2月13日リリースの「情報セキュリティ月間」でご紹介しましたように、『Adobe Reader、Adobe Flash Player、JAVAなどのプラグイン・ソフトは常に最新バージョンを導入するとともに、自動更新を有効に設定し、アップデートが遅滞なく行われるようにしておく。』という対策が内閣官房情報セキュリティセンター(NISC)より提示されています。
アドビシステムズが提供するPDFファイルを読み取るためのソフトウェアのAdobe Readerは、自分でインストールした覚えがなくても、購入時にインストールされていることが多いソフトです。
また、ブラウザのプラグインで、アドビシステムズが提供するFlashで作成されたコンテンツを再生するときに使うFlash Playerやサン・マイクロシステムズなどが提供する、JAVAで作成されたコンテンツを再生するときに使うJAVAソフトウェアも、自分でインストールした覚えがなくても、購入時にインストールされていたり、Webサイト閲覧時に誘導されてインストールしていたりすることが多いソフトです。
このように、これらのソフトはユーザーが意識していない状態でインストールされている場合が多く、このため、バージョンアップやアップデートがなおざりにされることが多く、しばしばセキュリティホール(脆弱性)が発生することになってしまいます。
そのままにしておくと、マルウェア(malware)の侵入、ウィルス感染などセキュリティ上の危険性が高まりますので、定期的に確認し、最新版へのバージョンアップやアップデートが必要です。
また、更新を自動で知らせてくれる設定にしておけば、アップデートが遅れずに、セキュアな状態を維持することができます。
Adobe ReaderとFlash Playerのバージョンの確認及びアップデートの仕方は、トレンドマイクロ社の「Internet Security Knowledge」のコラムページの「セキュリティ教本」で紹介されていますので、以下のURLサイトを参照してください。
①Adobe Readerを最新版にする http://is702.jp/column/678/partner/80_m/
②Adobe Flash Playerを最新版にする http://is702.jp/column/679/partner/80_m/
③もうひとつのJAVAソフトウェアは、JAVAサイトでバージョンチェックと更新ができます。手順は以下の通りですので、参考にしてください。
(1)「JAVA」にアクセスする URL:http://java.com/ja/download/installed.jsp
(2)〔JAVAのバージョンの確認〕ボタンをクリック
(3)バージョンが古いと、「エラー・・・」の表示とともに、現在インストールされているバージョンが表示される。
バージョンが最新番でなかった場合、〔JAVAソフトウェアを今すぐダウンロード〕ボタンをクリック
(4) 〔無料JAVAのダウンロード〕ボタンをクリック
(5) ファイル実行についての「セキュリティの警告」が出たら、〔実行(R)〕ボタンをクリック
(6)ソフトウェア実行についての「セキュリティの警告」がでたら、〔実行する(R)〕ボタンをクリック
(7)「Java(TM)へようこそ」画面で、〔インストール(I)〕をクリック
(8) Javaセットアップ画面が表示される
(9) Javaセットアップ-完了画面が表示されたら、〔閉じる〕ボタンをクリック
以上で終了です。
≪関連記事≫
(1) 情報セキュリティ月間
(2) 安全なユーザー名とパスワード
今年の正月早々の新聞で、中国がレア・アースの生産規制強化に動いており、生産調整→輸出削減に至るとわが国のハイテク産業が成り立たなくなるといったようなことが報じられていました。
レア・アースって何?
中学、高校の物理を思い出そう!
レア・アースは希少金属(レア・メタル)の一種で、希土類とも言われています。
希土類って?
物理で希土類元素(rare earth elements)と言っていたのを思い出しました。
原子番号21番のスカンジウム(Sc)、39番のイットリウム(Y)、そして57番のランタン(La)から71番のルテチウム(Lu)までのランタノイドの計17種類です。
??この元素名の羅列、何だか懐かしいな~!
