カテゴリー: セキュリティ

Fortinetが提供するエンドポイントセキュリティソフト 「FortiClient（フォーティクライアント）」 が、ついに最新バージョン 7.4.3 で ARM版Windowsへの正式対応 を発表しました。これは、Windows on ARM環境でのセキュアなVPN接続やゼロトラストアクセスを可能にする、非常に大きなアップデートです。

FortiClientとは？ビジネスに必須の統合セキュリティソリューション

FortiClient は、企業ネットワークへの安全なアクセスを提供する統合型エンドポイントセキュリティソフトウェアです。主な機能は以下の通りです：

• VPN機能（SSL VPN / IPSec VPN）
• ゼロトラストネットワークアクセス（ZTNA）対応
• マルウェア対策・Webフィルタリング
• FortiClient EMSとの連携による集中管理

これらの機能により、テレワークや出張先からの安全なリモートアクセスが簡単に実現できます。

FortiClient 7.4.3でついにARMアーキテクチャ対応！

これまで、FortiClientはIntel・AMDベースのx86/x64環境でのみ動作していました。しかし、7.4.3アップデートにより、ARM64アーキテクチャ（Windows 11 on ARM）に公式対応。これにより、以下のようなARMデバイスでの利用が可能となりました：

• Microsoft Surface Pro X
• Snapdragon搭載のWindowsノートPC
• Windows Dev Kit 2023 などのARMベース開発機

この対応によって、省電力・常時接続・軽量といったARMデバイスの特性を活かしながら、FortiClientのセキュリティ機能をフル活用できるようになります。

テレワークや持ち運び用途に最適な選択肢に

ARM版Windowsに対応したことで、FortiClientはモバイルワークやリモートワーク環境での活用の幅を大きく広げました。軽量・バッテリー長持ち・LTE/5G内蔵といったARMデバイスの特長を活かしながら、企業のセキュリティポリシーに準拠した業務が可能です。

ダウンロードと対応環境

FortiClient 7.4.3は、Fortinetの公式ダウンロードページから入手できます。ARM版のインストールには以下の環境が必要です：

• Windows 11（ARM64版）
• 管理者権限
• インターネット接続環境

インストーラは自動でアーキテクチャを判別するため、ARMデバイスでも簡単に導入可能です。

まとめ

今後ますます増えると予想されるARMベースPCでの業務利用において、FortiClientの対応は企業にとって大きな意味を持ちます。FortiClient 7.4.3を活用して、ARM対応の安全なテレワーク環境を構築しましょう。

ドコモ口座というサービスで、不正送金されていることが報じされています。しかもドコモ口座を利用していない人でも不正送金されているようです。怖い世の中ですね、全く関係の無いサービスで自分の口座からお金が消えていくわけですから。

今回は、ドコモ口座の不正送金の被害者にならないためにできることはあるのかということと、どうやって防ぐのかの2点を考えてみます。

一応私は情報処理安全確保支援士という情報セキュリティの資格は持っています。

ドコモ口座の不正送金ができた原因

なぜ無関係な人にここまで被害が出たのかを考えてみたいと思います。原因は2つあると思います。

ドコモ口座の登録時の本人確認が不十分

メールアドレスだけで登録できるということで、本人確認がとても緩かったです。そのため、銀行口座を持つ本人以外でも登録ができてしまうという状況でした。

誰がドコモ口座を解説したのかが不十分なため、現金で引き出されてしまうと追跡することは難しいと思います。

口座情報と暗証番号が漏えいしていた

一番怖いのはこちらです。いくらドコモ口座への登録時の本人確認が不十分でも、口座番号と暗証番号がセットでわかっていないと、不正送金できないわけです。

どうやって口座情報と暗証番号を盗むのでしょうか？　可能性として高いのは以下の2つの条件があったと思います。

1. 暗証番号を誕生日などのわかり易い数字にしている
2. フィッシングサイトで口座情報などが漏れた

最近のフィッシングサイトは本物と見分けがつかないように怪しまれないように作り込んであります。人が見分けることは難しいです。

個人情報の漏えいが金銭の損失に直結した

ふだん個人情報の漏えいがあっても、関係者が謝罪して金券配って終わりという話がいくつか過去にはありました。でも名前や住所、電話番号ではせいぜいサービスの電話で本人になりすます程度しかできませんでした。

ドコモ口座による本人確認の緩さで身を隠すことができる上に簡単に送金ができるという脆い2つが重なってとてもわかり易いセキュリティ事故が金銭に直結する事例を作ってしまいました。

ドコモには情報セキュリティの専門家はいなかったのでしょうか。セキュリティよりサービス化を優先してしまったのでしょうか。最近の情報漏えいは金銭に直結するため、本当に怖い時代になりました。

ドコモ口座の不正送金を防ぐ方法

暗証番号を変える

まずは暗証番号を定期的に変更するという方法があります。銀行窓口で変更可能です。インターネット経由でも暗証番号を変えることができる銀行もあります。

個人情報が漏えいしない対策

そもそも銀行口座や暗証番号などの個人情報がフィッシングサイト経由で漏れないようにウイルス対策ソフトでパソコンやスマートフォンを強化しましょう。

最近のウイルス対策ソフトには、ウイルス対策だけでなく、フィッシングサイトへアクセスしないように守ってくれる機能があります。

スマホなら安全なのでしょうか？　そんなことはありません。個人情報を狙っている人はパソコンやスマートフォン関係なく、Webサイトへのアクセスで情報を抜き取られる時代になりました。市場の利用者が多いデバイスは狙われますので気を付ける必要があります。

