クラウドサービスのリスク


2019年8月23日にAmazon Web Services(AWS)で大規模障害が発生しました。

個人的には「ついにやっちまったか」という感じ。

クラウドサービスのメリットは、ITシステムを自社で運用する必要がなくなるのがメリット。

一方でリスクとしては下記がある。

1.預けたデータが第三者に漏洩しないか

2.障害発生時は、自力での障害復旧ができない(神に祈るしかない)

1.はスノーデン氏の功績により、少なくとも当局には漏洩することが判明している。

よって、当局に漏れるだけであれば構わないと腹をくくれるのであれば、問題ない。

逆にそれを受け入れられないのであれば、ITシステムはオンプレミスにして自社運用をしていく必要がある。

2.は正直クラウドサービスが今後普及していけるかのカギになると思っていた。

今回のAWSの障害で見事に実証されたが、クラウドサービスで障害が発生してしまうと、管理者は何もできず、ただ指をくわえて復旧を待つだけとなる。

上司から状況報告や復旧目途を求められても「わかりません」という、マヌケな回答しかできなくなってしまうのである。

個人的には、クラウドサービスが高い可用性を維持し続ける限り、クラウド移行は進むと考えていた。

しかし、今回の様に、クラウドサービス側で派手に障害を起こされてしまうと、利用者側はその前提でITシステムの運用を考え直さなければならない。

クラウドサービスもたまに派手な障害が起きることを踏まえた、選択肢は下記と考える。

選択1.クラウドサービスでもたまに障害が起きるものとして受け入れる。

選択2.障害発生時に状況把握ができない点や、自力による復旧活動ができない点をリスクとしてとらえ、オンプレミスの運用に戻す

選択3.障害発生時のデメリットはあるものの、クラウドサービスならではのメリットもある。デメリットを削減しつつメリットを享受するため、ハイブリッドクラウド(半分クラウド、半分オンプレミス)構成にする。

どれを選択するかは、業種業態やシステムに求める可用性によって異なると思う。

重要インフラ事業領域(「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野)については、選択肢2か、選択肢3を選ぶべきだと思う。

ちなみに、選択肢4として、別々のクラウドサービスを併用するハイブリッドクラウド(例えば、AWSとAzureにそれぞれ構築して冗長化する)も考えてみたが、IaaSってそれなりに管理が複雑であり、IaaSそのものは利用を1つに絞って使うべきというのが僕の意見。

ちなみにクラウド活用が進んでいる米国では、IaaSの管理設定の不備による情報漏洩が相次いでいる。

事件1.Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存

事件2.ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

事件3.WWE、300万件の個人情報がアクセス可能な状態で公開

事件4.米陸軍の極秘情報がAWSで公開状態だったことが発覚

WAFがあればパッチ適用はいらない!?


WAF(Web Application Firewall)の導入を検討する際、WAFの必要性を説いていく過程で、いくつかの壁に当たる。

その前にWAFとはという話から。

WAFとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。

WAFを使用することで、以下の効果が期待できる。

1.脆弱性を悪用した攻撃からウェブアプリケーションを防御する。

2.脆弱性を悪用した攻撃を検出する。

3.複数のウェブアプリケーションへの攻撃をまとめて防御する。

 ※出典:ウィキペディア

んで、WAFの必要性を説いていく中で、特に経営層レベルから疑問を投げかけられるのが下記のようなケース

■ケース1.「F/Wを入れているのになぜWAFが必要なのだ?」

FireWallに加えて、Web Application Firewallを入れる場合、(というかほとんどがそのケースだと思う)この説明を(お母さんでも理解できるように)分かりやすく説明しなければならない。

これは、車の検問で例えるのであれば、下記のような違いになると思うのだが、いかがだろう?

F/W:車のナンバープレートや運転手の顔、車の形状、行き先で良し悪しを判断

WAF:外見だけではなく、中身(乗員/乗客、荷物とか)も見て判断

■ケース2.「WAFを入れればパッチ適用は不要になるのではないのか?」

これ、自分の中で最近まで困っていたケース。

当然べき論としてはWAFは暫定対応であり、システムの脆弱性なのだから、恒久対策としてはシステム側で対応(=パッチ適用)をするのが基本である。

しかし、「WAFで止まっているんだからいーじゃん」と言われると、正直反論が難しい。実際に実務的にはWAFでの対策が事実上の恒久対応になっているところもあるようだ。

そんな中で反論できるネタを用意してみた。

[反論]WAFの設定ミスで攻撃を許容してしまうリスク

脆弱性が出た当初は意識してWAFで止められていたとしても、何かのタイミングでWAFの防御設定が外れ、攻撃を受けて、情報漏洩してしまったケースが存在する

詳細はこちら

WAFも所詮は人が運用するものなので、当然オペミスのリスクが出てくる。

なので、脆弱性が出た当初はWAFで暫定的にしのぐものの、恒久的にはシステムにパッチ適用を行い、根本解決を行わなければならないのだ。

WAFそのものが設定ミスや、何かの拍子で防御設定が外れ、結果的にWAFをスルーする(攻撃を受けてしまう)ケースは、想像できなかった。

発想力が豊かな人間になりたい今日この頃。

スマート家電は買わない


今日はINTERNET Watchの記事から。

ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要。

例えば、スマートスピーカーの場合、攻撃を受けた結果、再生履歴、利用しているストリーミングサービス、そのサービスに登録しているメールアドレスなどを、インターネットを通して盗み取られてしまう可能性があります。

