セキュリティ

Visit:

月に1度の恒例行事!2019年2月度のMicrosoftセキュリティ更新プログラムの概要

Reading Time: 3 minutesこの記事の所要時間: 約 11分 皆さま、こんにちは。 ManageEngine Desktop Centralの製品担当の植松です。 本日も2019年2月度のMicrosoftセキュリティ更新プログラムの概要と、パッチ管理に強みのあるクライアント管理ソフトManageEngine Desktop Centralについてご紹介いたします。  【概要】 Microsoftは、2019年2月13日(日本時間)に以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。 ・Adobe Flash Player ・Internet Explorer ・Microsoft Edge ・Microsoft Windows ・Microsoft Office、Microsoft Office Servers...

Desktop Central , セキュリティ 3 min read

政府が民間IoT機器のパスワード強弱を調査?NOTICEとは

Reading Time: 1 minutesこの記事の所要時間: 約 3分 2020年の東京オリンピックも目前に迫ってきました。サイバー攻撃者の注目が日本に集まることを見越し、セキュリティの底上げに向けた国内の動きも活発になっています。 2019年2月1日、総務省は“IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施”について公表しました。当記事では、その内容について解説します。 ※IoT:Internet of Thingsの略称。センサーやウェブカメラのような様々なモノがインターネットに接続され、情報交換を行うことで相互に制御する仕組み。   <目次> NOTICEとは? どのように調査されるのか? パスワード管理対策の強化を!   NOTICEとは? 総務省から発表された取り組み「NOTICE」とは、National Operation Towards IoT Clean Environmentの略称です。端的に言えば、ネットワークに繋がったIoT機器に対して「弱いパスワード(password、admin1234など)」を用いたログインを試み、見事ログインが成功してしまった場合に該当機器のユーザーを特定して注意喚起を行う、というものです。 この調査業務は、情報通信研究機構(NICT: National Institute of...

Password Manager Pro , セキュリティ , 一般 1 min read

エンドポイントセキュリティで解説!サービスデスク担当者に「クライアント管理ツール」が必要な理由

Reading Time: 1 minutesこの記事の所要時間: 約 4分 エンドポイントセキュリティの課題 「ウイルスは侵入するもの」「防壁は突破されるもの」・・・こういった考え方は今では普通となりました。 「絶対に侵入させるな」「100%安全な防壁を」と言ったところで、誰も「絶対の保証」はしてくれません。防壁を固めると同時に、有事の際の対応力を底上げしておくことが求められます。 セキュリティインシデント発生時に一次対応を行う可能性が高いサービスデスク部門も、その例にもれません。 さて、「エンドポイントセキュリティ」と言うと、パソコンやモバイル端末に侵入したウイルスの検知・駆除、悪意のある不正サイトへのアクセスを防止するソフトウェアを思い浮かべる方が多いかと思います。しかし今回の記事では、「異変を察知したサービスデスク担当者が、いかに対応するか」という観点から、ソリューションをご紹介させていただきます。 例えば、ある日 「Xというアプリが危険なのですが、複数の社員がインストールしているようです」 「Yさんのパソコンがウイルスに感染したかもしれません」 といった報告が届いたとします。サービスデスク担当者はどのように対処すれば良いでしょうか。ビジネスに大打撃を与えかねないセキュリティインシデントの場合、対応は急を要します。 サービスデスク担当者がエンドポイントセキュリティの対処を行う場合 【リクエストの受付】 当ブログでご紹介しているManageEngineでは、サービスデスク業務の効率化を低コストで支援するツール「ServiceDesk Plus(サービスデスク プラス)」を提供しています。 ServiceDesk Plusでは、先述の例で言うと「Xというアプリが危険なのですが、複数の社員がインストールしています」というセキュリティ報告を送信するための入力フォームを、カスタマイズできます。前回「エンドポイント管理で解説!サービスデスク担当者に「クライアント管理ツール」が必要な理由」にてご紹介したフォームは「サービスリクエスト」のテンプレートでしたが、今回は「インシデントリクエスト」のテンプレートを作成します。 必要な項目を簡単にテンプレートに追加することが可能です。様々なタイプのフィールドから追加したい項目を選択できます。   また、送信されたリクエストに対して、 一次担当者を割り当て、通知する (組織内CSIRTが確立されている場合は)CSIRTグループに通知する 対応が完了したら、クローズ...

