情報処理安全確保支援士実践講習を受けてきました
こんばんは。しばらく御無沙汰してしまいました。<(_ _)>
7/28(木)に情報処理安全確保支援士実践講習として、以下の情報セキュリティマネジメント講習を受けてきました。
指定されている実践講習のうちの一つで、アイ・ラーニングさんが開催している講習です。当日の内容の詳細について具体的に書くわけには行きませんので、上記URLを参照いただき、おおよその空気感を掴んでいただければ幸いです。
3年に1度受講が義務付けられている講習ですが、情報処理安全確保支援士制度発足直後はIPAが開催する(内田洋行が受託)集合講習のみでしたが、民間企業が提供する実践講習も複数種類提供されるようになり、コロナ禍の影響でオンライン講習に移行しました。(現在では一部集合講習コースもあるようですが)
講習を受けなくてはいけないが、前回と違って選択肢が増えています。どれがいいのか正直なところ判断がつきませんでした。以前、情報処理安全確保支援士会主催の雑談会で問いかけたところ、「情報セキュリティマネジメント講習がいいよ」という話になりました。そのアドバイスを基に申し込むことにしました。
受講料もIPA主催の講習よりも25,000円程安かったですし、1日完結であったことと、事前準備が少なかったこと(負担の小ささ)も選択基準になりました。
フォーマルなオンライン講習は初めてだったので、少々戸惑いはありました。講義とグループディスカッション3題が中心でした。最後の方は時間不足で個人向け課題2題は一番最後に書き込むという形になりました。
演習が多かったこともあり、かなりタイトな感じになりました。ここ2年ほどでオンライン会議に慣れたこともあり、ディスカッションも違和感なく出来たような気がします。
今後、特定講習or実践講習を受講される予定の方で迷われている場合は、情報セキュリティマネジメント講習も選択肢の一つに加えてみて下さい。
通信障害に備えてサブ回線&050IP電話アプリを検討中
こんばんは。7月2日未明に発生したKDDI通信障害を受けて、「どのように対策すべきか?」という論調でいろいろな記事が出ていました。
スマホ(ガラケー含む)2台持ちや、デュアルSIM機能を活用するという話が出ていました。これらはメイン回線とは別のキャリアを使うという前提で論じられています。
前回はデュアルSIM用に使える回線の概論について書きました。
karasuma-kitaoji.hatenablog.com
今回は自分自身の回線契約状況に基づいたサブ回線選択の話と、050番号を割り当てられるIP電話アプリについて少々書いてみます。
まずはサブ回線に関する話から
このパートは自分自身の話になります。現在、私は以下のような形で各キャリア(MVNO含む)と契約しています。
- docomo(4Gガラケー)
- IIJmio(iPhone SE 3:音声対応SIM、iPad mini 6:eSIM、VAIO:データ通信専用SIM)
- 楽天モバイル(iPhone SE 2)
- povo(iPad mini 6:物理SIM)
現状ではSoftBank系回線を持っていません。楽天モバイルout→SoftBank系inな方向で考えています。ただし、あくまでサブ回線なのでSoftBank本体との契約ではなく、サブブランドかMVNOかという方向で検討しています。
ここにeSIM対応ということを加味すると、Y!mobileかLINEMOの二択になってしまいますので、そのへんどうするかも現在思案中です。
問題なのは、SoftBank回線を扱っているMVNOが少ない点でしょうか。思いつくところでは以下の3社でしょうか。
- mineo
- nuroモバイル
- 日本通信(290円プランはなかったような記憶)
ここではMVNOではないLINEMOは外しています。他の選択肢として、SoftBank本体が提供している「データ通信専用3GBプラン」があります。これは音声通話(VoLTE)やSMSが使えないという理由もあり、一旦除外しています。
MVNO各社docomo回線を使っているプランと異なり、あまり安いプランがないというのが悩ましいところです。結局はLINEMOが無難なのかなという風に気持ちが傾きつつあります。
050IP電話アプリについても検討します
私自身は現在NTTコミュニケーションズの「050plus」を契約しています。こちらは月330円(税込)で使えます。固定電話対象ですと、3分8.8円だったと記憶しています。
OCNモバイルONEを契約していると、セット割に申し込むと050plusの基本料金が半額(165円(税込))になります。
サブ回線をOCNモバイルONEにされる方には十分検討の余地があると考えられます。
050plusに関しては、OCNモバイルONEユーザーでなくても申し込めます。
他で思いつくのは、mineoの「LaLa Call」でしょうか。こちらは月110円(税込)で使えます。通話料も050plusと同水準です。mineoユーザーでなくとも、eoIDを取得すれば契約可能です。
いずれもメイン回線/サブ回線関係なく番号が変わらずに使えるという点が大きなメリットでしょうか。また、Wi-Fiさえつながれば通話出来るという点も大きいですね。
それ以外にも「複数端末にインストールしても使える」という点もあります。私の場合はiPhoneとiPad両方にインストールしていますので、iPadでも通話可能だというメリットがあります。