デバイスがネットワークに繋がることにより、リモートで操作が出来たり、インターネットのサービスを使えるようになるので、とても便利です。

一方で、デバイスがネットワークに繋がるということは、悪意の第三者とも繋がることになるというデメリットも認識しなければならない。

この認識を持つと、

「家電をスマホで遠隔操作できます」

とかのうたい文句を聞いても、

な~んにも響かない。嬉しくない。むしろイラつく。

だって、

「家電を(自分の)スマホで遠隔操作できる」

ってことは、

「家電を(悪い人から)インターネット(経由)で遠隔操作される」

というのと同義ですからね。

ちなみに、コーヒーメーカーが不正アクセスを受ける事例が既にあったりします。

自分はスマート家電は買わないです。

シンプル イズ ベスト

ということで。

情報セキュリティ白書2019


IPAから情報セキュリティ白書がリリースされていたので、読んでみた。

ボリュームが多いので、とりあえず今回はDDoS周りを・・・。

来年は2020年東京オリンピック/パラリンピックの年だ。

オリンピック開催国には漏れなくDDoS攻撃がセットでついてくるので、ちょっと情報のキャッチアップを・・・・。

■2018年度のDDoS事例

DDoS攻撃ってオリンピックが特に多くなるイメージだけど、実際には毎年どこかの企業が攻撃に晒されている。

2016年には日産自動車がかなり大きい規模のDDoS攻撃を受けていた。

2018年度の被害事例は大きく2つ

株式会社スクウェア・エニックスが運営するオンラインゲーム「FINAL FANTASY XIV」

合同会社 DMM.com が運営するゲーム「艦隊これくしょん」

■攻撃手口

DDoS攻撃は、主にボットネット、IoT ボットを用いる手口や、リフレクター攻撃と呼ばれるサーバの設定不備を悪用して、攻撃通信を増幅させる手口等が挙げられる。

また、上記の攻撃手法を併用されることも多い。

更に、攻撃効果や状況に応じて、有効な手口に絞った攻撃に切り替える手法もあり、これはマルチベクトル型攻撃と言われ、現在の主流となっている。

マルチベクトル型攻撃のイメージ(白書より拝借)

■対策

白書に記載の対策は下記の通りだが、正直決定打になるようなものは見当たらない感じ。

・アクセスログや通信ログ等を確認し、攻撃が特定のIPアドレスから行われていると判断できる場合は、当該 IPアドレスからのアクセスを遮断する。
 ⇒DDoS攻撃なので、特定のIPアドレスから行われているケースは少ない(DDoSだけに、200IP位から分散攻撃されます)

・国内からのアクセスを主に想定しているサイトでは、海外の IPアドレスからのアクセスを一時的に遮断することも検討する。
 ⇒国内のIPアドレス(乗っ取りとか偽装とか)からDDoS攻撃されるとあまり意味がない。

・攻撃者が攻撃元の IP アドレスや攻撃方法を定期的に変更してくる場合があるため、継続して監視を行い、攻撃方法に合わせた対策を実施する。
 ⇒ただの精神論だよ。。。

・組織内で対処できない程大規模な攻撃や執拗な攻撃を受けている場合は、ISPとの連携や警察等への通報を実施する。
 ⇒ISPとの連携はアリ。
  警察への連携は正直不要。いろいろ聞かれるけど、助けてくれない。

・攻撃の頻度や、攻撃対象サイトの重要性によっては、DDoS 対策製品や ISP 事業者が提供するDDoS対策サービスの利用を検討する。
 ⇒結局この辺の検討が一番妥当な気がする。
  金がかかるけど、モノを購入するのではなく、サービスを利用する形態であれば、導入や廃止は比較的簡単なので、オリンピック期間中だけ利用とか、来年度だけ利用とかの検討ができると思う。

【管理人参照用】
情報セキュリティ白書2019


IPO抽選で本当に公平な証券会社は?


数年前からIPO投資にチャレンジしています。

IPOとは、「Initial(最初の)Public(公開の)Offering(売り物)」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。

これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

つまり、値上がりを期待できる株式を証券会社から配分されれば、利益を得られるチャンスということに。

IPOは各ネット証券で取り扱っていますが、制度は各社異なっています。

私が主に使っているのは下記2社。

■マネックス証券:完全抽選方式

■SBI証券:資金比例抽選&チャレンジポイント制度

私はもともとマネックス証券のユーザーだったので、IPOも最初はマネックス証券をメインにしていました。

しかし、やれどもやれども当選しない・・・・・。

一方のSBI証券はポイント制度が存在しており、抽選して外れても1ポイントがもらえ、次回抽選時にそのポイントを使うと当選確率が上がるという仕組みになっていました。

(ちなみに、当選するには300ポイント位必要らしい)

ここでふとした疑問が。

一体どっちの制度のほうが公平なんだろう?

IPOの経験がない人が聞くとマネックス証券のほうが公平の様に聞こえますが、IPO応募を経験すると、SBI証券のほうが平等な感じがしてきます。

理由は、マネックスの完全抽選方式は毎回ゼロリセットなので、外れ続けると心が折れます。

SBI証券は外れても、もらえるポイントが「いつかは当選する」というモチベーションに繋がります。

そんなわけで、IPOはSBI証券がおススメです。


不正プログラム(不審ファイル)の調査で使えるツール(Autoruns)


昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

まず最初はAutoruns

■特徴

・Windowsの起動時に自動的に実行するプログラムの一覧を表示可能

・Sysinternal Toolsに同梱

・autoruns.exe と autorunsc.exeの2つのファイルが存在し、

 autoruns.exeはGUIのツール、

 autorunsc.exeはコマンドラインツール

■主な利用方法

「マルウェアは自動起動設定をどこかに設定しているはず」という仮説をもとに、マルウェアファイルを探索する場合に活用

■画面レイアウト

■簡単なポイント

・ピンク色に色付けられたところをまずはチェックしていく感じ

・Publisherが空欄のファイルは怪しい率アップ

・フィルタ設定(Optionsメニューから設定)が可能

 ⇒Hide Microsoft Entries のチェックを外すことで、発行者が「Microsoft Corporation」になっているエントリも表示可能

・気になるレコードで右クリックし、[Jump to Image]をクリックすると、該当ファイルのパスに移動できます。

・tempフォルダ等一時保管用のフォルダにある実行ファイルは怪しい率アップ

■注意点

・Publisherの情報は編集可能であるため、偽造されている可能性も考慮に入れて使う必要がある

■入手

本記事投稿時点での最新版はここからも入手できます。

バックアップはこちら

セキュリティをしっかりやっている企業の見分け方


以前の記事で、売上高に占めるIT投資の比率が1%を切っている企業は、IT投資を怠っており、IT的にはヤバイ旨の記事を書いた。

売上高に占めるIT投資の比率については、IR情報等からある程度調べることができる。

では、セキュリティをしっかりやっている企業はどうやって見分ければよいか。

今日ふと思った方法の一つがNCA(日本シーサート協議会)加盟有無。

名ばかり会員の可能性も無いことは無いが、加盟しているということは、企業内にインシデントレスポンスを対応する人がいるということになるはずで、一つの判断基準になるのではなかろうか。

