セキュリティ

セキュリティのカテゴリアーカイブ

パスワード生成強固なパスワードを求められる場面が増えてきた。自動的にパスワードを生成してくれるサービスもでている。しかし自分はAIら乱数で自動的に作成したパスワードをそのまま使うことに抵抗を感じている。そのため手間はかかるが、自動生成したパスワードを2つ以上組み合わせてオリジナルのパスワードを生成している。しかもそのパスワードは記録せず1回きりとして、毎回パスワードを生成する、ということを意識している。

 →

混合コンテンツ問題SSLの混合コンテンツがいよいよ重要問題になってきた。混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのサブリソース(画像、動画、スクリプトなど)が読み込まれている状態のことである。現在のChromeでは混合コンテンツが表示されていますが、今後リリースされる「Chrome81」ではそのページが完全にブロックされ読めなくなってしまう。
Googleでは混合コンテンツに関する注意喚起の情報が出されている。しかし、歴史が長いサイトほど、以前にSSLではなかったページもあり、混合コンテンツ問題はけっこう解決がやっかいかもしれない。

 →

https32eb17b045122b533c9672a9081ae4b1_s.jpg企業サイトは「https」で始まる常時SSLが必須の状況になってきた。この常時SSLにするためには証明書の発行が必要だが、証明書を発行する団体により「有料のSSL証明書」と「無料のSSL証明書」がある。
無料のSSL証明書でよいのかどうかという質問をよくされるようになってきたが、中小企業ならば当面は「Let's Encrypt」などの無料証明書で十分だと考える。その理由は以下のとおりである。

 →

takufbinhtitle.jpg宅ふぁいる便で顧客データ漏えい事件がおきたようである。約480万人というからかなり大規模な漏えいだ。現在サイトは閉鎖されており利用できない状況である。運営会社のオージス総研では漏れた情報内容について「メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ)」としている。
メールアドレスとパスワードの組み合わせを使い回ししているユーザーはこの機会に他のサービスでもパスワードを変更しておこう。例えば、Amazon、楽天、ヤフー、などでも同じメールアドレスとパスワードを使用していると不正ログインされてしまう可能性があるからだ。

 →

userkengenwp.jpg1つのWordPress(ワードプレス)を複数のユーザーで管理する場合はセキュリティに関する注意がより重要になる。なぜなら、WordPressはユーザーIDとパスワードだけでログインできるので、ハッカーに不正ログインされてしまう可能性が高いからである。二段階認証などにする方法もあるが、他のサービスを活用する必要もあるため設定が簡単ではない場合がある。
そもそものIDとPWが容易にわかりやすいものにしている場合は、基本的な運用ルールを見直してはどうだろう。

 →

ssl-checker.jpgさくらインターネットからSSL証明書の再発行をするよう促されるメールが届いた。今年3月にも同様のメールが届いたが、今回はあらたに対応が必要なようだ。原因はGoogle Chromeの時期バージョンのセキュリティが厳しくなったことで、そのままの証明書では「保護された通信」という表示がされなくなってしまう恐れがあるということだ。
まずは、自社サイトのSSL表示が問題ないかどうかを専用のチェックサイトで調べてみよう。

 →

facebook_f_logo2dankai.jpgフェイスブックは顔出し実名で交流するSNSである。アカウントを乗っ取られた場合は、深刻な問題が起きる場合がある。イメージダウンはもちろんだが、信頼性の低下からSNSの利用がしにくくなってしまうこともある。
乗っ取り防止策としては二段階認証を有効にしておくのがよい。これだけセキュリティ問題が起きていることを考慮すると、フェイスブックやGoogleは基本的に二段階認証にしておくべきだろう。

 →

セキュリティアクション自己宣言のロゴマークIT導入補助金申請に必須であるセキュリティアクション自己宣言のロゴマークをダウンロードした。
ダウンロードページは
https://security-shien.ipa.go.jp/security/download
であるが、IDとPWでログインしないとこのページを見ることはできない。また、マニュアルやガイドラインをちゃんと読まないと、ダウンロードボタンが表示されないようなしくみになっていた。

 →

保護されていませんGoogleクロームのアドレスバーに「保護されてません」と表示されるサイトが増加しそうだ。2018年3月15日リリースのGoogle Chrome66ベータ版では、常時SSLサイトであっても「保護されていません」と表示される場合もある。
問題なのは、シマンテック系のSSLで、特にさくらインターネットなどで利用者が多い「ラピッドSSL(RapidSLL)」だ。2017年7月以前に発行されたSSLサーバ証明書だとGoogleがその証明書を信用しないためhttpsであっても「保護されていません」と表示されるようだ。

 →

rapidssl2020sakura200.jpgさくらインターネットでRapidSSLを使ってWEBサイトを常時SSLにしている場合は証明書の有効期限をチェックしてみよう。古い証明書だと「保護された通信」という表示ができなくなる恐れがある。さくらインターネットから手続き期限が迫っていることを告知するメールが届いているはずである。

 →
このエントリーをはてなブックマークに追加 遠田幹雄のLINE@アカウントを友だち追加