00:05
はい、6月23日木曜日ですね、地獄浅久城を回りました。
今日は東京は曇ってますけど、ちょっと太陽も若干見えてる感じですね。
はい、おはようございます。ゆめみのキースことくわからです。
では本日も朝活を始めていきたいなと思います。
えーと、前回の引き続きですね、今回もIPAが出している情報セキュリティ10大脅威っていうPDFですね、の続きを読んでいこうかなと思っています。
で、昨日で一応1章まで終わって、今日で多分2章、3章まで多分終わるんじゃないかなと思ってます。
で、まあ続き、明日はなんか別のものを読んでいこうかなと思ったりしていますね。
はい、えーと、プテラノドウさんですね。朝活をおはようございます。ご参加ありがとうございます。
ちょっとまあ、僕ら情報系の仕事をしている人からすると、今日読む記事はあんまり面白くないというか、多分基本知識だったりするので知ってますよみたいな内容ばっかりかもしれないですけどね。
はい、おにぎりさんですね。ご参加ありがとうございます。タイトルにある通りの記事をただただ読んでいく感じですね。IPAの記事です。
じゃあ早速入っていきたいと思いますね。情報セキュリティ10大脅威の第2章、知っていますか?できれば理解しましょうっていうところに入っていこうと思います。
2-1ですね。まずリスクベース認証というところです。インターネット上のサービスを利用するにあたり、自分が利用しているサービスを第三者に不正ログインや不正利用されないようにすることが重要ですよと。
そのために様々な認証方式、多要素認証であったりリスクベース認証があって、それぞれがサービス側から提供されていて、利用者側はそれを正しく理解して利用することが望まれますと。
そもそもリスクベース認証って何ですかって言うんですけど、インターネット上のサービスを利用するために、まずはサービスの自身のアカウントにIDやパスワード等を用いてログインしますと。
この時にIDやパスワードが第三者に漏れてしまうと、その情報を使って自身のアカウントに不正ログインされて、なりすまされてしまう恐れもあります。
第三者が正規の利用者になりすましている可能性を考慮して、必要に応じて追加で認証を行う方式がリスクベース認証ですよと言っています。
追加で認証を行うかどうかの判断基準としては、利用者の使用している端末のOSだったり、IPアドレスだったり、ブラウザー等の情報がいつもと異なっていないかを確認する方法等がありますよと。
どんな追加の認証を行うのかというところですけど、追加の認証として使われるものは様々なんですが、
例えばあらかじめ秘密の質問だったら合言葉を登録しておき、リスクベース認証を行う場合には、サービス側が各利用者に対してそれらの情報入力を要求する方式があります。
それ以外にもあらかじめ登録しているメールアドレスにワンタイムパスワードを送信して、その情報を入力させてリスクベース認証を行うみたいなことですね。
いわゆる多要素認証の要件を満たす方式というのもありますよということですね。
どのようにリスクベース認証を実装するかについては、各サービスの方針によって様々ありますけど、
03:02
一例として現在インターネットバンキング等でよく用いられている方式は、秘密の質問とか合言葉というのがまだまだ主流だよという話をしていますね。
ではリスクベース認証のメリットデメリットの話ですけど、
この認証というのは、利用者がいつもと同じ環境、いわゆるIPアドレスとか使用する端末ブラウザというのが同じ環境からサービスを利用する場合というのは、
追加の認証が発生しないため、利用者に負担をかけずにセキュリティを高めることができます。
その一方で、利用者のネットワーク環境を使用する端末が日々異なるような場合は、都度リスクベース認証が発生して、
ユーザーの負担が大きくなることも考えられます。
サービスによっては、信頼できる端末というのを複数登録することができる場合もありますので、使用を理解して適切に利用しましょうというところでした。
では続いて、オンライン本人確認ですね。EKYCというものです。
例えばインターネットバンキングの講座等を開設する際に、インターネットから必要な情報を入力して申し込みした後に、
別途本人処理、異文章の写真などなどを郵送するように案内されて不便に感じたことはないでしょうかと、
それを解消する方法として、オンライン上、インターネット上で本人確認を完結できることも増えていますということですね。
本当に物理的に書類、写真を送るって正直面倒ですよね。
一応法改正で、オンライン本人確認が確認可能になったということらしいですね。
銀行講座等を開設する際には本人確認が必要です。
以前は本人確認のために、利用者が身分証の写し等を郵送で銀行に送付して、
その後銀行から取引関係書類を転送不要郵便で利用者が受け取るみたいな手順を踏む必要があったんですけど、
2018年11月30日ですね、犯罪収益移転防止法というものの一部が改正されまして、
インターネット上のみで本人確認ができるサービスが結構増えてきたよと。