試しに仮想通貨交換業者の加盟状況をチェックしてみた。

DMMビットコイン:たぶん加盟(DMM.CSIRT)

GMOコイン:たぶん加盟(GMO 3S)

ビットフライヤー未加盟

コインチェック:加盟(CC-CSIRT)

ビットバンク:加盟(bitbank-sirt)

フォビ仮想通貨取引所未加盟

Zaif未加盟

Liquid未加盟

フィスコ仮想通貨取引所未加盟

VCTRADE未加盟

BITPoint未加盟

こういう視点で取引先を選ぶのも良いかもって思った。

新生銀行撤退を考える


10年くらい前から、メインバンクとして新生銀行を使っています。

当時は下記のようなメリットがあって、なかなか使い勝手の良い銀行でした。

メリット1:コンビニATMや都市銀行での出金手数料無料

メリット2:振込手数料優遇(新生ゴールドの場合、5回まで無料)

メリット3:キャッシュカードで海外ATMでも引き出し可能

メリット4:コールセンターが24時間営業

メリット5:インターネットバンキングの同一画面でキャッシング可能

新生ゴールドになると、振込手数料の優遇や定期預金の金利優遇などが受けられるので、新生ゴールドになって長いこと使っていました。

しかし、改悪の波が押し寄せます。

まず、

[改悪1.インターネットバンキングの同一画面でキャッシング不可]

システム改修に伴い、インターフェースが分かれて(別システムになって)しまいました。

別のシステムになってしまったら、別のほかのキャッシングサービスでもよいわけで、新生銀行でキャッシングする必要は無くなり、めでたく解約となりました。

次が、

[改悪2.コールセンター24時間営業終了]

新生銀行は、定期預金の途中解約等は電話で行う必要があります。

しかし、当時の新生銀行コールセンターは24時間営業だったので、この不便さはほぼ感じることはありませんでした。しかし、いつの間にか営業時間が短縮され、電話連絡が超絶な苦痛行為に変わりました。

その次が、

[改悪3.海外ATM出金サービス終了]

新生銀行のキャッシュカードで海外ATMで現地通貨が出金できるというのは非常に魅力的でした。

(その後、クレジットカードの海外キャッシングのほうがレートが良いことが分かり、使わなくなったのですが・・・)

改悪続きで申し訳なく思ったのか、サービス強化として打ち出したものの個人的にはガッカリ度の向上に繋がったものが次、

[改悪4.Tポイントとの連携]

自分、マイレージはJAL派のため、JALに移行可能なポイントしか貯めていないのです。

で、TポイントはJALマイレージに移行することができないため、個人的には全く価値がありません。

ポイントサービスって顧客の囲い込みに利用するものですが、私に関しては全くの逆効果で、むしろ新生銀行を使うモチベーションが下がりました。

それでも新生ゴールド会員なので、振込手数料優遇と、ATM出金手数料無料は残っており、今日まで頑張って使い続けてまいりました。

しかーし。

先日ふとしたことで、ふつーに日々使うだけでポイントがたまり、そのポイントがJALのマイレージに移行できるスバラシイ銀行が見つかりました。

給与振込先の変更とか、申請ゴールド維持のために預けている外貨定期預金の解約とか(円高なので多分損失発生ですわ(TωT))、メインバンクの移行は結構面倒くさいのだけれども、これ以上無駄なポイントをプレゼントする銀行を使っていても仕方ないかと。

ありがとう新生銀行。
さようなら新生銀行。

Cyber Posture(サイバー・ポスチュア)って・・・


Cyber Posture(サイバー・ポスチュア)って言葉を今日初めて聞きました。

海外では数年前からある考え方で、NISTのドキュメントにも登場してくる言葉らしい。

最近日本では、セキュリティ業界のトップガンである名和先生がよく使っているようで、自分の耳にも入ってきた。

Postureって「姿勢」の意で、Cyber Postureを日本語で表現すると、

サイバーセキュリティ態勢

みたいな感じだろうか。

ヨガでは姿勢が重要とされており、サッカー選手は体幹が重要とされており、同じような考えで、セキュリティも態勢が必要と。

ま、要は部分的にバラバラに対応していてもだめで、それらがしっかり組み合わさっていないといけないという感じだと思う。

セキュリティの観点で言い換えると、従来のセキュリティ対策は、物理的セキュリティ、情報セキュリティ、ビジネス継続性管理、データ保護、社内セキュリティ、社外セキュリティ等、それぞれ分けて考えていたが、今後、これら分割した考え方は時代遅れであり、分割により組織全体を危険にさらす可能性さえあるとのこと。

名和先生が某講演でお話しされていたポイントは5つ

1.サイバーリスクをITの問題ではなく、全社に関わるリスク管理の問題として扱う

2.企業はビジネスの文脈でサイバーリスクに対処する

3.企業はサイバーリスクを様々なレベルで探し出して軽減する必要がある

4.脅威は常に変化しており、その動きに適応することが不可欠

5.サイバーリスクは包括的で協調的なガバナンスを求めている

一部良く分からない部分があるので、勉強せねば。。。

EV SSL証明書の価値って・・・


SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。

つまり、目的は2つあります。

本日は「運営者の実在性を確認」する目的で使う件の話です。

SSLサーバ証明書には下記3種類が存在します。

DV(Domain Validation):ドメイン名が存在することの証明書

・OV(Organization Validation):組織が存在することの証明書 

・EV(Extended Validation):OVよりも厳密な実在性証明を課す証明書

DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。

OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。

EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。

が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。

(結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・)


EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認(具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます)

【EV SSL証明書搭載の偽サイトができる!?】

米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。(つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る)