そう考えると無性のセキュリティ製品では守れない領域です。ドコモ鋼材の不正送金のニュースを見て、有害なWebサイトにアクセスしないよう守ってくれる有償のウイルス対策製品はとても心強いです。

どんなウイルス対策ソフトが良いの？

Web脅威対策やフィッシング対策などの文言が入っていれば対策できる製品です。高性能で選ぶならカスペルスキーです。

使いやすさやサポートの細かさで選ぶならトレンドマイクロだと思います。

次に軽さが売りのESETです。好きなら良いと思います。大きな差異はありません。

お勧めできるのはここくらいまでです。あとはあまり使用していないのと日本人向きでは無いと思います。カスペルスキーは性能だけで選ぶ人には良いと思ってお勧めしています。

ウイルス対策ソフトは1ヶ月お試しでインストールできるので、インストールして操作感や電池の持ちなどを確認しましょう。正直な話、好みで選んでもカスペルスキー、トレンドマイクロ、ESETなら外れはありません。あくまで個人向け製品のことについてですので、ご了承ください。

コロナ禍によって、テレワークや在宅勤務が進んでいます。でも、受け入れる側のネットワークがまだ準備ができていないことも多いです。テレワークは一般的にインターネットVPN環境が必要です。設備が間に合わずテレワークが難しいことが多いこともあります。

そこで、次点の策として特定の固定グローバルIPアドレスからセキュリティレベルが低い接続（WebDAVを使ったファイルサーバへの直接接続やSSHによるサーバへの直接接続など）を許可することでセキュリティレベルを維持する方法を採る場合もあります。

そこでVPNを使って固定IPアドレスを提供してくれるサービスを利用します。

固定IPアドレスをなぜ使うのか？

利用者を制限してセキュリティを強化する

サーバを使ってサービスを提供する場合には、常にハッカーやクラッカーからの攻撃にサービスがさらされます。サービスでのセキュリティ強化には限界もありますので、簡単にできるIPアドレス制限をすることでセキュリティ強化が比較的簡単にできます。

二要素認証と同じで、1つの複雑な条件で制限するより、2つの簡単な条件で制限する方が容易です。

セキュリティ維持にかかる費用を削減できる

これも2要素認証のメリットですが、IPアドレスで門前払いできます。そのため、サービスで実装するセキュリティレベルが低くても一見さんお断りのシステムで全体のセキュリティレベルは高く維持できます。

固定IPアドレスが簡単に使えないのはなぜ

IPv4グローバルIPアドレスは増やせないから

1990年代からIPv4アドレスは足りないと言われています。32ビットの長さで変更できません。IPv4アドレスは約43億個あります。インターネット人口が増えている状況では、アメリカ(人口3億2千万人)と日本(人口1億2千万人)、中国(人口13億人)の全員が使ったらすでに足りなくなる計算です。

IPv4アドレスはパソコンやスマホ、タブレットだけではなく、サービスを提供するサーバーやネットワークを接続する機器にも使います。そのためIPv4アドレスが不足して枯渇することは明らかでした。

インターネットの利用端末が増えたから

これもIPv4アドレスを枯渇させるには十分な理由です。サービスと利用者が増えればIPv4アドレスがさらに必要となります。

このためIPv4アドレスはインターネットが身近になるにつれて枯渇していきました。

固定IPアドレスを提供するサービスを利用

そんな貴重になったIPv4アドレスを固定的に割り当ててもらえるサービスがあります。

プロバイダの固定IPアドレス提供サービスを利用

インターネットへの接続を提供してもらえるプロバイダのオプションメニューとして、固定IPアドレスの割当を提供しているプロバイダは少なくなっていますがあります。

でも使い慣れたプロバイダやキャリアを使いたいですよね。そう思うのであれば固定IPドレスをサービスとして提供してくれるサービスを利用しましょう。

使い方は申し込んでVPN接続するだけです。L2TPと記載があるのはIPsecも含まれています。2か月無料なので始めやすいです。

固定IPアドレス提供サービスを利用

利用しているプロバイダが固定IPアドレスをオプション提供している場合はそれを使うもの有効です。スマホやタブレットのキャリア選択の自由度が無いので注意が必要です。

まとめ

以前は固定IPアドレスを割り当てるオプションが多かったのですが、最近は減りました。スマホやタブレットを使うキャリアにはあまり固定IPアドレス割り当てが無いので、キャリアやプロバイダに関係なく、固定IPアドレスを割り当てるサービスを提供してもらえるのは選択肢が増えるので助かります。

固定IPアドレスの割当が終わったら、本当に割り当てられているか確認します。グローバルIPアドレスを調べるにあなたの端末が使っているIPアドレスを表示するページとしています。

固定IPアドレス提供サービスで提供された固定IPとなっていれば成功です。

インターネットのことを略して「ネット」と言いますが、ネットサーフィンって危険って思う方が多いですよね。登録セキスペを持っていて、セキュリティの専門にしているSEの私から見るとそこまで神経質になる必要はないのですが、知らないということは怖いです。

