Webセキュリティ診断・初診コース（基本）
販売元：LAC
クチコミを見る

　みなさん、ご自分のサイトのセキュリティ診断をしたことがありますか？
　当方は、IT音痴の記者の集団といいながら、興味本位、新しモノ好きが災いしてか、いたずらにサイトを増やしてしまいました。

　メインは、このライブドアブログを利用した
現役雑誌記者による、ブログ日記！
　一時期、このサイトへの意味不明な攻撃があって、ミラーサイトとして作成した
オフイス・マツナガのブログWordPress版

　有料サイトはくる天さんのシステムを利用した
ニュースソース・NewsSource（有料版）
　おなじく有料サイトの
週刊日程表

　ニュース検索サイトとして作成した
今週のキーワード

　本当は他にもちょこちょこつくったものがあるけれど、一応、オフイス・マツナガのメイン運用サイトは、上記５サイトです。

　いずれも、コストがかからないブログサービスやβ版を利用してのサイトです。
　サーバーは、Xサーバーさんを利用していますが、月額数千円。
　ライブドアブログプロの利用料が月額260円。
　つまり、サイトを運営するのに、そんなにカネはかからない！！！
　ということになります。

　で、「有料サイトをやったり、広告やアフィリエイト広告で、儲かっているか？」
　という質問を、特に同業者から受けます。

「はい、全然、儲かっていません」（当方ボス談）
　ということになります。
「しかし、初期投資がなかったので、回収する必要がない。つまり、赤字がボロボロでることはない・・・ということは、実はビジネスモデルとしては優秀でないか？」（当方ボス談）

　かって、ある出版社に経営参加したり、ある雑誌の買収というか経営支援を持ちかけられたことがある当方のボスですが、やってみてどうだったか？というと
「個人的に1000万円単位ですった！さらに、知り合いの出資者に損をさせた」　（当方ボス談）といいます。

　マスコミ不況、出版不況です。
　当方のボスの知り合いや友人にも、その経営にたずさわっている人がいます。
「本や雑誌をだすたびに、赤字が増える。つまり、じっとしているだけで、累積赤字がふくらむ。夜見る夢は、役員を解雇させられる夢」（某大手出版社の役員氏）
　大手の出版社や新聞社、テレビ局は、基本的に、含み資産や累積があります。自社ビルをもっているところもある。某テレビ局のように「実は、うちは貸しビル業・・・つまり本業は、不動産業だ」（某民間テレビ局の役員氏）と自嘲気味にいうところもあります。まだ、体力はある。しかし、その体力が日に日に、衰弱している。
　
「ちょこっと経営に参加してみてわかったのは、儲けることよりも、損しないこと、赤字をださないことがどれだけ貴重なことか・・・。精神衛生上よろしいか・・・。その点、ITは、きわめてすぐれもの」（当方ボス談）

　なのだそうです。
　ただし、先行投資したり、カネのかかるシステムを構築したりしたら、アウトです。ITは簡単なようですが、実は、回収するのに膨大な時間と、労力が要求されます。だからうちのボスのように、「ケチ」といわれようが、「カネをかけるな、知恵をつかえ！勉強しろ！頭を下げて教えてもらえ！」（当方ボス談）
　いわゆる既存のシステムを利用したり、フリーのソフトを利用したり、β版といわれているものを、フル活用する。
　これだと、「儲かっていなくてもいい。赤字がでない。赤字が累積しない。つまり継続できるから、優秀である」となるわけですね。

　ということで、気になったのが以下のソフトです。
　アマゾンを検索していたら見つかった。
　ソフトというよりは、サービスの提供です。
　しかし、アマゾンさんというところは、税務署から追徴金を請求されたりしていますが、おもしろいものを販売していますね。
　PCのソフトでなくて、サービスの提供・販売というのは、アマゾンでも初のこころみでないでしょうか？
　で、みつけたのが、このサービス。


Webセキュリティ診断・初診コース（基本）
販売元：LAC
クチコミを見る

　なんのことはなくて、このLACという会社はうちのボスの知り合いの会社です。
　ここの社長さんが、ボスと高校の同級生。
　実は、うちのサイトであれこれ、トラブルがおきたときに、

「おーい！助けてくれ！」とボスが気楽に電話するところです。
　そうしたら、バリバリの専門の担当者が駆けつけてくれる。
　
　うーーん？

　ボスがいいます。

「これは、SQLインジェクションの攻撃にさらされていないか？」（当方ボス談）

「なんで、SQLインジェクションなんて難しい言葉をボスがしっているのだ？」（辻野記者談）
「なんとなく、どこかでひろった用語で、ちょっとつかってみたかっただけでないか？」（釜台記者）