結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。

もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。

【参考リンク】

東京2020のなりすましメール対策


東京オリンピックのチケット申し込み(追加抽選)、やろうやろうと思って後回しにしていたら、締め切りが過ぎてしまった。。。

東京オリンピックがどんどん遠のいていく・・・・。

案内のメールを改めて見ていて、気が付いたことがあった。

それは、メール本文に申し込みサイトへのリンクが「無い」点である。

これ、ふつーの人から見ればただの不親切にしか見えないかもしれないが、標的型攻撃メール対策の観点ではかなりしっかりしていると考えられる。

万一、東京2020組織委員会を騙るなりすましメールが出回ったとしても、偽物と本物の区別が非常に容易になる。

「オフィシャルのメールにはリンクはありません。リンクのあるメールは偽物です」と言えるので、アナウンスもシンプルでわかりやすいし、一般の人でも偽物と本物の区別がつきやすいと思う。

こういう対応はそれなりに練らないと出来ないだけに、立派だと思った。

顧客の目先の利便性を追ってセキュリティ対策を犠牲にし、結果顧客の信頼を失った7pay(7&i)の関係者に爪の垢を煎じて飲ませてあげたいと感じました。

参考までに下記が届いたメールのサンプル。


特別機内食はオトクか


夏休みのバンコク滞在も終わり、日本に帰ります。

今回は直行便だったので、無事旅程を終えることができましたが、万一香港経由の便を取っていたら、逃亡犯条例反対デモの影響で旅行取りやめになっていたところでした。

今回はJALの便を利用したこともあり、特別機内食にチャレンジしてみました。

特別機内食のメニューはこちらを参照。

結構種類があります。

ベジタリアンミール、低塩分ミール、糖尿病ミール、低カロリーミール、低グルテンミール、低脂肪ミール、シーフードミール、フルーツミール、etc

他のブログを見てみると、これらの特別食のメリットとして、下記があるようです。

・品切れが無い(ま、事前予約制ですしね。)
・出てくるのが早い(一般の機内食よりも先に配られる模様)

「出てくるのが早い」というのは妙に惹かれます。

最近は搭乗前にラウンジで結構お腹いっぱい食べてきてしまうので、機内食にこだわる必要は無く、むしろ少し軽めで良いくらいな感じ。

低カロリーミール、低脂肪ミール、フルーツミール辺りで悩んだ結果、今回は低脂肪ミールを選択。(健康診断で悪玉コレステロールが・・・・というのもあり。。。)

んで、結果はどうだったか。

【良かった点】
・本当に早くミールが提供された

【残念だった点】
・食後のデザート(ハーゲンダッツ)がスキップされた

ハーゲンダッツ食べたかったのになー。

そんなわけで夏休み終わりです。

2019年後半戦頑張りましょう!

日本企業のセキュリティ予算比は?


NRIセキュアテクノロジーズ社が毎年行っているセキュリティ実態調査の2019年度版がリリースされたので読んでみた。

日本企業の情報セキュリティ対策は一般的に欧米企業と比べると遅れていることは認識していた。

それでもアジア圏の中で見ればそれなりに進んでいるのだろうと思っていたのだが、シンガポールと比較してもだいぶ後れを取っていることが分かり、残念な感じになった。

企業におけるIT予算やセキュリティ予算の考え方は、絶対的な解は無い。

そのため、IT予算の場合はその企業の売上高の何割をIT予算に充てているかで考えることが多い。

んで、セキュリティはそのIT予算の何割をセキュリティ予算に充てているかで考えることが多い。

ちなみにIT予算については、売上高の2%~3%が標準的な水準であると考えている。

一番比率が高いのは金融業界で5%~7%

ちなみ0.5%程度とかいう業界も存在していたと思う。

ちなみに売上高に占めるIT予算化比率が0.5%程度だとどういうことになるかというと・・

・保守/運用体制が確立できない(企画やプロジェクト推進の担当と保守運用担当のメンバーが同じ)
 ⇒リソース不足とメンバーへの高負荷により離職率増加

・ドキュメントが存在しない(上述の影響でそもそもドキュメント作成のリソースが無い)

・PDCAサイクルが存在しない(PDサイクルのみが存在、またはPすら無く、Do,Do,Doだけとか・・・)

・新規のIT投資がほとんどできていない(既存システムの保守もままならない状態)

ということで、IT予算化比率が0.5%程度の会社はIT投資を怠っている会社となり、更にはセキュリティ対策も怠っている会社と言うこともできる。

前置きが長くなったが、今回はそのIT予算に占めるセキュリティ予算の話。

レポートを見た感じ、IT予算の10%をセキュリティ予算に充てるというのが一つのポイントなのだろうか。

レポートはこんな感じだった。

【IT関連の予算に占めるセキュリティ予算の割合が10%以上の比率の企業割合】

・日本:37.6%

・アメリカ:84.5%

・シンガポール:71.6%

ちなみに日本企業の最多ボリュームゾーンは1%~5%、5%~10%未満でそれぞれ30%ずつだった。

CISOの設置率も日本は50%程度なので、そもそも予算が取れないという問題はあるかも。

来年オリンピックがあるのにセキュリティ後進国化している感が気になる今日この頃。

飛行機の搭乗履歴を管理するツール(my.flightradar24.com)


夏休みでタイのバンコクに来ています。

元気なうちに海外旅行をいっぱいしようのコンセプトのもと、1週間以上休みがあれば海外に行くことを心がけています。

そんな訳で、年数回飛行機に乗っているのですが、そんな生活を何年も続けていると、過去にどんなフライトをしたのか整理したくなってきます。

それで現在使っているのが、my flightrader24(旧FlightDiary)です。

個人的に気に入っているのは、搭乗日と便名入力すると自動的に機体番号も表示してくれるところ。

あとは統計情報を出してくれるところ。
JAL便の利用が多いとか、B767の搭乗が多いとか、羽田⇒伊丹間の利用が多いとか、土曜日のフライトが多いとかが自分の傾向みたいです。




あと、統計を年毎にも表示することが可能なので、年末に今年のフライトを振り返るときなども使えます。

Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行期間



マイル活動で現在研究中のルートの一つがヒースローリワードにポイントをためてエーゲ航空のMiles+Bonusに移行するルート。

ヒースローリワードのポイントがある程度貯まったので、一度ポイントの移行検証をしてみることに。

ヒースローリワードのサイトにはポイント移行のスケジュール的な目安は無く、ネットで検索してみる感じだと2~3日で反映されるとの事。

とりあえず1,000マイル分を移行してみたのですが、数日どころか1週間たってもMiles+Bonusの口座に反映されない。。。

意を決してヒースローリワードにメールで問い合わせてみる。

その結果が↓

ーー
Dear Mr ****,

Thank you for contacting Heathrow Rewards.

