【ご挨拶】

 梅の開花の便りが届く季節となりました。皆様におかれましては、このコロナ禍にあっても苦境に負けず、更に社業に邁進されていらっしゃることと存じます。

 最近『STAY SMALL』 (原題:「Company of One 」サブタイトル: Why staying small is the next big thing for business)という本を読みました。これまでの通念では、会社は毎年売上を拡大し、それに伴って人を採用し、組織を大きくするという規模の拡大/成長路線を追求するというものではなかったでしょうか。この本によると「ビジネスの成功は、急速かつ大幅に規模を拡大することにあるのではなく、弾力性がある素晴らしいものを長い時間かけて築くことにある。」「規模の拡大を目指すのではなく、ようするに小さすぎてつぶれない存在になることに力を注げばいい。小さなカンパニー・オブ・ワンになり、小さく焦点を絞ってすぐに利益を出せるようにしておくことで、不況を乗り切り、顧客の動機の変化に適応して、競争にかかわらずにいることができるのだ。」とあります。

 コロナ禍でこれまでの通常が通常でなくなりつつある今、Company of OneがDXを活用し、ビジネスを活性化する幕開けになるかもしれません。また、Company of Oneは事業拡大をするのではなく、ある規模に留まる(Stay Small)事業戦略を取り、個人の幸せと一定規模の事業収入の両方を獲得する新しいライフスタイルになる可能性があります。正に弊社もCompany of Oneを目指しているとことです。
【コラム】リスト型アカウントハッキング攻撃の特性とその対策

 最近、SNS、ブログ、動画共有、企業サイト等々複数のWebサービスに登録することが珍しくなくなりました。ID/パスワード管理の煩わしさから、どのWebサービスも同じID/パスワードを使い回ししているユーザは少なく無いでしょう。その様な複数のWebサービスに同じID/パスワードを使い回ししているユーザをターゲットとした攻撃がリスト型アカウントハッキング攻撃です。

1)リスト型アカウントハッキング攻撃の仕組み
攻撃者はあるWebサービスから流出、または不正に入手したユーザのアカウントリスト(ID/パスワード)を使い他のWebサービスに対して不正ログインを試みます。ログインに成功すると、そのアカウントユーザになりすましそのアカウントの乗っ取りや個人情報の窃盗を行います。

2)リスト型アカウントハッキング攻撃の防御対策
対策1:パスワードの使い回しをしない
パスワードの使い回しは様々な攻撃を受けたり、個人情報の漏洩に繋がる危険な行為です。パスワードの有効期限を設定し、一定期間が過ぎたら強制的にパスワード変更する等の対策が必要です。
対策2:休眠アカウントの廃止
アカウント登録をしたもののすでに利用しなくなったユーザアカウントに不正ログインをされてしまうと、当然ユーザは気がつかず対策が遅れます。1年以上使用していないサービスのアカウントは廃棄する等ルールを徹底することで被害を防ぐことが可能です。
対策3:普段と違うIPアドレスからのログインにはメール等で確認する
攻撃者はWebサービスに対して何十、何百万回と不正なログインを試みます。ただし1人のアカウントに対してのログインは1〜2回程度のため、それが不正ログインであるか否か判断が難しいことが多くあります。これに対応するためには、普段ユーザがログインするIPアドレスと異なるIPアドレスからログインがあった場合、メール等でそのユーザに普段と異なるIPアドレスからログインがあったことを知らせることが効果的です。
対策4:ワンタイムパスワードを使用しログインを二段階/二要素認証にする
ユーザが設定したパスワード以外にWebサービスの提供事業者側でワンタイムパスワードを提供し、ログインを二段階認証、もしくは二要素認証に強化する。これによりID/パスワードが漏洩したとしても不正ログインを防ぐことが出来ます。

リスト型アカウントハッキング攻撃の最大の防御策はユーザがパスワードの使い回しをしないことです。しかし、全てのユーザがそれをリスクと考え、全て異なるパスワードを設定するとは限りません。従ってWebサービス事業者は極力ユーザに負担をかけることなくユーザの安全を担保するため、一回限り有効なワンタイムパスワードの導入が必須では無いでしょうか。

→ Swivelソリューションはこちらから
https://www.securitystrings.com/products/sw/index.html
Swivelサーバの証明書に複数のコモンネーム(FQDN)を登録する方法

 SwivelサーバにインストールしたSSL証明書に、複数のコモンネーム(FQDN)を登録することができます。
 証明書のSubject Alternative Names(SANs)のフィールドに、コモンネームと異なる1つ以上のFQDNを設定することで、クライアントのブラウザからはこのうちのどのFQDNでアクセスされた場合も、https通信が可能になります。
 今回はSwivelサーバでCSR発行時にSANsを登録する方法についてご説明いたします。
 

→ 詳しくはこちら
 
Swivel Applianceの暗号化通信(SSL/TLS)について

 Swivel ApplianceではSSL V2/V3のようなセキュリティ上問題がある通信を抑止し、現在はTLS1.2のみをサポートしています。
 今回は、Swivel Applianceで使用している暗号通信のプロトコルについて詳しくご説明いたします。
 

→ 詳しくはこちら
【湘南通信】- 茅ヶ崎市の名前の由来 -

 茅ヶ崎市の市名の由来は、諸説あるそうですが、「茅」はイネ科のチガヤ(茅萱)が海岸に多く見られたことを表し、「崎」は海岸線が沖へと突き出し、岬に似た地形になっていることに由来しているそうです。チガヤは「世界最強の雑草」と呼ばれるほどのたくましい生命力があり、古くから全国に生育しています。5月、6月には開花してススキのような白い穂をつけます。若い穂は甘みがあり、昔は子供たちがおやつ代わりに口にしていたそうです。また、チガヤには厄払いの力があるとされ、市内の厳島神社(新栄町)などでは、チガヤで編んだ輪をくぐる「茅の輪くぐり」という厄払いの神事にも使われています。(「広報ちがさき: 2020年3月1日号」より)

 長年茅ヶ崎に住んでいますが、今回初めて知ることが多く良い勉強になりました。みなさんが住んでいる地域の名前の由来も調べてみると意外な発見があり、より愛着が深まるかもしれませんね。
Copyright © 2021 Security Strings, All rights reserved.