Desktop Central , ServiceDesk Plus , セキュリティ 1 min read

ITセキュリティを底上げするMDM

Reading Time: 1 minutesこの記事の所要時間: 約 5分 本ブログはGiridhara Raam氏による記事を翻訳、一部加筆したものです。 技術の進歩は、あらゆる場所にあります。ブラウン管のデスクトップコンピューターが、薄くて軽いノートパソコンになりました。レンガ程もあった携帯電話が、手のひらサイズのスマートフォンになりました。まさにそのスマートフォンをはじめとするモバイルデバイスは、ビジネスや消費者に多大な影響を与えています。 ガートナーによると、2018年の世界の携帯電話出荷台数は前年比1.6%増加し、総販売台数は約19億台に達しました。2019年のスマートフォンの売上高は前年比5%増のペースで伸び続けています。ウェブサイトへの訪問チャネルとしても、PCよりモバイルデバイス経由の方が多くなっています。2016年の57%から2017年には63%へさらに増加しました。直帰率も2016年の52%から2017年には47%へ低下しました。 企業でも、多くのモバイルデバイスが導入されています。IT管理者は、モバイルデバイスの安全性も維持しなければなりません。モバイルデバイス管理(MDM)は、進化し続けるモバイルコンピューティング市場に遅れを取らないための、重要なアクションの1つと言えます。  

Desktop Central , セキュリティ 1 min read

【MicrosoftのMVP解説!Azure ADの虎の巻】第6回 Azure ADによるクラウドサービスの管理(1)

Reading Time: 1 minutesこの記事の所要時間: 約 6分 今回の記事のポイント ・ SAMLプロトコルを使用したシングルサインオンの仕組みについて解説 ・ クラウドサービスをAzure ADに関連付けるための手順について解説   私はこの連載の最初に「Azure ADを利用する目的はクラウド上のアプリケーションへの認証・認可を一元化することにある」という趣旨の話をしました。現在、多くの企業で抱える課題に、企業で利用するクラウドサービスにアクセスするごとにユーザー名とパスワードを入力しなければならないというものがあります。Azure ADではこうした面倒をなくし、Azure ADで一度認証を行うだけで、それぞれのクラウドサービスにアクセスするときに毎度ユーザー名とパスワードを入力しなくてもよい、という解決策を提供してくれるという話でした。 では、現在お使いのクラウドサービスをAzure ADに関連付けるには、どうしたらよいでしょうか?IaaS, PaaS, SaaSの3種類のクラウドサービスのうち、どれを利用するかによって関連付けの方法は異なるのですが、ここではSaaSのケースを取り上げて具体的な関連付けの方法について解説します。 SaaSのクラウドサービスをAzure ADに関連付ける場合、シングルサインオン用のプロトコルであるSAMLと呼ばれるプロトコルが利用できます。SAMLプロトコルでは、ユーザー名とパスワードをクラウドサービスに提示する代わりにAzure ADが発行するトークンと呼ばれるデータを提示することでクラウドサービスへの認証・認可を済ませる、ということを行います。その結果、Azure ADに既にサインインしていれば、クラウドサービスへのサインインが要らなくなる、つまり「シングルサインオン」が実現するのです。 では、SAMLプロトコルを使ってAzure ADとクラウドサービスを関連付け、クラウドサービスへのシングルサインオンを実現するための手順を見てみたいと思います。設定方法はクラウドサービスによって多少異なりますが、ここでは例として「Dropbox for...

ADSelfService Plus , セキュリティ , 一般 1 min read

2019年、Windows 10への移行がセキュリティ戦略の第一歩である理由

Reading Time: 1 minutesこの記事の所要時間: 約 2分   本ブログはGiridhara Raam氏による記事を翻訳、一部加筆したものです。 Windows 10は、既知のマルウェア攻撃からデバイスを保護できるため、2019年のサイバーセキュリティ戦略に不可欠です。 古いOSを使い続けることは、ネットワーク上に、サイバー犯罪者が侵入できるバックドアを残し続けることと同義です。アップデートで対処できる場合もありますが、より確実なのは、最新のOSへの移行です。Windows 7は優れたOSですが、2020年にサポートが終了してしまうため、Windows 10への移行の猶予はわずかとなってきています。