ただ、注意点として「110や118や119等の緊急用番号には通話出来ない」という点があります。最寄りの警察署や消防署などの電話番号を登録するようにしておくことで代替可能です。
他にもかなり機能は限定されますが、LINE通話でも(発信のみ・利用回数制限などの条件はありますが)使える機能はあります。
デュアルSIMによる回線冗長化よりは、050IP電話アプリのインストール・契約の方がハードルは低そうです。この機会に是非インストール&契約をお勧めします。
KDDIで大規模通信障害発生を受けて・複数回線契約で自己防衛を
こんばんは。尼崎市USBメモリ紛失事件に関する考察(2)を書こうとしていたら、7月2日未明にKDDI通信障害が発生しました。7月3日16:00時点では完全復旧ではない模様です。
通信障害を受けて、auショップに苦情を言いに来る客もおられたようですが、auショップのスタッフの方々ももらい事故だなという風に受け取れました。KDDI本体から通信障害である旨を聞かされただけでどうしようもないわけですし…。
「電話が通じないと仕事が出来ないから困る!」というクレームももっともですが、ショップのスタッフの方々も困っているのは一緒ですからね。(本当に)
こういう報道を見るにつけ、ユーザーとしては、複数キャリアと契約することで自衛するしかないんだろうなと思う次第です。
あらゆる場面でスマホ・携帯電話が必須とされている昨今です。単一回線で利用していると、今回のようなケースでは詰んでしまうことになります。昨年10月にはdocomoでも大規模通信障害が発生しました。ここはリスク最小化を考えて、メイン回線とは別にサブ回線を契約されることをオススメします。
この場合の「サブ回線」の契約についてですが、機器基準で考えると以下のように分類されます。
おおよそ上記のように分類されます。最近のiPhoneではデュアルSIMに対応してますし、Android機も対応機種は増えているようです。
前者の場合、物理SIM+eSIMまたは、デュアルeSIMという組み合わせになります。
Android機の場合はデュアル物理SIM対応なケースもあります。
既に物理SIMで使っておられる場合は、音声対応eSIMを提供しているキャリアと契約する必要があります。(Android機の場合はこの限りではありません)
音声対応eSIMを提供しているのは、povo・LINEMOなどのオンライン専用プラン(ahamoの場合はdocomoショップに足を運んでeSIMを発行してもらう必要があるようです)や、UQ mobileやY!mobileのようなサブブランドか、一部のMVNO(日本通信など)に限られます。(※ IIJmioのeSIMはデータ通信専用です。御注意下さい。)
データ通信専用と割り切るor電話のみと割り切るなら、3.の場合もありかと思います。auで販売されている4Gガラケーを購入して、povoを契約し、5分かけ放題をトッピングしておくのも手です。
また、iPadにpovoとIIJmioのeSIMを挿しておくのも良いかと思います。
長くなりましたので、続きは後日にします。<(_ _)>
尼崎市USBメモリ紛失事件に関する考察(1)
こんばんは。6月23日に発生した尼崎市USBメモリ紛失事件について自分なりに考察してみます。事件の概要はこちらになります。以下、日経xTECHの記事からです。
「USBメモリ発見≠情報漏洩の心配なし」という点に注意
さて、「USBメモリが無事見つかったからよかったね♪」と楽観的には捉えられない点が厄介です。コピーされてないという保証は現時点ではどこにもありません。(「パスワードが変更されていないから大丈夫」とは断言出来ません。むしろ疑ってかかるぐらいが健全なのかもしれません)
というか、USBメモリ単体でコピー&流出がないことを立証は出来ないと見ています。とりあえず年内一杯ぐらいは警戒して当たるぐらいしかなさそうです。
協力社員の行動に目を奪われていると本質を見失うのではないか説
情報セキュリティの教科書に出て来る典型的な「やってはいけないこと」を連発してくれています。
「この協力会社社員の行動は絶対に許されるべきではない!」というのは当然です。ここにばかりフォーカスしてしまうと、本当に問題だった点を見失います。
ここからもう少し掘り下げて行く必要がありそうです。この協力会社社員のやらかしに関して時系列を遡ると見えてきそうです。
住民基本台帳関係の情報を扱う端末にUSBメモリ接続が許可されていた事実
個人的にはここが根幹にある問題だと見ています。
住基ネットに関しては、調べた限りではUSBメモリ等の可搬記憶媒体が接続出来ない設定になっているようです。
にもかかわらず、協力会社社員が市職員の許可を得ずにコピー出来ていたという点にも問題があります。
ということは、(特定端末のみかもしれませんが)住基ネット系接続端末にUSBメモリ接続及び書き出しを許可する設定になっていたということになります。
業務委託ありきで許可したのではないか説
コールセンターが吹田市にあったことで、市役所側の端末の情報を参照出来ないという理由が大きいのではないかと見ています。
「USBメモリに書き出す際には市職員の許可が必要」とありましたが、今回は無許可だったようです。仮にこれが許可していた状態だったとしたら、市側がかなり叩かれていたことになっていたと推測されます。
