陳腐化しつつあるパスワードのルール


以前パスワードの定期更新に関する議論が沸き起こり、パスワードの定期更新は”不要”と言うのが現代の新常識となっている。

ただ、これには前提条件があり、十分な長さと複雑性を兼ね備えたパスワードである必要がある。

更に具体的に言うと、英大文字小文字+数字+記号 26 種= 88 種類の文字を使い、10 桁のパスワードを作ったとすると、その組み合わせは約 2785 京個(京は兆の上の単位)、1 秒 5 回の制限で「総当たり攻撃」をした場合、全部を試すまでに約 1760 億年かかる。

これならば、100 年以内に探り当てられる確率は非常に小さく、事実上不可能といえるので、パスワードの定期更新は不要という理屈になっている。

上記はNISC(内閣サイバーセキュリティセンター)が提供しているガイドブックの53ページ~56ページあたり参照するのが良いと思う。

https://www.nisc.go.jp/security-site/files/handbook-all.pdf

上記に関連して時代遅れになりつつあるルールがある

■時代遅れルール:パスワードを書き留めるべからず

当然これも前提がある。

誰でも見ることができるPCの近くにパスワードを書いたメモを置いておくことが最悪な行為であることは変わりない。

しかし、現在は様々なオンラインサービスがあり、それらすべてのサービスで共通のパスワードを使うことは、最悪の行為である。

一方で利用するサービスの数だけパスワードを生成して覚えるというのも無理な話である。

そこで推奨されるのは、「パスワードブック」を1冊購入してパスワードを記録し、自宅で鍵をかけて保管しておくのがいい(らしい)

そこで、私がパスワードの新ルールを提案したい

■新パスワードルール1:パスワードは英大文字小文字+数字+記号で10桁以上にする。

■新パスワードルール2:パスワードは使いまわさない(サービス毎に異なるものにする)

新パスワードルール2を徹底すると、情報漏洩が起きた時、どのサイトの情報が漏洩したのか、知ることができるケースもあります。

【参考】
https://japan.cnet.com/article/35150759/
Labels:

クラウドストレージの誤設定による情報漏洩事案(2020年2月)


日本でもクラウド化が進んでいるが、日本よりもクラウドが進んだ欧米ではクラウドからの情報流出事案が後を絶たない。

※ここでいうクラウドとはIaaSを指します。

予め言っておくが、クラウド自体は問題ではない。

正しく設定して運用管理を行えば、クラウドは安全である。

しかし、設定を誤ると、情報は安易に漏れる。

これがクラウドのリスクである。

企業が自社でイントラネットを構築し、その中でサーバの運用を行っている状態であれば、仮にサーバの設定がザルだったとしても、ネットワークレイヤのセグメント分離により助かるケースはあり得る。

しかし、クラウドの場合、すぐ隣はインターネットの世界となり、サーバの運用管理がザルだと致命傷に直結する。

自分はクラウドについては肯定的だが、インフラについてはクラウド化してもオンプレ同様の人的リソースが必要と考えている。

それを怠った結末を2つ紹介したい。

■受刑者情報3万6千件が露出(アメリカ)
AWSのストレージサービスAmazon S3の「バケット(Bucket)」が、セキュリティ保護および暗号化されていなかったために、米国の刑務所に収容されている受刑者についての記録36,077件が露出

https://www.vpnmentor.com/blog/report-jailcore-leak/

■電車通勤者の情報1万人分が漏えい(イギリス)
AWSクラウドストレージ上のデータベースがパスワード保護されていなかったため、英国の「Network Rail」社が管理する駅で無料Wi-Fiサービスを利用する乗客についての情報が漏えい

https://securitydiscovery.com/c3uk/


数年後には日本からも同様のインシデント発生が予測されるので、自社のIaaS導入は心してかかりたい。


【参考】
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234
Labels:

パソコンに「マスク」してますか?【自診くん】


新型コロナウイルス(通称武漢ウイルス、以降コロ助)の猛攻を受けて、皮肉にもリモートワーク環境の整備が急ピッチで進んでいるらしい。

※「テレワーク」という言葉はダサいので、ここではリモートワークと表現

海外では非常事態宣言が発動して外出禁止令が出ている国があるので、取り急ぎ各社リモートワークに必要なツールの整備を進めていると思うが、リモートワークはセキュリティ的にも考慮しなければならない点がいくつかある。

それらをJSOC(Japan Security Operation Center)を擁するセキュリティ企業のLAC様がまとめてくれたので、気になる方は是非参照いただきたい。

https://www.lac.co.jp/lacwatch/service/20200318_002153.html

その中で今日紹介しようと思ったのが、無料の診断サービス

自診くん

https://jisin.lac.co.jp/

これを使うと、インターネットに開放されている危険なポートを簡単に確認できる。

ただ、これはあくまでも必要最低限の確認となり、これをクリアしているからと言って安全である保証とはならない点に注意する必要がある。

そういう意味では、外出時に予防対策でマスクをするのと似ているかもしれない。

マスクをしたからと言って、感染予防を保証してくれるわけではないのと同じ理屈である。
Labels:

宿泊予約の売買サービス【Cansell】


ウェスティン、シェラトン、インターコンチネンタルホテル、ホテルニューオータニなど様々なハイランクホテルに、キャンセル不可プランで予約したものの、泊まれなくなったケースは無いだろうか?