Desktop Central , セキュリティ 1 min read

【MicrosoftのMVP解説!Active Directoryのハウツー読本】第6回 Active Directoryのサイト

Reading Time: 1 minutesこの記事の所要時間: 約 4分 今回の記事のポイント ・ サイトの概要について解説 ・ サイトを利用するメリットについて解説   前回のコラムでは、既定でどのようにレプリケーションが動作するのかについて解説しました。しかし、レプリケーションの間隔や頻度などを環境に合わせて変更したい場合もあります。例えば、組織の中で「東京」と「大阪」のように物理的に離れた拠点を持っており、その拠点間は低速な回線で接続されている場合などです。このようなシナリオでは、Active Directoryのレプリケーションは夜間におこないたいというニーズや、間隔を調整したいといったニーズが考えられます。このようなニーズに対応できるように、Active Directoryには「サイト」という情報があります。今回は、サイトそのものと、サイトをまたいでおこなうレプリケーションについて解説します。 ■ Active Directoryのサイトとは Active Directoryデータベースの複製には、「サイト」という情報が利用されます。Active Directoryにおけるサイトとは、高速に通信できる単位となる情報です。例えば、組織の拠点が東京と大阪にある場合、各拠点内のドメインコントローラー同士は高速に通信することができます。しかし、東京と大阪の間をつなぐネットワークは高速であるとは限りません。WANを介した通信であるため、信頼性が低かったり、速度についてもLANに比べて低速である場合が考えられます。そのような場合には、東京サイト、大阪サイトというように拠点ごとにサイトを分けることが可能です。そうすることで、ドメインとしては1つであっても、いくつかの離れた各拠点にドメインコントローラーが配置されているということをActive Directoryに認識させることができるようになっているのです。 ただし、Active Directoryの既定の設定では、Default-First-Site-Nameという名前の1つのサイトのみが存在しており、すべてのドメインコントローラーはDefault-First-Site-Nameというサイトに所属します。つまり、前回のコラムで解説したレプリケーションは、1つのサイト内でのレプリケーションです。サイト内でのレプリケーションの動作は前回のコラムで解説したように、ほぼリアルタイムに複製をおこないます。 ■ サイトを分けることで得られるメリット 複数のサイトを構成し、各サイトにドメインコントローラーを配置することで、どのようなメリットを得られるのでしょうか?そのメリットの1つに、サイト間のレプリケーションをおこなう時間帯や間隔を制御することが可能になることが挙げられます。本コラムの冒頭にも記載したように、日中は業務のためにネットワーク帯域を確保したいことを目的として、Active Directoryのレプリケーションをおこなう時間帯を夜間に指定したり、3時間ごとの間隔でレプリケーションをおこなうといったことを指定できるのです。また、サイト間のレプリケーションデータは圧縮して送受信されるため、ネットワーク帯域を効率的に使用することができます。...

セキュリティ , 一般 1 min read

【MicrosoftのMVP解説!Azure ADの虎の巻】第5回 Azure ADのユーザー・グループの管理(2)

Reading Time: 1 minutesこの記事の所要時間: 約 6分 今回の記事のポイント ・ Azure AD Connectを使用した活用方法について解説 ・ Azure AD Connectを使用してActive DirectoryとAzure ADを同期する際の注意点について解説 ・ Azure AD Connectを使用して同期の設定を行う際のポイントについて解説   前回、Azure ADでユーザーやグループを作成する際、GUIから作成する方法や、Windows PowerShellコマンドレットを使って作成する方法をみてきました。Azure ADでは、これらの方法だけでなく、Azure Active Directory...

ADManager Plus , セキュリティ , 一般 1 min read

月に1度の恒例行事!2019年1月度のMicrosoftセキュリティ更新プログラムの概要

Reading Time: 1 minutesこの記事の所要時間: 約 5分 皆さま、あけましておめでとうございます。 100万円お年玉キャンペーンのZOZOではなくZOHOの植松です。 本日も2019年1月度のMicrosoftセキュリティ更新プログラムの概要と、パッチ管理に強みのある資産管理ソフトManageEngine Desktop Centralについてご紹介いたします。 【概要】 Microsoftは、2019年1月9日(日本時間)に以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。 ・Internet Explorer ・Microsoft Edge ・Microsoft Windows ・Microsoft Office、Microsoft Office Servers および Web Apps ・ChakraCore ・.NET...