本記事ではネットを安全に使う方法を簡単に4点にまとめます。初心者の方でもこれだけ抑えれば怖い情報漏洩は起こさないと思います。

ネットの安全は現実世界と同じ

まずは何が危険なのかを知りましょう。現実世界では金品を強奪されたり、自身に降りかかる危険を避けることです。

1. すでに分かっている詐欺などの手口を理解する
2. 現金を必要最小限にするなど損害を減らす
3. 犯罪に遭遇した場合の逃げる方法を知る

ネットの世界では、非公開の情報が一番大事です。現実世界の自身の代わりになるのは、スマホやタブレットやパソコンになります。

1. セキュリティパッチをソフトウェアに当てて、弱点をなくす
2. 不必要な情報をスマホやタブレットやパソコンに入れておかない
3. 標的型攻撃メールなど、攻撃を受けた場合に回避の仕方を理解する

こうやって対比すると現実世界とネットの世界は基本的に同じです。現実世界の貴重品はネットの世界では個人情報などの貴重な情報になります。

ネットの前に端末の安全確保

本格的なネットの利用の前に、道具のメンテナンスをします。ネット利用の道具となるのはスマホやタブレットやパソコンなどの情報端末といわれるものです。

道路を走る自動車が道路を走る前には定期的に点検して安全を維持するのと同じように本格的にネットサーフィンする端末もセキュリティパッチを適用して安全点検します。

Windows10パソコンのセキュリティパッチを含むソフトウェアの更新が有るかを確認する方法はWindows10のソフトウェアの更新確認に説明していますので、参考にしてください。

ウイルス対策ソフトもWindows Defenderではなく有償の製品を使って安全性を高めましょう。有償のウイルス対策製品でも無償版を提供しているものもあります。詳細は無料ウイルスチェックで安全性を確認しようにまとめていますのでご覧ください。

Windowsファイアウォールは理由がわからない場合は有効にしておいてください。Windowsファイアウォールを無効にすると、インターネットから攻撃されて侵入される危険が高まります。ネットワークの安全性がわからない場合もあります。重要なので繰り返し説明します。Windowsファイアウォールは有効にしておいてください。

危険なネットを安全する方法

道具の準備ができたら、いよいよネットを安全に使う方法をまとめます。まずはWebサイトを閲覧するネットサーフィンやYoutubeなどの動画閲覧でも、SSLという通信路を暗号化する技術を使っています。

この通信路を暗号化するとネットでデータを安全に受け渡す基本になります。

Webサイトがhttpsで暗号化されていない場合にはVPNを使って暗号以下しましょう。オープンWiFiなど、安全性が確認できないネットワークの場合はVPNサービスを使うのが良いです。

ネットの危険を知っておく

端末のセキュリティを確保して、ネットワークのセキュリティも確保できたら、後は使うだけです。使う際に気を付ける点は機械的に守れるものではないです。使う人が危険性を理解して引っかからないようにします。

具体的には怪しいメールやSNSのリンクをクリックしない、信頼できないアプリはインストールしない、情報を信憑性を確認する。現実世界と同じで詐欺が横行しています。現実世界と違うのは国境がないことです。このため、国外からも怪しい情報がよく来ます。

敵を知るにはどんな危険があるか実際に知りましょう。日本の情報セキュリティを専門で扱っているIPには映像で知る情報セキュリティが公開されています。

ネットのセキュリティは必須スキル

テレワーク主体の業務が増えてきたこともありますが、ネットワークを自分自身で手配して使うことが必須スキルとなってきました。

テレワークのセキュリティについては、テレワークは3点気を付ければ安全ですにまとめていますので、参考にしてください。

パソコンを廃棄する時に、データの消去はとてもむつかしいですよね。以前　HDDに保管した個人情報の確実な廃棄についてではハードディスクを破壊してデータを復元できない確実な方法を説明しました。ソフトウェアを使ったパソコンのデータ消去を確実に遂行する！でデータを上書きして復元できないようにして情報を消去する方法を紹介しました。

外部媒体や特定の情報ではなく、具体的にこまってしまうパソコンを廃棄する時に保管している情報を、どうすれば対処すれば復元できない形でパソコンを捨てられるのかまとめます。一つ手順を組み込むことでパソコンを安全に廃棄できます。

パソコンのデータ消去は上の図のように、黒板けしで消去できると良いのですが、残念ながら簡単には消えません。次にデータを書き込む時に上書きすることで消去の手間を減らしているのです。

パソコンのデータを確実に消去する方法

パソコンのデータを消去と言いますが、具体的には2つのことが実現できれば「データを消去できた」と見なせます。

1. データを読み取れないようにする
2. データを上書きして、データの痕跡を消す

1の「データを読み取れないようにする」には、データが保存してある部分を壊してしまって読み取り処理ができないようにすることを言います。「ハードウェアを破壊する」という言い方ができます。具体的にはディスクを壊したり、紙であればシュレッダーで細断するなどが該当します。

2の「データの痕跡を消す」というのは、データを読み取ることができてもそこには重要なデータが記録されていない状態にすることを言います。これは先ほどの黒板消しや消しゴムなどで痕跡を消すことや、モザイクをかけることも同じことになります。