I would like to confirm that it can take up to 30 days for points to appear in your account after you have requested the transfer.

I hope that this information helps.

Yours sincerely
ーー

ということで、Heathrow Rewardsからエーゲ航空 Miles+Bonus への移行は30日ほど要しますので、計画的な移行を進めましょう。

ご利用は計画的に(サラ金じゃないけど・・・・)

7pay残念無念


2019年7月1日にリリースし、同年7月2日に不正利用が発覚した7payは2019年9月末をもってサービス終了となりました。

サービス開始して実質2日でサービス終了する決済サービスは史上最速ではなかろうか。

この7pay問題(通称7payガバガバ問題)、結局何が問題だったのだろう?

個人的には諸悪の根源はザルな認証基盤である7idにあると勝手に想像している。

しかし、それは結果論であって、個人的には7payと(ザル認証基盤の)7idを連携させることに誰も異議を唱えなかったのだろうか?ということ。

想像するに7pay側は「2段階認証おじさん」の異名をとった社長始め、ITスキル無しorベンダー丸投げ体質であったことは何となく想像がつく

緊急記者会見で「セキュリティ診断はしっかりやったが指摘は無かった」のにこのような事態が発生したのは、下記の事象によるものと想像する。

・7payそのもののセキュリティ対策はしっかりしており、診断の結果問題なかった

・7idは既に動いているシステムのため、診断しなかった

更に更に想像するに、7idの構築運用ベンダーと、7payの構築運用ベンダーは別で、ITスキルの無い7&i側の思い付きで7idと7payの連携が決まり、リスクを発見or発言できる人がいなかったのではないかという気がしてきている

とっても残念だなと思うのは7&iにはグループ内にネット銀行(セブン銀行)も電子マネー(nanaco)も扱う会社を抱えており、それらの会社は7payに出資もしているのだから、もうちょっと何とかならなかったのかなーというところ。

落ち着いたら「動かないコンピュータ」や「敗軍の将、兵を語る」とかでぜひ取り上げてほしい。また、どこかの講演でだれかネタにしてほしい。

個人的には真の教訓が何なのかを知りたい(ITを知らない経営がITに手を出すとこうなる。とか、セキュリティ対策をザルにするとこうなる。とか。。。)

歯医者もキャッシュレス

数日前から奥歯に違和感を感じ、鏡で見てみたところ、5年前くらいに詰めた自慢のハイブリッドセラミックインレーに亀裂が入っている模様。

早速歯医者に行って診てもらったところ、やはり亀裂が入っていて、インレーを付けなおしたほうが良いということになった。

もともと保険適用で可能な銀歯は歯肉が黒ずんだり、5年くらい経つと歯と詰め物の間に虫歯ができてまた削るとかの悪循環に陥るため、インレーを入れるときは金がかかってもよいものを入れると心に決めていた。

当時はゴールドかハイブリッドセラミックかで悩んだ結果、審美性の高いハイブリッドセラミックにした。

しかし、自分とハイブリッドセラミックは相性が悪かったらしく、2本の歯に装着したハイブリッドインレーは、1本目が装着後1ヶ月にして欠けるという惨事に見舞われ、結局ゴールドにした。

で、5年が経過し、こんどは2本目に亀裂が入るという事態に。。。

代替はゴールドかなと思っていたのだが、今行っている歯医者はメタルフリーを掲げており、ジルコニアインレーを勧められた。

ジルコニアインレーはキュービックジルコニアで知られている人工ダイヤモンドに使用される二酸化ジルコニウムのインレーとなり、多分インレーに亀裂が入ることは今後ないと思われる。

ネットで情報収集する限り、硬すぎて別の歯を傷つけるとか怖いこと書いてあったけど・・・。

5年前はジルコニアインレーは結構な金額がした気がしており、候補には入らなかった。今は1本4万円程度で入れることができるらしく、流れでそのままジルコニアインレーを入れることになった。

次回型取りし、その後1週間~2週間で装着可能とのこと。

当然保険適用外なので、クレカ決済が可能か確認したところ、可能との事。
そこまでは想定内だったのが、その後衝撃の一言が!

「保険治療の支払いも(クレジットカードで)大丈夫ですよ」

キャッシュレスに対応した歯科医はまだ少数派だと思うが、さすが都心の歯医者さんだ。

本日の治療費(保険適用分)をクレカ払いにしたのは言うまでもない。

『sv2112サーバー』本日PM6:03頃~PM6:22頃までのDDoS攻撃によるアクセス障害について

(2019年03月02日 掲載)
『sv2112.xserver.jpサーバー』において
PM6:03頃~PM6:22頃まで
DDoS攻撃によるアクセス障害が発生しておりました。

現在は復旧しておりますが
大変ご迷惑をおかけして申し訳ございませんでした。


 ※DDoS攻撃 … 複数のネットワークから特定のサーバーに対して大量のデータを送りつけ、
        ネットワークやサーバーの停止を狙う攻撃手法。


入塾

 


マネックス証券で移動平均線大循環分析のセミナーを受け、さっそく挑戦してみたものの、あっという間に損失が10万を超え、焦っていたところに、スクール募集の案内が・・・(現在は締め切っています。)

5日間限定で募集とのことで、5日間悩むことができたのだが、初日に早速応募して、塾生になりました。

ま、2時間程度のセミナーで株式投資ができるようになるという考えは甘いわな。

マネックス証券のセミナーに参加して、小次郎講師が信用できる
(=投資教育に力を入れているマネックス証券が選んでくる講師なので当然まともだろうという意味)ことが分かったので、こんどはその信頼できる小次郎講師に弟子入りしたわけで、ステップとしては正しいだろうと勝手に納得している。

株式投資は「安く売って高く売る」という根本的に間違った発想で(日本人に多いらしいが)、安いタイミングが分からず、これまで手が出せなかった。

2012年くらいだろうか。ロボットが株式売買タイミングのアドバイスをしてくれるサービスがあり、「これだ」と思って乗っかったところ、派手な損失を出し、撤退。
(その後、ロボット投資助言サービス自体が、利用者減少につきサービス廃止)

まーある意味三度目の正直だわな。

魚の釣り方をしっかりマスターしてきます!