Desktop Central , セキュリティ 1 min read

【MicrosoftのMVP解説!Active Directoryのハウツー読本】第5回 レプリケーションのしくみ

Reading Time: 1 minutesこの記事の所要時間: 約 4分 今回の記事のポイント ・ レプリケーション(複製)のしくみについて解説   皆さんこんにちは。Active Directoryのコラムを担当している新井です。第3回のコラムで、データベースファイル内には論理的な仕切り (パーティション) があり、どの情報がどのパーティションに格納されるが決まっていること、またパーティションによってどの範囲のドメインコントローラーに複製されるかが異なることについて解説しました。今回は、その複製のしくみについて解説します。 ドメインコントローラーは、組織内のユーザー認証など重要な役割を持つサーバーです。ドメインコントローラーがダウンしてしまうと、認証ができなくなり、システム全体に大きな影響を及ぼしてしまいます。そこで、一般的な運用ではドメインコントローラーを2台以上用意し、どのドメインコントローラーでも同じ情報を使用して認証でき、いずれかのドメインコントローラーがダウンした場合でも認証を継続できるようにすることが求められます。そして、そのためには、どのドメインコントローラーも同じ内容のデータベースを保有している必要があります。 ■ ドメインコントローラー間でおこなわれるレプリケーション ドメインコントローラー間でデータベースの同期をとるために使われるのが、レプリケーションと呼ばれる複製のしくみです。ドメインコントローラー同士はレプリケーションの処理をおこなうことで、保持しているデータベースの内容を定期的に確認し、それぞれが保有するデータベースの内容が同一となるように同期をとっています。この動作によって、ドメインコントローラーがホストしているデータベースは他のドメインコントローラーに複製されます。例えば、DC1でユーザーを作成すれば、その変更内容はほぼリアルタイムにDC2に反映されます。逆もまた然り、DC2でユーザーの部署などのプロパティの変更が行われれば、その変更内容はDC1にほぼリアルタイムで反映されます。RODCを除く、通常のドメインコントローラーであればどのドメインコントローラーでもデータベースに対する変更をおこなうことができるようになっており、その変更内容は他のドメインコントローラーに複製されます。このような動作により、データベースの整合性が保たれているのです。 ■ 複製のための特別な設定は不要 前回のコラムでは、追加のドメインコントローラーを展開することについて解説しましたが、特別な設定をしなくてもレプリケーションは自動的に動作します。2台目以降のドメインコントローラーを追加すると、どのドメインコントローラーとどのドメインコントローラーの間で複製をおこなうかがシステムによって決定され、複製が開始されるようになっているのです。つまり、複数のドメインコントローラーを展開するだけで、結果的にドメインコントローラーの負荷分散や障害対策になります。 どのドメインコントローラーがどのドメインコントローラーと複製をおこなうのかは、「Active Directoryサイトとサービス」という管理ツールによって確認することができます。この管理ツールはドメインコントローラーに既定でインストールされ、管理ツールを開いてツリーを展開すると、選択したドメインコントローラーの直接の複製相手である「複製パートナー」を確認することができます。 既定では自動的に複製パートナーが決定されますが、管理者が手動で複製パートナーを設定することも可能です。2台のドメインコントローラーではお互いが複製パートナーになりますが、3台以上のドメインコントローラーがいるシナリオでは必ずしもレプリケーションが直接的におこなうことが最適とは限らないからです。そのため、DC1の複製パートナーとしてDC2とDC3の両方を設定することもできますし、DC1の複製パートナーはDC2のみに設定し、DC2を介してDC3に伝達されるように構成することも可能です。 ■ レプリケーション処理のタイミング ドメインコントローラー間でおこなわれるレプリケーションは、変更通知を用いたプルレプリケーションです。ただし、複製パートナーが複数存在する場合には、同時にレプリケーションがおこなわれるのではなく、少しだけタイミングをずらして処理がおこなわれるようになっています。例えば、あるドメインコントローラーがデータベースに対して変更をおこなった場合、15秒待ってから1つ目の複製パートナーに変更通知を送ります。その変更通知を受け取ったドメインコントローラーは、変更の差分情報を要求し、レプリケートをおこないます。複製パートナーが複数存在する場合には、さらに3秒待ってから次の複製パートナーに変更通知を送ります。このように動作することで、あるタイミングでレプリケーション処理が集中してしまうことを回避しつつ、ほぼリアルタイムに複製をおこなうことでデータベースの内容を同一に保っているのです。 今回のコラムでは、既定でどのようにレプリケーションが動作するのかについて解説しました。しかし、組織内にいくつかの拠点があり、拠点間のレプリケーションの間隔や頻度などを環境に合わせて変更したい場合もあります。このようなニーズに対応する方法は次のコラムで解説しますので、次回も楽しみにしていてください。...

セキュリティ , 一般 1 min read