モザイクについては、電子版のシュレッダーとも言えます。

上の図では、モザイクの例ですが、まだ粗いため、十分なデータ消去の効果が出ていません。もっと細かくしてシャッフルするとデータ消去の効果が出てきます。

データを復元できないように消去する具体的手順

ハードウェアを破壊する手法については、HDDに保管した個人情報の確実な廃棄についてで説明しています。HDDは対応しているのですが、SSDはしていないので、使いにくいですね。

HDDなどの内臓メディアを破壊するにはパソコンから取り出す必要があり、機種によっては分解する必要があり、とても手間がかかります。やはり物理的に壊すよりデータを上書く方法で抹消した方が処理しやすいです。

データを上書きして破壊する

データを上書きして消去する方法もあります。フォーマットでデータをすべて消して、次にランダムデータで上書いて隠れているデータを削除していく方法です。いろいろなフリーソフトがありますが、ポイントは復元ソフトです。復元できなければよいので、複数のソフトを試して復元できないことを確認しましょう。

外部メディア上のパソコンのデータを消去するには、パソコンのデータ消去を確実に遂行するで説明した方法を使います。内臓HDDやSSDは取り出してUSBで外部媒体に変えておくと同じ手順が使えます。下のようなHDDスタンドを使います。

上の図の製品は2つ挿せてデータコピーができるタイプですが、データ消去だけなら2台挿せる必要はありません。私は1台挿せるタイプを購入してデータを上書きしてデータを消去しています。

上のような1ベイの機器を購入しました。2ベイでもそこまで金額差はないので、好みで選んで大丈夫だと思います。実際にディスクを指してみます。

2.5インチは小さいので、すっきりと収まってますね。使いやすいです。次は3.5インチを挿してみます。

3.5インチのディスクはやはり大きいです。でも上の伸びるので場所は取らないし、重みでコネクタがつながるので安定感は高いです。

なお、パソコンにUSBで接続すると外部媒体と認識します。実際にデータ消去すると時間はかかりますので、夜実行して放置しておくと良いです。

外部に委託するとデータが復元できないことを担保してくれるサービスもあります。

まとめ

データをハードウェアやソフトウェアで消去する方法を説明しました。では本題に戻ってパソコンの内臓ディスクのデータを確実に消去する方法は以下の2つになると考えます。

1. 内蔵ディスクを取り出して機械的に壊す
2. 内蔵ディスクを取り出して外部媒体に変換して、空き領域を無意味なデータで上書きしてデータを消去する

どちらにしても面倒です。もう少し簡単なデータを画一に消去する方法がないか確認してみます。

シュレダーが欲しいと思い、迷った挙句に購入しました。導入した理由は、コロナ禍により自宅学習となった子供たちの学習用プリントが増えて自宅で印刷する機会が増えたからです。幸い私が勤務する会社の方はペーパーレス化が進んでおり、仕事上で印刷が必要な状況は最低限となりました。

子供たちの勉強で使ったプリントは名前や学校や筆跡が入っている個人情報です。手で裁断も面倒ですので、この機会に家庭で使えるコンパクトで安価なシュレッダーを導入したいと考えました。

シュレッダーの仕様

シュレッダーを使う場面ですが、以下を想定しています。

1. はがきDM
2. 回覧板を回覧した後
3. 郵便物に付いているあて名ラベル
4. 学校からのプリント
5. 繰り越し後の通帳

最近は電子データ化して紙を減らしていますので、シュレッダーの出番は意外に使いどころは多いです。スキャナはEPSONのPM-T960をまだ使ってます。余談ですが次はFAX電話機と統合したいと考えています。ブラザーのMFC-J998DNです。

脱線しましたが、せっかく導入するシュレッダーには、下の機能は欲しいです。

電動であること

回転ハンドルで細断するタイプは手が痛くなります。細断の時間は次の準備や後片付けをして時間を有効に活用したいため、電動タイプは必須です。

小型であること

紙を細断する機会は頻繁にあるとは思っていません。多くても1日に1回まとめて10枚くらいで納めたいです。使わない時間の方が多いので、大型では保管する場所が無駄になります。日本の居住スペースは狭いので小型であることも必須です。

対応する用紙サイズはA4は必須ですので、小型と言ってもそこまで小さくはできないと思います。

安価であること

使う頻度が多くないからこそ、安価でないと買えません。そのため予算は￥10,000円以下とします。

マイクロクロスカットで細断すること

細断サイズは細かいほど良い情報は洩れないので、マイクロクロスカットができることも必須です。

選定した機種

シュレッダーのメーカーをあまり知らないため、どこがよいかから調査を開始です。賛否両論はあると思いますが、￥10,000円以下だとなかなか見つけられませんでした。すべてを満たしてくれたシュレッダーが下になります。

メーカのホームページの製品一覧に載っていないですが、ホームページの量販店カタログには載っていました。もっと小さいサイズもありましたが、全ての要件を満たしてくれる製品が他に無かったので、GSHA11M-Bを購入しました。

シュレッダーの使用感

重さが5kgでしたので、通販で購入しました。届いたのは以下です。

幅380mm×奥行255mm×高270mmです。この箱の中にシュレッダーが1cmくらいの隙間だけできっちり収まっていました。

取り出してみると5kgは、全体の大きさから想定すると重く感じます。下のような感じで、通販画面でみたそのままです。

裏から見ると電源コードが出ています。

ACアダプタが内蔵されているようで、外には電源ケーブルだけですのですっきりしています。デスクにおいても邪魔にはならないですね。

外観と設置場所

大きさから見た目から、書類ケースのように見えます。とりあえず、プリンタの近くに用紙を保管しているので、置いておきます。

シュレッダーをプリンタラックの真ん中に収めました。一番下の段は用紙や予備インクを設置しています。一番上にはプリンタPM-T960を置いて置いてます。使う時に電源を入れて取り出す使い方です。