ここで問題になるのは、「仮に許可したとしても、市側のコントロールが効かない状態になってしまうことを理解していたのか?」「コントロール出来るような仕組みを事前に構築しておくべきではなかったのか?」という点が気になります。
市側がコントロール出来ない状態に陥ってしまうわけですから、「運用でカバー」は絶対にNGです。
まだまだありますが、続きは改めて。
徳島県つるぎ町立半田病院からのランサムウェア被害報告書を読みつつあります(1)
こんばんは。前回・前々回に続き、徳島県つるぎ町立半田病院のランサムウェア被害に関する記事になります。前回・前々回の記事はこちらです。
karasuma-kitaoji.hatenablog.com
karasuma-kitaoji.hatenablog.com
報告書が出ましたので、現在読んでいる最中です。報告書は以下のリンクから辿れます。
報告書が45ページ、技術編が105ページの合計150ページあります。ひとまず前者を読み終えて、後者を読んでいる最中です。前者を読んだところの大雑把な感想ですが、病院側・ベンダ側どちらかが100%悪いという代物ではなく、双方共にいろいろと問題を抱えているなという印象でした。
続きは技術編を読み終えてから書いてみることにしますので、暫しお待ち下さい。
この件に関してまとめて下さった方がおられますので、こちらのTogetterまとめを御参照下さい。
いろいろと問題が多いというか、闇が深いなと思わせる内容でした。
(次回に続く)
ランサムウェア被害にあった半田病院の問題点が明らかに(2)
こんばんは。日曜日に書く予定が延び延びになってました。<(_ _)>
先週土曜日の続きになります。こちらは前回の記事になります。
karasuma-kitaoji.hatenablog.com
昨日はVPN装置のファームウェアがアップデートされていなかったことと、VPN装置ベンダがアップデートをリリースしていたにもかかわらず、そのことを病院側に伝えていなかったことなどを書きました。
他にもいろいろと指摘事項がありました。今回はその続きを書いて行くことにします。こちらはNHKの記事からです。
病院の情報システム担当者が1人しかいなかったそうです。ここからは推測になりますが、他の業務と兼務で、専門職ではなく、ローテーションで回ってきた事務職ではないかという気がしてなりません。ここは推測ですので、これ以上深掘りしません。
こうなると、ベンダの言いなりになるしかなかったのかなと思う面はあります。
1人ということは、上司が医事課長か総務課長だったりして、非IT系上司なのでしょう。ITに関しては素人の可能性が十分にあります。担当者が声を上げても、上司には響かなかった可能性も十分に考えられます。
そして、こちらは時事通信の記事です。
OSのアップデートだけでなく、ウイルス対策ソフトの定義ファイルアップデートもOFFにしていたということのようです。電子カルテシステムや部門システムの安定稼働の妨げになるという理由のようです。
(これもどうかとは思いますが…)
詳しい内容が日経xTECHに掲載されていました。無料部分だけでもかなり詳しい内容について触れられています。
VPN装置を含むインフラ部分を担当したA社と、電子カルテシステムを導入したC社。部分最適は保たれているんでしょうが、A社とC社ではカバー出来ない部分が放置されていたのではないでしょうか。
「責任分界点の谷間」が出来てしまったいたことになります。各パートはそれぞれのベンダが面倒を見ていたのですが、全体を俯瞰的に見ている人が誰もいなかったのではないかという点が今回の問題を大きくしてしまったのだろうという風に見て取れます。
「責任分界点の谷間」を誰かに押し付けてしまおうと誰もが考えていたのだろうなという気もします。結局ババ抜きになってしまっていて、誰も責任を取ろうとしなかった結果なのではないでしょうか。
今回は町側の報告書でしたが、A社・C社側の意見も聞いてみたいものです。
ランサムウェア被害にあった半田病院の問題点が明らかに(1)
こんばんは。今回は徳島県つるぎ町立半田病院が受けたサイバー攻撃に関する報告書が出てきたことについて書いてみることにします。複数社からの報道がありましたが、日本経済新聞の記事が詳しかったので、こちらのURLを貼っておきます。
様々な理由が挙げられていますが、最大の原因はVPN装置のファームウェアアップデートを放置していたということでしょうか。
VPN装置ベンダとしては、早い時期に脆弱性の存在をアナウンスしていて、ファームウェアアップデートの適用をアナウンスしていたようですが、病院の電子カルテシステムの運用・管理を請け負っていたベンダ側としては病院に通知していなかったようです。
さらに、VPN装置はインターネットに対して剥き出しになっていたという点も傷口を広げたのではないでしょうか。
クローズドNW信仰みたいなものが医療機関や電子カルテシステムベンダ(保守・運用担当)それぞれにあるように思えてなりません。仮にクローズドNW信仰を医療機関・ベンダ両方が持っていたとしたら、なぜVPN装置をインターネット剥き出しで接続していたのか?という素朴な疑問にぶち当たります。
「それならIP-VPNで接続するとか考えなかったのかな?」という風に考えてしまいます。安直な方向を選択したんじゃないかという疑念も消えません。
他にもツッコミどころはあるのですが、続きは改めて。