(45年前を思い出せ~。)
(そうだ!先生に教えてもらった元素の覚え方。)
スイヘイ リーベ ボクノフネ
ナマガル シップス クラークカ
・・・・・・………………………………………・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
水素(Hydrogen)ヘリウム(Helium)
リチウム(Lithium)ベリリウム(Beryllium)
ホウ素(Boron)炭素(Carbon)窒素(Nitrogen)酸素(Oxygen)フッ素(Fluorine)ネオン(Neon)
ナトリウム(Natrium)マグネシウム(Magnesium)アルミニウム(Aluminum)
塩素(Chlorine)アルゴン(Argon)カリウム(Kalium)カルシウム(Calcium)
・・・・・・………………………………………・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
原子番号1番から順番に元素名を語呂合わせで繋いだものです。
(ん? ♪スイヘイ リーベ 僕の船・・・・♪)
(最近、こんな歌を聞いた気がする。)
(TVだ!)
NHK教育チャンネル土曜18:00~18:25『エレメントハンター(ELEMENTHUNTERS) 』のエンディングテーマです。
「かっきー&アッシュポテト」が唄うテンポのいい歌です。元素を擬人化したアニメのエンディングに流されています。
タイトルは「スイヘイリーベ~魔法の呪文~」です。・・・・・
「・・・・・」 ヾ(-_-;)
「アッ!ご免。随分違う方に行っちゃいましたね。」
話を戻しましょう。(どこからだったかな~?)
レア・アースの用途は磁石、光磁気ディスク、蛍光体、レーザー、光ファイバ増幅器、コンデンサなどです。
モーターの性能を左右する磁石の磁力を高める原料としてネオジムやジスプロシウムを使っています。ハイブリッド車(HV)や電気自動車(EV)に不可欠です。
PCでお馴染みのハードディスク駆動装置(HDD)や医療機器MRIのモーターなどにも使われています。
データ通信の主流となった光ケーブルでの光を増幅したり、デジタルカメラのレンズの屈折率を向上させたり、プラズマテレビの蛍光体の色を鮮やかにしたりする材料にも使われています。
この原材料で、日本は産業の得意分野で技術革新を起こしたとも言われています。
レア・アースの産地は、江西省カン州市、内モンゴル自治区など中国が世界の生産量の95%以上を占め、その他の産地もインド、オーストラリア、ブラジル、カナダ、米国(現在は中国との競争に圧され閉山中)など一部の地域に偏っています。
日本は世界需要の半分近く(約4万t)を占めていますが、その大部分を中国からの輸入品である風化花崗岩に頼っています。
中国以外の産出国への買付けは、中国と鎬を削っている状況で、思うようには進展していないようです。
冒頭に紹介した新聞記事が“一大事”であるかのように書いているのは、中国が経済成長に伴ってレア・アースの輸出を減少させており、世界的な需給バランスの逼迫が懸念されているからに他なりません。
一方、最近の研究で日本国内のマンガン鉱床に花崗岩を上回る割合で希土類元素が含有されている事が判明しました。
更に、火力発電所等の石炭や石油の灰、海底のマンガン団塊やコバルトクラスト、熱水鉱床等の海洋資源も供給源として期待されています。
これらの研究開発は、文部科学省による「元素戦略プロジェクト」、経済産業省による「希少金属代替開発プロジェクト」が平成19年(2007年)より進められており、NEDO (独立行政法人新エネルギー・産業技術総合開発機構)が運営機能の一部を担っています。
文部科学省と経済産業省が連携したプロジェクトの目的は、
①希少元素や有害元素を使うことなく、高い機能をもった物質・材料を開発すること
②非鉄金属資源の安定供給確保に向けた戦略の一部として代替/使用量低減技術を開発すること
の2点が挙げられています。
このプロジェクトが早く実を結ぶことを期待していますが、もう一方で、既に製品として世の中に出ているレア・アースを無駄に廃棄しない、リサイクルの仕組み作りを官民一体となって実現することにも取り組んで貰いたいものです。
(元素周期表)
「情報セキュリティ月間」(2月13日リリース)の中で、『会員サイトなどに登録・設定するパスワードは第三者が簡単に推測出来ないものにする』との提案を示しましたが、その実状やパスワードの作り方を教えて貰いたいとの依頼に可能な範囲で応えることにしましょう。
サイバー攻撃による情報流出が多発し、法人、個人を問わず、生命線をも脅かされかねない事態も発生しています。組織内部の不正行為やインターネットからのマルウェアの侵入によるものですが、何れも安易に作成・設定された「ユーザー名」と「パスワード」が盗取された結果によるものが多いようです。
Microsoftでは囮のFTPサーバを通じ、ありがちなユーザー名とパスワードの組み合わせを順番に試してパスワードを破ろうとする攻撃について情報を収集し、その結果を2009年11月27日に公表しています。