仮想通貨仕込み(2018年10月度)

 


季節の変わり目のせいか、風邪をひいてしまい、しかもそれがしつこいことしつこいこと。。

風邪ひいたときに総合感冒薬はダメですな。

咳喘息が疑われるほどひどい目にあった(しかもまだ疑いが晴れていないという・・・)

症状ごとに効く薬を薬屋で買うか、病院に行ったほうが良い。

そんなわけでしばらく更新をさぼっていました。

んで、そうこうしているうちに10月突入。

月初の最初のToDoの一つは、仮想通貨の購入。

先月は資金不足により仮想通貨の購入は見送っていました。

自分はZaifで毎月積み立て(2000円ビットコイン、2000円イーサリアム)しつつ、
毎月2万円で好きな仮想通貨買っています。

年初はICOに結構手を出していたのですが、最近めぼしいICOが無い
(案件的に魅力が無かったり、魅力があっても投資額がでかくて手が出なかったり・・・。)ため、イーサリアム購入しています。

仮想通貨の世界ではビットコインやイーサリアムが基軸通貨と呼ばれています。

ビットコインってビックカメラとかで決済できるけど、個人的にあまり利用シーンがなく、ICOで使うことが多いイーサリアム買っています。

とある仮想通貨のセミナーで、基軸通貨は仮想通貨全体の50%程度保有しておくのが良いという話を聞きました。

それを踏まえると、今の自分のポートフォリオは80%がICOで調達した仮想通貨で20%が基軸通貨のビットコインやイーサリアムになっている・・・。

ちなみに、今持っている仮想通貨は下記の通り。

うむ。我ながらよく集めたものだ。

この中の一部は価値がなくなったり消滅したりするんだろうな。

でも1つくらい大当たりしてほしいな。

Lead Coin(LDC)
Ethereum(ETH)
CANX(CANX)
Airpod token(APOD)
PCHAIN(PAI)
SENTINEL PROTOCOL(UPP)
SANCOJ(SANC)
HelloGold(HGT)
SingularX(SNGX)
MINDOL(MIN)
fetish coin(FET)
Bancor Protocol(BNT)
Green Movement(GMV)
SingularDTV(SNGLS)
Shopin(SHOP)
trustedhealth(TDH)
PLUG(PLUG)
ENDOR(EDR)
NANJCOIN(NANJ)
Wizzle Infinity(WZI)
VIN
Blockport (BPT)
Centrality(CENNZ)
Pundi X Token(NPXS)
MOLD Coin(MLD)
Cardano (ADA)
MAXBOX (MBX)
Proxeus (XES)
バンカートークン(BNK)
Stox(STX)
SIRIN LABS Token(SRN)
ビットコイン
COMSA (CMS)
No Fake Today Token(NFC)

というわけで、ポートフォリオ調整の観点からも粛々とイーサリアム買い進めています。

今月度の買い付けで自分のイーサリアムの残高が初めて1イーサ超えました。年初は1イーサ10万弱でそもそも高かったり、購入してもすぐICO案件に回っていったりしたので、なかなか1イーサ超えられなかったんですよね。ちょっと嬉しい。。。


年初は1イーサ10万弱だったのが、今は2.6万。

買い時です。

仮想通貨の世界が来ること信じて買い続けます。

落選←【IPO】ブロードバンドセキュリティ(4398) ※評価A

 残念。落選。

IPOチャレンジポイント累積:53P(+2)



ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー


久しぶりにIPO(新規公開株)にチャレンジすることに。

長年マネックス証券を使ってきて、当初IPOもマネックス証券でやってきたが、いかんせん全く当選しない。

マネックスは完全抽選制ということなのだが、一見平等なように見えて、くじ運の強い人が当選し続けるという意味では、個人的に不公平な制度である。

そんなわけで目を付けたのがSBI証券。

SBI証券にはIPOチャレンジポイントという制度があり、IPOに応募して抽選に外れるとチャレンジポイントがもらえ、チャレンジポイントを使って応募すると当選確率が上がるというものである。

IPOに応募し続ければいつか当選するというのは、とても素晴らしく、くじ運のない私にとってはとても平等な仕組みではないか!

というわけで、IPOに関してはマネックスに見切りをつけ、SBI証券に一部の資産を移している。

当初せっせとIPOに応募していたのだが、モッピー案件対応で一定期間FX(ループイフダン)を運用しなければならなくなり、IPO応募に必要な資金が枯渇した状態となっていたので、銀行に預けていた外貨預金を解約し、こちらの資金に回すことにした。

まだ、資金量が少なく、モッピー案件終結まで待ちかと思っていたが、比較的低予算で応募できるIPO案件が出てきたので、さっそく応募してみることに。

IPO案件の中には公募価格割れの不良案件も混ざっているため、ネット情報を参考に、IPOチャレンジポイントを使ってガチで勝負をかける案件と、IPOチャレンジポイントを獲得するためのどーでもいい案件に分け、応募している。

ちなみに評価基準は下記の通り。
ちなみに、A以上は真剣に応募で、このブログでも掲載予定。
B以下はIPOチャレンジポイント狙いでの応募で、このブログにも掲載しない。

S:超優良案件
A:優良案件
B:普通案件
C:微妙案件
D:不良案件

んで、今回のブロードバンドセキュリティの評価は・・・


というわけで、IPOチャレンジポイント使って、ガチで応募です。

WILLsCoin

 