使ってみた感想と機能

使ってみると、想定していたより音は大きく夜中に細断すると近隣に迷惑をかけることになります。細断した紙を見ると、思ったほど小さくないです。でも個人情報を読み取れるほど大きいわけではないので、合格です。

機能についてはホームページにある通りで、通常細断のほかに逆回転もできて紙詰まり対策は良好です。

一度に細断できる枚数は4枚なので、随時細断して捨てますので許容できます。細断した紙は細かいため舞います。飛ばないように気を付けてゴミ袋に移してください。

シュレッダーの必要性について

個人情報の漏洩に気をつけるようになり、個人情報を捨てる前に確実に隠す必要があります。今後、シュレッダーの必要性はさらに増していくと考えています。情報漏洩は取り消せないので、漏洩しないように注意するしかないのが現実です。

シュレッダーが不要となるのは、紙で配布する資料が無くなる時と同じだと思います。

テレワーク時に気を付ける点はIPAでも公開されています。普段注意する点も含まれているため、特に自宅でテレワークする時の注意事項をまとめます。

私はIPAのネットワークスペシャリスト、情報セキュリティスペシャリスト、情報安全確保支援士の資格を保有しており、5年ほどの約2000名が利用するネットワークの情報システム部門にてインフラの企画と運用のリーダーでしたので、インフラの知識と経験はある程度保有しております。

無線LANのセキュリティ強化

ファームウェアを最新バージョンに更新する

無線LANを提供している無線LANアクセスポイントのファームウェアが最新バージョンかを確認します。既知の不具合やセキュリティ上の問題が解決されていますので、必ず最新のファームウェアを使うようにしましょう。

なお、ファームウェアを最新にバージョンアップするにあたり、設定が初期化されるリスクもあります。設定のバックアップができる製品であればバックアップを取得しておきます。

暗号化にWEPは使わない

無線LANは空気中をデータが流れるため、データを関係ない人でも取得できます。データから情報を読み取れないようにする手段が暗号化ですが、WEPでは10秒程度で解読されるほど脆弱な暗号化アルゴリズムに成り下がっています。

このため、無線LANのデータ暗号化方式はTKIPやAES、WPAやWPA2を使うようにします。

暗号化パスワードは複雑にする

暗号化パスワードが脆弱であると暗号化アルゴリズムに脆弱性が無くても、総当たり攻撃などで暗号化パスワードが特定される危険性が高いです。暗号化パスワードは文字種や文字数を多く使って、簡単に解読できないパスワードを使います。

強いパスワードの作成方法や、管理方法はパスワードをもっと楽に管理しようで説明していますので、参考にご覧ください。

ネットワーク機器のセキュリティ強化

ファームウェアを最新バージョンに更新する

ルータなどのネットワーク機器が使っているファームウェアが最新バージョンかを確認します。既知の不具合やセキュリティ上の問題が解決されていますので、必ず最新のファームウェアを使うようにしましょう。

なお、ファームウェアを最新にバージョンアップするにあたり、設定が初期化されるリスクもあります。設定のバックアップができる製品であればバックアップを取得しておきます。

初期パスワードから必ず変更する

メーカー毎に初期パスワードが固定としている場合があります。初期パスワードをこのような共通の初期パスワードのままネットワークにつなぐ方がいます。セキュリティ上非常に危険で、「攻撃して乗っ取ってください」と言っている等しいです。

セキュリティ上とても危険な行為ですので、初期パスワードは必ず変更します。強いパスワードの作成方法や、管理方法はパスワードをもっと楽に管理しようで説明していますので、参考にご覧ください。

パソコンのセキュリティ強化

更新プログラムはすべてインストール

OSのセキュリティパッチは最新版まで適用します。これは基本的な考え方です。必要なソフトウェアが動かない場合は、ソフトウェア開発元に修正を依頼します。

例えばWindowsUpdateを適用して、必要なアプリケーションが動作しなくなった場合は、原則としてアプリケーション開発元に対応するように要請します。業務上支障がある場合は、WindwosUpdateを適用しない端末はネットワーク接続を制限します。ファイアウォールなどで必要最小限の利用者が使えるようにして、不特定多数に接続をさせない措置が必要です。

有線LANをお勧め

無線LANは空間に電波を飛ばしてデータを送ります。受けて以外にデータを傍受していないことを保証できません。無線LANではデータが傍受されると認識して暗号化で情報の秘匿化して対策します。

逆に考えると有線LANはデータを傍受することは無線LANと比較すると困難です。重要なデータを扱うパソコンは有線LANで接続するという対応もセキュリティレベルが高い対策です。

後ろから画面を見られないように注意

パソコンを利用する際には、ショルダーハッキングなど、後ろから情報を取得される危険があります。自宅以外の外出先で業務情報をパソコンで使う際には壁に背を向けて座るとショルダーハッキングの対策になります。