個人的にはそんなケースは無いのだが、万一そうなってしまった場合に役に立つかもしれないのが、

Cansell(キャンセル)

https://jp.cansell.com/

 ※注:スペルは間違いではなく、こういうスペルのサービス名です。

Cansellはホテル予約をキャンセルしたい方とホテルを予約したい方を繋げるプラットフォームとして2016年リリースしたサービス。

予約権を買う側は70〜80%オフで宿泊できるらしい。

ハイランクホテルに70〜80%オフで宿泊できるなら泊まってみたい。

海外旅行でホテルを押さえる際は、こういったサービスで掘り出し物が無いか、事前にチェックする癖をつけておきたい。
Labels:
Location: 日本、〒150-0001 東京都渋谷区神宮前6丁目17−15

Coincheckの貸仮想通貨サービス


先日、Coincheckから貸仮想通貨サービスの案内メールが届いた。

coincheckの貸仮想通貨サービスと言えば、いつまでたっても貸し出しが始まらないので、苦情めいた記事を書いたこともあった。

https://blog.b-son.net/2020/01/coincheck.html

今回改めて貸仮想通貨のステータスを見たところ、無事貸し出しが開始されていた。


貸し出し開始時にメール通知でもしてくれればいいのに・・・。

仮想通貨はしばらく塩漬けにする予定なので、coincheckでじっくり増殖してもらいたい。
Labels:

新型コロナウイルス感染者数を可視化できるデジタルマップ


新型コロナウイルス(通称武漢ウイルス、以降コロ助)が世界中に広がっている。

リアルタイムで何人感染しているかを知ることができるサイトが2つほどあるので紹介したい。

1つは、アメリカのジョンズ・ホプキンズ大学が運営している新型コロナウイルス感染者数を可視化できるデジタルマップ

https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

もう一つは日経新聞が集計しているマップ

https://vdata.nikkei.com/newsgraphics/coronavirus-world-map/

日経新聞のマップは遡ることができるので、時系列で感染拡大を追っていくことができる。

コロ助はWHOからパンデミック宣言されてしまい、いよいよ東京オリンピックの雲行きが怪しくなってきた。

当然東京オリンピックを予定通り行うには5月末までにパンデミックの終息宣言が出ないと駄目だろう。

そうすると東京オリンピックを予定通り開催するのは正直難しいと感じている。

無観客試合で強硬開催か?延期か?中止か?

まず無観客試合は無いかな。見込んでいた観光収入がほぼ消滅するので、東京都や日本政府は受け入れられないのでは。

んじゃ延期か。個人的にはこれが最も濃厚と考えている。

んじゃいつに延期か。

まず年内は無いと考えるべき。

延期する以上、次は確実に開催可能な日程にすべきである。

コロ助の終息宣言がいつ出るか不明確な状況で年内開催は絶望的と考えるべきである。

次の案が1年延期。これはトランプ大統領も口走っていた。ま無難かなと。

その次の案が2年延期して、夏季、冬季同時開催とするもの。これも悪くないかと。

恐らく3年延期するとオリンピックの翌年にオリンピックになるのでこれは無い。

そうなるとその次の案は、4年延期して、パリオリンピックも4年ずらすというもの。ここまでくると、現実的なのかさっぱり予想がつかない。

最後に中止だけど、これは無いと考える。次のオリンピック開催は東京なのだから、とりあえず次回のオリンピックは東京でやってほしい(完全に個人的な希望的観測になっているが・・・。)

とりあえずコロ助の目途が立たない事には何も進まないので、コロ助退治の目途が立つことを祈る。
Labels:

ポルトガル航空(TAP)がステータスマッチ実施中(2020/1/1~2020/3/31)


スターアライアンスメンバーのポルトガル航空(TAP)が75周年記念でステータスマッチを行っている。

ステータスマッチなので、当然ながらスターアライアンス以外のステータスを持った人じゃないと応募できない。

つまり、対象はワンワールドの上級会員(=JAL)とか、スカイチームの上級会員とかになる。

一応エミレーツ航空の上級会員とGOL航空の上級会員もステータスマッチの対象となるらしい。

ただ、細かい制約条件がいろいろある模様・・・。

条件1.最低70ユーロのバイマイルが必要。

条件2.ステータスマッチによるステータスの提供は2020/9/30まで

    ※25000ステータスマイル分搭乗するとステータス継続

ま、ざっくりいうと、自分みたいなワンワールドの上級会員だけど、スターアライアンスは平会員の人が対象で、9月末までのスターアライアンスゴールドの会員権が70ユーロで買えると思ったほうが分かりやすいかも。

9月末までにスターアライアンスのエコノミーで旅行する予定があれば検討の余地あり。

うーん。9月までは予定ないなー。

12月にエーゲ航空の特典航空券発券したけど、ビジネスだし。

とりあえず自分は見送りということで。

【参考リンク】
https://kinako-yuta.hatenablog.jp/entry/TAP
https://voyageavance.global/tp-status-match
https://loyaltylobby.com/2020/03/02/tap-milesgo-status-match-challenge/?omhide=true
https://onemileatatime.com/tap-air-portugal-status-match/
Labels:

グローバルIPアドレスを直接割り当てられたPCのセキュリティ対策

2017年にJC3からグローバルIPアドレスを直接割り当てられたPCのセキュリティ対策についての注意喚起が出ている。

https://www.jc3.or.jp/topics/gip_sec.html

その時の記事で、インターネットから直接アクセス可能なWindowsコンピュータが約97,000台確認とあった。

それから約3年経ち、現在どうなっているのかとSHODANで検索してみた。

結果が上の絵で、約30,000台に減少していた。

それよりも驚いたのが、Windows7の数。

既にサポート切れているのに、約8,000台のWindows7 PCがグローバルIPでインターネットに直結されている。

悪いことは言わない。イタイ目を見る前にPCのリプレースを提案する。


Labels:
登録: 投稿 (Atom)