WILLsCoin

新しい仮想通貨ではありません(笑)

株主優待をポイント化し、優待商品と交換するためのコイン(ポイント?)です。

これだけであれば、なーんにも気に留めることはなかったのですが、本日JALマイレージクラブと連携のニュースが。。。

これまで株主優待をやってきたが、個人的にはQUOカードくらいしか狙い目がなく、少し困っていたところ。

株主優待でマイル獲得。

くっくっくっ

素晴らしい案ではないか。

ちなみに対象企業は下記の通り。

まだまだ少ないので、増やしていってくれることを祈る。


ま、でも少ないと言いながらも、参加企業で株主優待がない月は5、7、8月位なので、それなりに毎月ポイントを獲得することができる。

仮に月2,000マイル獲得できたとしても年18,000マイル。

で、でかい

WealthNavi for JAL

 


2014年にJAL修行を行い、無事解脱して今はJGC会員となっている。

そんなわけで、飛行機に乗るときは、基本JAL、もしくはJAL提携会社か、OneWorldアライアンスメンバーとなっている。

そんなわけで、ポイントやマイルも最終的にはJALに行くことを計算してためている。

んで、最近検討し始めたのがコレ。

WealthNavi自体は前から知っていたが、運用コストが年1%もかかるため、検討すらしていなかったのだが、JALと提携し、運用残高に応じて毎月マイルがもらえるとなると検討しない手はない。

現在マネックス証券で投資信託を保有しているが、含み益を抱えている一方、古い投資信託のため、信託報酬率が1.2%超と、インデックスファンドの分際で結構な率となっているのが気に食わなかった。

実はマネックス証券にもマネックスポイントという制度があるため、どちらが得か検討してみたい。

残高が1万円の場合は下記の通りとなった。

【WealthNavi for JAL】
1万円につき、毎月0.5マイル

【マネックス証券】
残高の1/12x0.08 => 0.6ポイント
1マネックスポイント=0.25マイルなので、
1万円につき、毎月0.15マイル

マジか。ポイント還元率で3倍以上の開きが・・・・

というわけで、マネックス証券に預けている投資信託はすべて解約してWealthNavi for JALに移行します!!

マネックス頑張れー

SignalTrader契約

 



移動平均線大循環分析にトライして1週間

いきなり3連敗を喫し、移動平均線三本を使ってもダマシが多いことを認識たが、
一方で、投資対象の銘柄を探すことが意外に困難であることが判明。

これまではマネックストレーダーにある出来高ランキングを使っていたが、移動平均線大循環分析が威力を発揮するのはトレンドが出やすい新興株なので、ちょっとマッチしていない。

んで、マネックスメールにある銘柄を参考にしてみようとしたが、こちらは材料が出た銘柄であるため、正直手を出しにくい。

そんなわけでどうしようか悩んでいたが、過去にマネックスシグナルという、ロボアド助言サービスがあったのを思い出した。

数年前に一時期使っていたのだが、勝率が5割~6割で、個人的には結構な損害を出したため、手を引いていたのだが、勝率5割~6割の助言サービスに移動平均線大循環分析を加えれば、さらに勝率が上がるのではないかと考えたのだー。

んで、早速調べてみたのだが、利用者減少により2017年にサービス終了していた。

んで、その後継としてSignalTraderという外部のサービスが紹介されていたので、さっそく契約してみることに。

契約プランは3つあり、とりあえず一番安いコースにした。


利用のプロセスは非常に簡単で、いくつかあるシグナルから好みのものを選んで、シグナルを受信。


自分のコースはシグナル3つまで選べるので、最大投資額が100万以下のもの、最大保有期間が比較的長めなもの、勝率が極力高いもの、月間の配信銘柄数がそんなに多くないもの(20銘柄未満)を選択した。




移動平均線大循環分析は短期トレードじゃなくて上昇/下降のトレンドをがっちりつかんで利益を出す手法ですからね。

デイトレをする気はないのであります。ハイ。

【マイルネタ】9,000Avios購入

 


今年の中盤になってから海外航空会社のマイルを活用することに目覚めた。

現在JALのJGC(JAL Global Club)のメンバーなので、基本はJALかOneWorldメンバーの航空会社にしか乗らない。

んで目を付けたのがAvios。

JAL国内線が基本片道4500マイルで乗れるのは衝撃的だった。

今更かよって言われても、気づくのが遅かったのだから仕方ない。

基本的には通年でスペインのグルーポンから購入できるため、積み立てじゃないけど、毎月少しずつ購入してJALの国内線や東南アジアの旅行に活用しようって作戦。

スペインのグルーポンにて通年で購入できるのだが、トラブルネタが絶えないため、その他で購入できるのであればその他で購入し、スペインのグルーポンしかなければそこで買う。

んで今月はというと、フランスのECサイト「vente-prevee」でセールが行われているという情報を聞きつけ、そこで購入。

単価的には2000Aviosが一番良いとの事なのだが、残念ながらアクセスしたときにはすでに売り切れ。

仕方ないので9000Aviosを購入


本日のレートで109ユーロ=14,106円なので、1Avios=1.567円

・・・・ま、いっか。

自分のメアドがネット上に流出していないか調べる方法


たまーに自分のメールアドレスが流出しているのではないかと心配になることがある。

そんな時、自分のアドレスがネット上にさらされているかを調べることができるサイトがある。

その名も、

have i been pwned?

細かいところは、すでに他のブログにて記載されているので、そちらにお任せすることとする。

【参考URL】
自分のメールアドレスやパスワードの流出を確認できる「have i been pwned?」。確認したら、流出しててガックシ。
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」
あなたのアカウントは大丈夫?「Have I been pwned?」でアカウントの流出状況を今すぐ確認!