今のパソコンの液晶ディスプレイは視野角が広いため、後ろ以外に横からの情報取得に注意します。このリスクはプライバシーフィルタを画面に付けて、視野角を狭める対策が効果的です。

以上、テレワーク時のセキュリティを維持するための注意点を説明しました。テレワーク時の参考になれば幸いです。

データを消去するフリーソフト

Windowsのフォーマットではデータを消去できない

Windowsのフォーマットはデータそのものは削除しません。データそのものが入っている場所を記録している管理領域を削除するため、データそのものが残っているためです。

Windowsのクイックフォーマットは、Windowsのフォーマットでは追加で実行している不良領域のチェックを省略して高速化しているにすぎません。

このためWindowsのフォーマットでは、データを保管している領域は削除しないため、復元ソフトでデータを復旧できることになります。

具体的な例でいうと、書籍の目次と索引は破ってシュレッダーして処分しますが、書籍の内容自体は残している状態と同じです。

データを消去できるフリーソフトをダウンロード

ではどのような方法なら確実にデータ消去ができるのか？　消せないなら意味のないデータで上書きすれば良いのです。このようなフリーソフトはいくつか存在します。

データ消去を目的としたAlternate File Shredderというフリーソフトが直観的で使いやすそうです。Alternate Toolsのホームページからダウンロードできます。英語サイトですが操作画面は日本語に変更できます。

Alternate Toolsのホームページを表示すると下の図のように英語サイトが表示されます。

上の図のようにホームページが表示されたら、右側の縦スクロールバーを一番下まで移動します。

上の図の赤枠内にある「Start Download of Alternate File Shredder」リンクをクリックしてFileShredder.exeをダウンロードします。

データ消去ソフトのインストール

先ほどダウンロードしたFileShredder.exeをダブルクリックしてインストーラを起動します。

上の図で日本語でよければそのままOKをクリックしてインストールを進めます。

上の図ではセットアップの開始案内なので、次へをクリックしてインストールを進めます。

上の図のように使用許諾契約書への同意確認が表示されます。同意しないとインストールできないので、左下の「同意する」にチェックを入れて右下の「次へ」をクリックしてインストールを進めます。

上の図ではAlternate File Shredderのインストール先を指定します。デフォルトの指定で問題なければ、変更しないで右下の「次へ」をクリックしてインストールを進めます。

上の図のようにAlternate File Shredderのプログラムグループを指定するウィンドウが表示されます。変更が不要なら右下の「次へ」をクリックしてインストールを進めます。

上の図のように追加タスクがいくつか表示されます。一般的な項目にチェックが入っています。変更が必要なら修正して右下の「次へ」をクリックしてインストールを進めます。

上の図のようにインストール準備完了のウィンドウが表示されたら、内容を確認して、間違いなければ右下の「インストール」をクリックしてインストールを進めます。

上の図のようにウィンドウが表示されたら、インストールは正常に終了しています。修正履歴の情報を表示しています。右下の「次へ」をクリックしてインストールを進めます。

上の図のようにセットアップウィザードの完了が表示されたら、右下の「完了」をクリックしてインストールを終了します。

パソコンのデータ消去を実行してみる

パソコンのデータ消去のためにインストールしたAlternate File Shredderを起動します。下のアイコンをクリックして起動します。

Alternate File Shredderを起動すると下のようなウィンドウを表示します。

上の図のようにAlternale File Shredder起動直後の画面が表示されます。下にあるオプションを下の図のように変更します。

上の図の赤枠のようにチェックを入れて確実にデータ消去されるようにします。

次に消去したい外部メディアをUSBなどでパソコンに接続します。その後エクスプローラからクイックフォーマットで残っているデータを全部削除してください。フォーマットでデータを削除する理由は、データ消去ソフトは空き領域のデータを消去するためです。

データを全部削除したら、右上のファイルメニューをクリックします。

上の図のように、ファイルメニューから「空き領域の完全削除」を選択します。

上の図のように完全消去するドライブ選択画面が表示されます。今回は外部メディアのため、上の図の赤枠内にチェックを入れて外部メディアであるDドライブを対象にします。チェックが入ったら上の図の中央下にある「OKボタン」をクリックしてください。ただし、OKをクリックすると最終確認も出ずにデータ消去が進みますので、対象が間違いないか確認してください。

上の図のようになればデータ消去の処理を開始しています。時間がかかりますので、終わったらシャットダウンしておきたい場合もあります。その時は「後処理」と書いてある右側のセレクトボックスをクリックすると選べます。

上の図のようにデータ消去終了後の処理を選択できます。処理が終了すると下の図のようになります。

上の図が表示されたら、正常に外部メディアのデータ消去が完了しました。

データを復元するフリーソフト

フリーソフトを使ってデータを復元できるか試す

データを復元できないことを確認して、データ消去が成功したことを示します。すべてのソフトで確認するのは時間の無駄なので、異なる2つのデータ復元ソフトを使います。実際、どんなソフトでもよいのですが、フリーで利用できるデータ復元可能なソフトを使っています。

フリーソフトRecuvaでデータ復元できるか確認

RecuvaのホームページからRecuvaをダウンロードします。Free版でもデータの復旧はできますので、Free版をダウンロードします。rcsetup153.exeをダウンロードしてインストールします。