　当事務所のIT音痴を代表する二人の記者が突っ込みをいれます。
　ま、だいたい、そんなものでしょう。

　で、バリバリのセキュリティーの専門の担当者があれこれ調べて一言。

「あ！レンタルしているサーバの容量が一杯ですね。容量を増やしてください。SQLインジェクションやクロスサイトスクリプティング攻撃の形跡はありません」

　あのね、こんなことで、セュリティーの専門家をよぶべきではないだろう！！！
　オレは内心おもいます。
　しかし、レンタルしているサーバーの容量をオーバーしていたとは、オレも北岡記者もしらなかった。

　ボスが重大な決断を下します。
「現在、月額２０００円だが、奮発して月額３０００円にする」（当方ボス談）
　
　おおおおお！！！！！！
　これでサーバーの容量が３倍になる！！！！！！
　辻野記者が、しこしこ集めてきた怪文書なぞ、ばんばん、アップロードできるぞ！
　ボスの英断である。
　一同、拍手である。

　で、ボスが何をあると頻繁に電話するLACさんなのだけど、昔の同級生ということで、イヤな顔ひとつせずに、専門家を派遣してくれるのだが、実は、そのコストは払ったことはない。請求書がまわってくることもない。ま、きてくれたので寿司ぐらいはご馳走するが・・・・。

「いやね、サーバーの容量がオーバーしていたということで、請求書は送れない。また、以前は、サーバーのパーミッションの設定ミスがあったけれど、これだって請求書は送れない」（ボスと高校の同級生だったLACの社長さん談）

　というのである。
　そこで、今、ボスが思案している。

「やはり、これぐらいおつきあいで、購入すべきか？否か？なんせ５万円だからな？」（当方ボスの思案）

Webセ
キュリティ診断・初診コース（基本）
販売元：LAC
クチコミを見る


「いや、ボスがくれ！といったら、くれるんじゃないか？」（辻野記者談）
　と辻野記者などは、ノー天気にいう。
「それではダメだ！親しき仲にも礼節ありだ・・・・」（当方ボス談）
「ボスが一回、銀座にいく飲み代でしょう。それぐらい、けちけちしない。おもいっきって、注文のクリックおしたら？ここは男らしく」（釜台記者談）
「うーーーーーん・・・・・・・・」（PCの注文画面で固まるボス）

　かくして、しばらく固まり続けるボスでした。

以上

　当方のボスの友人が役員で頑張っているインターネットセキュリティ会社に「ラック」という会社がある。ここが、定期的にまとめる「JSOC侵入傾向分析レポート」というのは、それこそネット関係者にとって必読のレポートなんだけれど、うちのボスのような素人が読んでも、「うん？これ日本語か？」とチンプンカンプンなんだけれど、実は、当方のようなろくでもないブログにさえ、「不正アクセス」や「不正侵入」しようとした奇特な人がいたわけだ。

　もともと、このブログは前管理人の北岡記者がたちあげたものなんだけれど、そのうちに、ボスや辻野記者も興味をもってきて、「アクセスIDを教えろ！」といってきた。賢明な北岡記者は、「制限付きのID」しか、おしえなかったのだけど、そのうち、「どうもおかしい」とボスなどがきづいて、騒ぎ出した。
　問題は、アクセスIDなんだけれど、うちのボスなんか、覚えるのが面倒くさいというので、PCの画面のサイドに貼り付けているし、辻野記者なんか、手持ちの手帳に太字でかいている。

「不正アクセス」や「不正侵入」どころの話でなくて、そもそもの「こころがけ」がなっていないと、ボスの友人のラックの役員氏にいわれたわけだ。
「じゃ、おまえうちのセキュリティー管理しろ！」と、ラックの役員氏に丸投げする。「ただし、カネはない」（ボス談）というろくでもなさだ。
　だいたい、ボスはひどくて、PCがフリーズするとすぐに、この役員氏に電話する。この役員氏も人がよくて、すぐに部下をつれて参上するのだけど、正直いって専門のプログラマーさんに参上ねがわなくても解決できる問題ばかり。一度、　ボスのPCがウイルスに感染して、「中国の陰謀か？CIAの陰毛か？」と大騒ぎしたのだけど、理由は簡単で、せっかくとりつけた「ウィルスセキュリティのソフト」をOFFにして、エロ画像をダウンロードしていだけだった。これも、「そもそも、こころがけがなっていない」（ラック役員氏）だけのことだ。

　そんなやこんなで、アクセスIDに関して、ランダム変換方式という、実は私もよくわからない高度な手法を導入したのだけど、高度で、高級すぎて、当然、ボスや辻野記者、釜台記者はついてこれない。そこで、しょうがなくて、ある方式を導入したのだけど、この方式は公開してはいけないそうだ。ま、ネットの知識のあるかたなら、すぐ、わかる方法です。