サーバーでのウイルス対策


先日、DCインフラ向けのセキュリティアーキテクチャに関する講演を聞いてきた。

自分も以前システムインフラの運用に携わってきたが、サーバのウイルス対策は負荷の観点から結構及び腰になってしまうので、F/W側でのポート制御や、サーバ側から不要なアプリを削除したり、特権管理、ハードニングなどを通じて対応を行ってきた。

ウイルス対策以外は今も有効な手段であると考えられる。

セミナーでは、ウイルス対策について、従来のアンチウイルスソフトを使うのをやめ、ホワイトリスト中心のアプローチ(=ホスト型IDSの利用)を推奨していたのが、少し斬新だった。


ポイントは、クライアントPCと異なり、サーバは一度運用が始まると、基本的にワークロードは変わらないという点。

なので、メモリ保護と組み合わせて、妙な動きをするプロセスを監視できれば、ウイルス対策は不要ということなのだろう。


ウイルス対策(=アンチウイルスソフト)が不要になる一方で、ホスト型IDSが必要になるので、費用対効果の観点で安くなるのか高くなるのかは見極めが必要。

ま、高くなったら、提言の内容がどんなにイけていても、絵に描いた餅になる可能性は高い。

【参考資料】※非公開
DCインフラ向けセキュリティ戦略



セキュリティ診断はどこの会社に依頼するのが良い?


自分の会社でもセキュリティ診断を実施している。

(社内リソースでやるのはスキル的に無理があるので、ベンダー選定をして、選定した某ベンダーにいつもお願いしている)

んでせっかく標準化したので、おとなしくそこを使ってくれればいいのに、

「開発ベンダーさんでやってくれると言っているので・・・」

とか

「選定ベンダーじゃない別の会社のほうが安いので・・・」

とか、いろいろ意見してくれる人が出てくる。

基本的にセキュリティ診断は、ツールを使って実施するが、これもオープンソースから有償ツールまでピンキリである。

かけるコストが異なれば、当然価格にもピンキリの差が出てくるので、雑な診断結果だけど安いという、安かろう悪かろうのベンダーが存在する。

んで、個人的にはこういう安かろう悪かろうのベンダーは排除したいのだが、排除すべきか否かの判断基準が結構難しく、これまでは「しっかりとレポート出してくれる(具体的にどこに脆弱性があり、どう改善すれば治るのかまで説明してくれる)会社」とか言いつつ、それなりに規模が大きかったり、業界的に有名な企業であれば黙認してきた。

んで、これらの一助になろうであろうドキュメントがIPAからリリースされた。

それが、情報セキュリティサービス基準適合サービスリスト

以前、経済産業省が、情報セキュリティサービス基準というドキュメントをリリースしたのですが、この基準を満たした企業をIPAが認定して公表しましょうというのが、サービスリスト。

分野は下記の4つ

・情報セキュリティ監査サービス
・脆弱性診断サービス (※セキュリティ診断サービスにしてほしかったな・・・)
・デジタルフォレンジックサービス
・セキュリティ監視・運用サービス

んで、2018年7月時点で、脆弱性診断サービスの領域で掲載されているのは以下の会社。

・エヌ・ティ・ティ・データ先端技術株式会社
・株式会社ラック
・株式会社ユービーセキュア
・株式会社サイバーディフェンス研究所
・株式会社ディアイティ
・NECソリューションイノベータ株式会社
・NRIセキュアテクノロジーズ株式会社
・アビームコンサルティング株式会社
・株式会社インフォセック
・株式会社シーイーシー
・デロイト トーマツ リスクサービス株式会社
・三菱電機インフォメーションネットワーク株式会社
・株式会社日立システムズ
・富士通株式会社

現在採用中の会社が含まれていたのが不幸中の幸い、いや、渡りに船。

今後はこのリストにある会社の脆弱性診断であれば許可する方針。

ではでは。

【参考】
情報セキュリティサービス基準及び情報セキュリティサービスに関する審査登録機関基準を策定しました(経済産業省)
情報セキュリティサービス基準適合サービスリストの公開及び情報セキュリティサービスの提供状況の調査における審査登録機関の募集について(IPA)

ショーダンって何?


Shodan(shodan.io)というのは、ネットワーク接続機器の検知・検索のための、いわゆるIoT検索エンジン。

インターネットで検索するときによく使う有名な検索エンジンはGoogleだったりしますが、それのIoT版のような感じ。

うっかりインターネットに公開しちゃっているようなやばい設定のオフィス機器や家電の把握や発見に活用することができます。

ちなみに、Shodanのエンジンを活用して、JPCERT/CCがMejiroっていう実証実験サービスやっています。

【参考資料】
IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」
Shodanでアカウント登録する方法を画像つきで解説してみた。
実証実験:インターネットリスク可視化サービス―Mejiro―



ITシステムのセキュリティ診断におけるベストな頻度


売上高に占めるIT予算比率が2%以上の企業であれば、部分的ではあるにせよ、システムリリース前にセキュリティ診断を実施していることと思う。

※経験上、売上高に占めるIT予算比率が0.5%程度の企業はIT部門が半分崩壊しているか、そもそもIT統括組織が存在せず、セキュリティ診断はやっていないと思われる。

セキュリティ診断って人の健康診断に例えると分かりやすい。
定期的に問題がないかチェックするという点も似ているし、
健康診断実施したからと言って、健康が必ず保証されるわけでもない点・・・。

ま、後者は置いておいて、前者の「どれぐらいの周期で実施すればいいのかしら」というのが今回のテーマ。

そして、下記がJPCERT/CCの見解

====
■Web アプリケーションのセキュリティ診断
 目的:自社の Web アプリケーションに脆弱性や設定の不備が存在しないか確認するため
 対象:Web アプリケーション
 頻度:1年に1回程度、および機能追加などの変更が行われた時
====

Webアプリケーションの例ですが、プラットフォーム診断も同様とみなしてよいと思います。

プラットフォーム診断の場合、目的は「自社の プラットフォーム(OS等)に脆弱性(パッチ適用漏れ)や設定の不備が存在しないか確認するため」といったところでしょうか。

というわけで、セキュリティ診断は1年に1回を目標に頑張りましょう!!
(これ、結構ハードル高いんですけどね・・・)

【参考リンク】
委託先と自社で脆弱性関連の運用管理の誤認も、自社活用CMS周りを改めてチェック
JPCERT/CC:Webサイトへのサイバー攻撃に備えて 2018年7月