使い方の詳細は省きますが、Recuvaで復元してみた結果は下のようになります。

上の図の結果を見るとファイル名はやデータは復元できませんでした。復元できたのは、Alternate File Shredderの一時ファイルと思われるが15個あります。1GB毎の一時ファイルが14個有り、747MBの一時ファイルが1有りました。重要データは復元できなかったのでデータ消去成功です。

フリーソフトGlary Undeleteでデータ復元できるか確認

ベクターの配布サイトからダウンロードできます。gunsetup.exeをダウンロードします。

使い方の詳細は省きますが、Recuvaで復元してみた結果は下のようになります。

上の図の結果を見るとファイル名はやデータは復元できませんでした。復元できたのは、Alternate File Shredderの一時ファイルと思われるが15個あります。1GB毎の一時ファイルが14個有り、747MBの一時ファイルが1有りました。重要データは復元できなかったのでデータ消去成功です。

Recuvaと同じ結果となりました。

まとめ

Alternative File Shredderを使うと、パソコンのデータ消去を確実にできることがわかりました。パソコンを廃棄したり、USBメモリでデータ受け渡しする際に、フリーソフトで過去のデータを消去できるのはとてもありがたいです。

Webサイトの常時SSL化が叫ばれていますが、SSL化するのは意外と難しいです。このサイトではWindows10のパソコンでSSLサーバ証明書を作れるようになることを目的として作り方を説明します。

順番に実行していただければ簡単にできると思います。最終的なアウトプットはSSL秘密鍵のファイルをSSLサーバ証明書の22つのファイルです。

SSLサーバ証明書に必要な物

SSLサーバ証明書と呼ばれていますが、原理は公開鍵暗号の技術を使っています。公開鍵暗号はその名の通りデータを暗号化する鍵が2つ必要ではあるのですが、一つの鍵を公開することができる暗号化方式です。

公開鍵暗号の特徴をまとめると以下になります。

SSL秘密鍵

SSL秘密鍵は、暗号化通信を始める際に必要な情報を管理しています。秘密鍵のは暗号の2010年問題(外部サイト)から2048ビット以上使うことを推奨されています。つまり2048ビット使う場合は、2²⁰⁴⁸の種類のデータの中から一つをえらんで鍵として使っています。

秘密鍵は名前の通り、絶対に秘密にしておく必要があります。

SSLサーバ証明書

SSLサーバ証明書は、SSL秘密鍵に対応する公開鍵のことを言います。SSL秘密鍵とSSLサーバ証明書の2つが無いとWebサイトのSSL化はできません。

CSR（証明書署名要求）

SSL秘密鍵から、SSLサーバ証明書を作る時に、SSL秘密鍵の特徴を表す情報と組織情報を指定して組み合わせたものをCSR(証明書署名要求)と言います。

CSRが必要な理由は、認証局にSSLサーバ証明書を発行してもらうために、最低限必要なSSL秘密鍵の特徴を認証局に提供するためです。

SSLサーバ証明書を作れる環境の準備

OpenSSLのインストール

Windows用のOpenSSLを作るのは手間がかかりますので、すでに公開されているサイト（外部サイト）から手に入れましょう。2020年2月15日現在、以下のような外観です。

上のサイトから下に半分くらいスクロールすると、下の図のようにOpenSSLのダウンロードリンクが表示されます。

SSLサーバ証明書を作成したり、確認するだけであればLight版で事足ります。64bit版のOSの場合はWin64が付いているリンクを、32bit版のOSの場合はWin32が付いているEXEのリンクをクリックしてインストーラをダウンロードします。

ダウンロードするとWin64OpenSSL_Light-1_1_1d.exeか Win32OpenSSL_Light-1_1_1d.exeのインストーラファイル名になります。 ダウンロードしたインストーラを実行します。

上の図は64bit版ですが、起動すると下のようなウィンドウが開きます。

上の図のようにライセンス合意画面が表示されます。赤枠を選択して、右下のNextをクリックします。

上の図のようにOpenSSLの保存先を指定する画面に変わります。変更が不要なら右下のNextをクリックします。

上の図は、OpenSSL用のスタートメニューをどこに作成するかフォルダ名を指定します。指定した名前のフォルダがスタートメニューに作成されます。右下のNextをクリックします。

上の図は、OpenSSLの動的ライブラリをとこに置くかのウィンドウです。変更は不要ですので、右下のNextをクリックします。

上の図はインストール前の最終確認画面です。間違いなければ右下のNextをクリックします。

上の図は、OpenSSLのインストールが成功したことを示しています。寄付をされるのであればチェックボックスにチェックを入れてFinishをクリックします。

OpenSSLコマンドのPATHの設定

OpenSSLのインストールが完了しましたが、まだ実行するにはOpenSSLへのコマンドのパスを通しておかないとフルパスで指定する必要があります。ここで便利に使えるようPATH変数に加えておきます。

上の図のように、①タスクバーの検索メニューをクリックして、PCと入力します。②メニュー左上にPCが表示しますので、右クリックして、③プロパティをクリックします。

上の図のようにコンピュータの基本的な情報の表示ウィンドウを表示します。左側メニューの赤枠内「システムの詳細設定」をクリックします。

上の図のように、システムのプロパティが表示されます。赤枠で囲っている環境変数ボタンをクリックします。

上の図のように環境変数の設定画面が表示されます。①赤枠のPATH部分をクリックして、青色背景に変更して、②右下の編集ボタンをクリックします。

上の図のように、ウィンドウが開きます。先ほどのパス変数を一行ごとに区切って表示しています。上の図の赤枠のように、最初の空行をダブルクリックして、インストールしたフォルダに/binを付けた文字列を入力します。

