティ（１）～SSLで暗号化

WEBサイトで問い合わせ受付などのフォームを設置する場合には、SSLで暗号化することが必須。ISPが用意している無料の共用SSLでも可。

また無料で使えるLet’s Encryptでも可。

Let’s Encryptが管理画面から簡単に設定できるのは、以下のISPなど（他にもあり）

・さくらインターネット

・Xserver

・ロリポップ（GMOペパボ）

・お名前ドットコム（GMOインターネット）

・WADAX(GMOクラウド）

・コアサーバー（VALUE-DOMAIN by GMO）

・カゴヤ

・スターサーバー（ネットオウル）

・Zenlogic（IDCFrontier）

・heteml（GMOペパボ）

など。

・Googel Workspaceで作成したサイト、フォームなどは、Googleが自動的にSSL証明書を作成し、保護してくれる。

※ISP経由以外で購入したSSL証明書をサーバに設置した場合、SSLにならないことがある

⇒webサーバの「.htaccess」ファイルを修正してhttpsに強制リダイレクトする。

６． WEBサーバのセキュリティ（２）SQLインジェクション対策

Web上にDBを持ち、マイページにID/PWでログインさせる場合、入力欄にSQL文というDBの言語を流し込まれる（インジェクション）と、DBが騙され、権限のない攻撃者にDBの中を見せてしまう。防御のためには、入力欄にSQL文を流し込まれたらハジク設定をするか、サーバにWAF（Web Application Firewall）を設置するか、レンタルサーバの設定をONにする。

WAFがコンパネから簡単にonにできるレンタルサーバは以下の通り。

・さくらインターネット

・Xserver

・ロリポップ（GMOペパボ）

・WADAX（GMOクラウド）

・コアサーバー（VALUE-DOMAIN by GMO）

・heteml（GMOペパボ）

・CPI（KDDI）

・AWS

・Google Cloud Armor

　（Google WorkspaceもGoogleによるWAFと同様なモニタリングと脆弱性管理をしている）

・カゴヤ

参考：https://biz-server.net/function17/

７． WEBサーバのセキュリティ（３）クロスサイトスクリプティング（XSS）対策

事業者が掲示板などを運営し、利用者に書き込みを許している場合、悪意の投稿者が投稿記事にスクリプトを書き込み、他の利用者がそのスクリプトを踏むと、事業者の偽サイトに誘導されたり、事業者サイト利用のためのID/PWが盗まれたりする。

対策は、スクリプトの書き込みを拒否する設定にする、WAFを入れる、など。

８． Wordpressの脆弱性チェック

https://www.kagoya.jp/howto/wordpress/wordpress-security/

http://bit.ly/wp_doctor ・・・ 調べたいサイトのURLを入れるだけ

９． メールの誤送信防止

相変わらず情報セキュリティ／個人情報の事故では、メールの誤送信が上位を占めています。

メールの宛先に、送ってはいけない人が含まれていた！

別人に送るべき添付ファイルを間違って添付してしまった！

等が発生しています。

防ぐためには、「送信前のチェック＝警告」「送信猶予」「上長のチェック」などの機構を組み込むことが有効です。

・Gmailを使っている場合、送信取り消し可能時間を5秒から30秒に延ばす

　（送信後、30秒は送信されない）

・Gmailのアドオン「サテライトオフィス・メール誤送信防止/標的型攻撃メール対策機能 for Google Workspace」

　※お試し＆10人まで無料（有料でも100円/月）

　https://www.sateraito.jp/Google_Apps_Mail_Gososhinboushi.html

・Gmailの誤送信防止アドオンを入れる

　https://chrome.google.com/webstore/detail/gmailsend-address-checker/gdckkpniogfhndklmlgbnolnkbceeofp?hl=ja

　https://www.coo-kai.jp/google-apps/lineup/gmail-checker/

・送信遅延機能（添付ファイルがある場合、すぐに送信されないようにする）があるメーラーを使う

　outlookを使う

　https://outlooknavi.net/2010donotsend#i-3

　Shuriken 2018（有料）

　https://www.justsystems.com/jp/products/shuriken/features/post_3.html#header01

・第三者承認機能（送信前に上長が承認してから送信）があるメーラーを使う

　※メールサーバに設置して組織全体で使うことになるので高いです。

　https://www.maildealer.jp/

　https://hennge.com/jp/service/one/emailsecurity/

ご参考まで。