試行数カ月間における攻撃で狙われたユーザー名は「Administrator」を筆頭に、「Administrateur」「admin」「andrew」「dave」「steve」など権限名や人名を使ったものが多く、パスワード攻撃では「password」「123456」という安易なパスワードが標的となるケースが圧倒的で、次いで「#!comment:」「changeme」「F**kyou(英語の悪態表現)」「abc123」などが上位を占めているとのことです。
1回の攻撃で40万通り近くのユーザー名とパスワードの組み合わせが瞬く間に試されており、8~10文字のパスワードが狙われるケースが殆どだったとのことです。
しかし、たとえ10文字以上の長いパスワードであっても、辞書に載っているような単語を使っている場合、一部を数字や記号などに置き換えていたとしても安全とはいえないと警告しています。
こうした攻撃に遭ってパスワードを破られないためには、数字と文字と特殊記号、大文字と小文字を組み合わせた長いパスワードを作ることが望ましいとMicrosoftは言い、同社が提供しているパスワードチェッカーのページで、自分が作ったパスワードの強度を調べるよう勧めています。
また、このページ右サイドに関連リンクがあり、「強力なパスワード:その作り方と使い方」がありますので、これも参考にして下さい。
一方、米国のセキュリティ企業のMcAfeeは、自分には覚えやすいが他人には推測されにくいパスワードの作り方(アルゴリズム)を次のように指南しています。
***** McAfee の指南内容**************************************************************************************************************************************
例えばオンラインバンキング、オークション、SNS(Social Networking Service)などのサイトで、全て同じパスワードを使っていた場合、一つのWebサイトからパスワードが流出すれば、自分の全アカウントに侵入される恐れがある。
パスワードはWebサイトが保有しているものであり、それを使う個人が保有しているものではないという認識が大事。
辞書に載っている単語や、「123456」などの誰でも使うパスワードは簡単に破られてしまうが、覚えにくいパスワードを作っても、それを書き留めたメモをコンピュータの近くに置いておくのも盗み見されるので良くない。
そこで、推測されにくく、自分には覚え易いパスワードをサイト毎に作る方法として、一つのアルゴリズムを決める。
例として、「light」という単語をベースに「mcafee.com」のサイト用のパスワードを作成するとすれば、
つまり、パスワードを
123lightmacafee
にしようと考えたなら、
①「123」という数字で始め、それに「light」の「i」を「1」という数字に入れ替えて末尾を大文字にした「l1ghT」を付ける。
②キーボードで「mcafee」の各文字の左上にあるキーを拾って「jdqr33」を加える。
③最後に、特殊記号の「^!」を付ける。
④これによって、「123l1ghTjdqr33^!」という16文字のパスワードが出来上がる。
アルゴリズムはどんなものでも構わないが、パスワードには必ず数字と大文字・小文字を組み合わせた文字及び特殊記号を含めた方がいい。
優れたアルゴリズムを使えば、サイト毎に推測されにくいパスワードを作ることができ、ユーザー自身は覚えやすいものとなるので、紙に書いたりして持ち歩く必要もなくなる。
情報システム管理者からパスワードの定期的な変更を要求されている場合は、「基本となる単語(上記例では“l1ghT”)」のみを書きとめておけば、万一他人に見られたとしても、アルゴリズムが分からないので推測される恐れがない。
*******************************************************************************************************************************************************************
Web上の会員サイトに登録するとき、つい面倒になり、単純なユーザー名、パスワードを設定しがちです。
マルウェアの侵入、フィッシング詐欺メールの受信など、危険は計り知れない程に溢れています。
Webに参加する者の社会的責任として、Microsoft社やMcAfee社の勧告通り、自分なりのアルゴリズムを構築し、より安全なユーザー名、パスワードの設定を心掛けたいものです。
【用語解説】
アルゴリズム(Algorithm)とは、数学、コンピューティング、言語学などの分野で、問題解決のために定める定型的、効率的手順をいう。平易には、何かをするときの「やり方」と言うことができる。
今年も新人が入社する時期が間近となっています。新入社員に“使用する印鑑”について見解を求められたら、貴方はどう回答しますか?