例えばC:64ビット版のOpenSSLを標準のフォルダにインストールした際は下の図のように入力します。

上の図のように入力します。入力が完了したらEnterキーで入力した文字列を確定します。

上の図のように、①入力したパスの文字列が確定したら、②OKをクリックします。

OpenSSLコマンドのPATH設定を確認

では実際にOpenSSLコマンドがフォルダを省略して使えるか確認します。コマンドプロンプトを開きます。openssl version とコマンドを入れてみます。

上の図のように、OpenSSLのバージョンが返ってきたら成功です。

Webサイト名の決定

Webサイト名は、例えばこのサイトで言えばsingomemo.comになります。

Webサイト名と使うWebサーバーで名前が異なる場合は、SSLサーバ証明書がChromeやFirefoxなどのWebブラウザでエラーを表示しますので、気を付けましょう。

特にwww.有りのサイトと無しのサイトがある場合はサイト名が異なります。2つのSSLサーバ証明書が必要となりますので、注意してください。

Webサイト名は英大文字・英小文字・数字と特殊文字はハイフン(-)とアンダースコア(_)までが安全です。他の特殊文字（アスタリスク(*)やパーセント(%)、シャープ(#)やビックリマーク(!)）はトラブルを引き起こしかねませんので使わないようにしましょう。なお、大文字と小文字は区別しません。

SSLサーバ証明書を作る

お待たせしました。いよいよSSLサーバ証明書を作成します。OpenSSLコマンドを使ってSSLサーバ証明書を作成する順番は次の通りです。

SSL秘密鍵の作成

どこでも良いのですが、フォルダを作ります。ここではデスクトップにTmpフォルダを作ります。

実際にコマンドを実行すると以下のようなファイルになります。

上の図は2つのことを実行しています。①opensslコマンドでSSL秘密鍵を作成します。出力するSSL秘密鍵のデータをprivate.keyファイルにリダイレクトして保存します。②typeコマンドでprivate.keyファイルの内容を表示します。これはテキストエディタで開いてみてもOKです。

SSL秘密鍵のファイルは「—–BEGIN RSA PRIVATE KEY—–」と「—–END RSA PRIVATE KEY—–」で囲まれていれば正常にできれいます。

これでSSL秘密鍵を作成することができました。なお、SSL秘密鍵はコマンドを実行するごとに内容が変わります。一回作成したSSL秘密鍵と同じ物は得られませんので、本番用にSSL秘密鍵を作成する際はバックアップを必ず取ることをお勧めします。

CSR（証明書署名要求）の作成

SSL秘密鍵を作成したら、SSLサーバ証明書を作成するために中間データのCSRを作成します。CSRはSSL秘密鍵の特徴と、Webサイトの情報を入力します。

では実際に作ってみましょう。コマンドプロンプトを開き、先ほどSSL秘密鍵を作成したフォルダへ移動して、CSRを作成します。

CSR作成コマンドを実行すると、赤枠内の表示で止まります。Country Nameは国名で日本はJPを入力してください。次にState or Provinceは州ですが、日本では都道府県を指定します。上の図では「**-ken」としてます。Locality Nameは市を入力します。上の図では「**-shi」としてます。Organizational Nameは会社名、Organizational Unit Nameは会社の部署名です。

次のCommon Nameが重要です。Common NameはWebサイトの名前で、公開する時に指定するサイト名と合わせてください。www有り無しも含めてです。

後の3つ、Email AddressとA Challenge password、An optional company nameは空欄で大丈夫です。

では作成したCSRのファイルを見てみます。

上の図のようになります。「—–BEGIN CERTIFICATE REQUEST—–」と 「—–END CERTIFICATE REQUEST—–」で囲まれていればCSRのファイルが正常にできています。

SSLサーバ証明書の作成

SSLサーバ証明書は認証局から購入する方法が一般的です。グローバルサイン（外部サイト）が人気でしょうか。認証局を運営するサイトにCSRや必要な書類を送付してSSLサーバ証明書を提供してもらう方法です。認証局ごとに購入方法が異なりますので、認証局の手順をご確認ください。

ここでは自己署名によるSSLサーバ証明書の作成を紹介します。自己署名ですが、SSL暗号化通信は実現できます。

それでは実際にコマンドプロンプトを開き、SSLサーバ証明書を作って表示してみます。

上の図のようになります。「—–BEGIN CERTIFICATE—–」と 「—–END CERTIFICATE—–」で囲まれていればSSLサーバ証明書のファイルが正常にできています。

SSLサーバ証明書とSSL秘密鍵の対応確認

SSLサーバ証明書とSSL秘密鍵、CSRの3つのファイルがあるわけですが、ファイルの内容を見てもすぐにそのWebサイトの証明書かわからないものです。そこで3つのファイルが同じWebサイト用かを確認する方法を説明します。

今回作った、SSL秘密鍵・CSR（証明書署名要求）・SSLサーバ証明書のファイルについて、Modulus値を表示してみます。

3つのファイルともにmodulus値が合っていることがわかります。

以上でSSLサーバ証明書の作成方法は終了です。