　しかし、せっかく、お友達に、純国産のネットセキュリティー会社の役員氏がいるのだから、こちらも、勉強しましょうということで、ネットセキュリティ情報という新コーナーをもうけたわけです。
　

　そこで、最新の、

─日本特有の脅威傾向を把握分析した「JSOC侵入傾向分析レポート2007年上半期」─

　の紹介です。

　ネットワークセキュリティソリューション分野でのリーディングカンパニーといわれている株式会社ラック（本社：東京都港区、代表取締役社長:髙梨輝彦）は、自社の日本最大規模のセキュリティ監視センター「JSOC（Japan Security Operation Center)」というのをもっている。そこで24時間監視しているから、それこそ、日本国内のどこぞで、「サイバーテロ」にでもあうものなら、ただちに、スクランブル発進するそうなんだけれど、この手の監視というのはその手口から、スクランブル発進する機種・・・・つまり、F15か、F16か？そこで実装する兵器は、機関砲だけでなくて、スパローミサイルが実装されているとか、そういうこともいってはダメだそうだ。さらに、官公庁や政府とどの程度、連携ができているかについても、話してはダメだそうだ。

　ま、日本は専守防衛だから、ラックさんも基本は、「防衛」で、「攻撃」はしないとはいっているけど、最近は、日本の専守防衛の考え方も、自衛隊を海外派遣したりするし、仮に、日本にむけたミサイルが「燃料給油」した段階で、「防衛的な先制攻撃」を認めるべきか、否か、という議論があるぐらいだから、ラックさんが、「防衛的先制攻撃」の研究をしていても不思議でないとおもうけれど、これについては、一切教えてくれない。うちのボスなどは、「昔の友達のよしみだろ！ケチだな！」とだだをこねるが、社長の髙梨さんがでてきて、「ま、松ちゃん、こんど宍戸の西コースのチャンピオンティーからラウンドしましょう」と、なだめられている。さすがに、日本のネットセキュリティーのリーディングカンパニーの社長だけあって、うちのボスをなだめるぐらいは朝飯前のようだ。

　ま、そこで、監視運用するセキュリティセンサーの通信記録（ログ）から、2007年上半期のインターネットセキュリティの脅威動向をまとめた「JSOC侵入傾向分析レポート」をみてみましょう。

　ポイントは4点。

1：　ウェブアプリケーションの脆弱性を狙った攻撃が増加し、手口も巧妙に

　 インターネットからの攻撃に関しては、「SQLインジェクション攻撃」などのウェブアプリケーションの脆弱性を悪用した攻撃の割合が増加しています。様々な場所で話題となったSQLインジェクション攻撃の数は昨年に比べて約6倍観測されています。また、攻撃ツールの進化に伴い攻撃内容も変化しています。例えばアプリケーションの脆弱性を調査するリクエストを行い、脆弱なアプリケーションを発見した後、本格的な攻撃を行う仕様のツールもあります。このような攻撃ツールが広く利用されていることが攻撃件数の増加につながっています。

2：　サーバやネットワークの運用不備を狙った攻撃が増加

　サーバやネットワークの運用・設定不備を狙った攻撃に関して、プロキシサーバ探索の試みは約2倍に増加しています。この探索はプロキシサーバをスパムメールやフィッシングメールの送信に悪用しようとしたものです。また、脆弱なパスワードが設定されているユーザになりすますブルートフォース攻撃も増加しています。

3：　2007年4月にボット感染による通信が増加

　内部ネットワークで発生する「ボット」や「ワーム」感染事故は４月に集中しています。これは新入社員の入社や組織変更にともない新たに導入したPCが感染していることが原因です。（毎年４月はボットやワームの感染事故が増加する傾向があるため、注意が必要です。）また、ボット通信の隠蔽化技術も進化したことで、IDSやIPSによるボットの通信の検知が難しくなってきており、ファイアウォールログを併用して監視することが重要となっています。

4：　P2Pファイル共有アプリケーションの利用が増加

　ファイル共有アプリケーションの検知数は、昨年は減少傾向にありましたが、今年に入ってからは増加しています。また、「Winny」や「Share」が危険であるという認識が広まった結果、他のファイル共有アプリケーションを利用する傾向にあります。ファイル共有アプリケーションを利用するユーザはセキュリティに対する意識が低く、自身の利害目的で行動するため、システム面での対策とともにユーザへの教育・啓発活動が求められています。

　ラックの「JSOC侵入傾向分析レポート」の詳細は以下です。
（http://www.lac.co.jp/report/20071101.html）

以上