一般的には、印章、印鑑は壊れにくく、捺し方や経年劣化で変形しにくい素材のもので、印影は円又は楕円で囲まれたもの。大きさは長径が6mm超~20mm未満のものを使用するのがいいと考えられています。認印の標準的なサイズは10.5mm~12mm、印材はプラスティック、木、牛角などです。
会社の書類(回覧、交通費計算書、稟議書・申請書など)に捺印する印鑑について、大半の人は“認印”を使用していますが、一部に“日付印”や“シャチハタネームに代表されるネームスタンプ”を使っているのをみかけます。
捺印欄に使用する印鑑は“認印”でなくていいのだろうか。
といった疑問は多くの一般事業会社で潜在的にある疑問事項だと思います。
会社で使用する個人印については、以下の事項を踏まえ、それぞれの会社で決めていただければと思います。
社内書類に使用する印鑑に関する「社内規程」があれば、その規定に依ります。
使用印章についての社内規程が無く、永年の慣習で日付印やシャチハタネーム等の使用を認めている場合がありますので、その場合にはこれらの使用を一概に「いい」とも「いけない」とも断言することはできません。
公共交通機関を利用した交通費精算のための「交通費計算書」は、領収書が発行されない場合に経理伝票(出金伝票)に添付する証憑として、多くの企業で利用されています。このような、経理伝票や添付する書類に捺印する印鑑は、社内規程として「会計規則」や「金銭出納規程」などの条文の一部にでも印章に関する記述、例えば「認印」といった表現があれば、それに準じるようにする方がいいでしょう。
一般的には、使用の目的や場所を問わず、各自治体が制定している「印鑑条例」(実印として登録できる印鑑の基準)に規定されている材質、形状に準じた印鑑を使用するのがいいと考えられています。
因みに神戸市の印鑑条例では以下のように規定されています。(他の自治体でも同様と思います。)
****(神戸市印鑑条例抜粋)*************************************************************************************
(登録を受けることができない印鑑)
第4条 次の各号のいずれかに該当する印鑑は、登録を受けることができない。
(1) 住民票又は外国人登録原票に記載されている氏名、氏、名又は氏及び名の一部を組み合わせたもので表されていないもの
(2) 職業、肩書その他これらに類する事項を併せて表しているもの
(3) 印影の大きさが1辺の長さ20mmの正方形に収まらないもの又は1辺の長さ6mmの正方形に収まるもの
(4) ゴム印その他印鑑の形態が変化しやすいもの
(5) 縁のないもの
(6) 前各号に掲げるもののほか,規則で定めるもの
************************************************************************************************************
捺印(押印)することにより発生する、権利・義務、効力等は、組織内、組織外を問わず諸法令の定めに依るところとなります。
○民法第968条、第969条、第970条
○戸籍法第29条
○戸籍法施行規則第62条
○明治32年法律第50号(外国人ノ署名捺印及無資力証明ニ関スル法律)第1条
○商法第32条
○刑法第164条、165条、166条、167条、168条
○民事訴訟法第228条
○印鑑条例
など