これによって利用者が本人確認処理を郵送する手間が削減されて、
より便利でスムーズな本人確認ができるようになったよということですね。
オンライン本人確認の方法はというところですけど、それはいくつかありまして、
例えば写真付き本人確認処理、運転免許証等を写真で撮影しておいて、
その画像データをウェブサイトからアップロードしてしまうというのが一番わかりやすいんじゃないかなという話ですね。
例えばスマートフォンを持っていれば写真撮影から画像データの送信までスマホ一台で可能になるのでより楽ですよねということですね。
日々スマートフォンでインターネットされている方々には利用しやすいでしょうというところです。
また各サービス事業者がオンライン本人確認用のスマホアプリを提供している場合もあります。
写真の撮影機能や撮影した画像データをサービス事業者へ送信する機能があって結構便利ですねということですね。
本人確認の今後ですけども、まだ新しい仕組みであるため、
一旦今その撮影された画像の判定なのか直近に撮影された写真なのかなどの確認というのはサービス事業者によってさまざまな課題はありますよと。
06:05
また新しい技術の登場というのは攻撃者を生み出す恐れ物ももちろんセットでくっついていきますねということですね。
そのためオンライン本人確認の手順というのは今後も変化していく可能性がありますし、
利用者としてサービス事業者からのオンラインを注視したりアプリ更新をして最新の状態に保ったりと、
利用者ができる範囲での対応を心分けることが重要ですねということでした。
EKYCを対応したアプリケーションとかサービスを使うのは結構ですけど、それに依存するのもやっぱり良くないよということですね。
続いてクッキーの話ですね。皆さんもご存知だと思いますけども。
インターネット上でウェブサイトを閲覧するにあたり、クッキーという言葉を目にしたことがあることは多いでしょう。
主にログインを必要とするインターネット上のサービスでウェブサイト閲覧者の状態を管理することにより利用されます。
インターネット上の広告において各閲覧者が興味を持っていると思われる分野に対して、
ターゲティング広告等にも利用されますねということでした。
クッキーとはそもそも何ですかというところですけど、ざっくりですが、
インターネットの利用者がウェブサイトを閲覧した際に、閲覧者のウェブサイト、
以降ブラウザーと言いますけど、ウェブサイト側がテキスト形式の特定の情報ですね。
閲覧者ごとに割り当てられるIDなどなどですけど、というのを保存することができます。
この情報をクッキーと言いますよと。
閲覧者のブラウザーがクッキーを持った状態でウェブサイトを閲覧すると、
ブラウザーは自動的にクッキーを送信して、ウェブサイト側はそのクッキーを見て、
どの閲覧者、どのブラウザーからのアクセスであるかというのを判断できるため、
各閲覧者に応じたコンテンツを返すことができます。
閲覧者を利用してブラウザーに目印をつけるようなイメージだよということですね。
厳密に言うとJavaScriptとか使って送ってますね。
ブラウザーが自動でやってくれるって言うと書き方があれですけど、
開発的にはちゃんとプログラムで送ってますよってことですね。
クッキーというのはどのように使われるかってことですけど、
例えばウェブサイトにログインした後に、別のサイトを見て再度ログインしていたウェブサイトを見ると、
ログイン状態が保持されているみたいな場合がありますよね。
これはウェブサイト側がどの閲覧者であるかというのを判断しているから可能なことであって、
このような閲覧者状態で管理する方法にクッキーが使われていたりしますね。
ターゲティング広告も同じような感じで、
ウェブサイトを閲覧すると様々な広告が出てきますが、
時には自分が調べている商品の広告が頻繁に出てくるようになるという場合もありますね。
これはターゲティング広告というものなので、
今までに自分が閲覧したウェブサイトに関連の深い分野の広告が表示されるようになっていて、
自身の行動が追跡されている、閲覧履歴が知られているのではないかという不安に感じる方も多いと思います。
ターゲティング広告を実現するための手段の一つとしてもクッキーが用われていますが、
クッキーの中に個人を識別できる情報やウェブサイトの閲覧履歴というのがそのまま保存されているわけではないですね。
広告事業者は様々なウェブサイトに広告を出しています。
09:00
閲覧者がウェブサイトとそこに形成されている広告を閲覧した際に、
広告事業者はそのウェブサイトのURLとブラウザーのクッキーを収集していて、
その情報を蓄積していくと、どの閲覧者がどのウェブサイト、
広告事業者が広告を出しているウェブサイトを閲覧したかの履歴になるので、
それを利用して閲覧者の興味のありそうな分野というのを推測することができるようになりますよということですね。
これに一度気を付けないと、自分の趣味とか興味というのが画面共有したときにバレてしまったりするので、
この辺ちょっとたまに恥ずかしいことがあったりするかもしれないですね。
今この人この商品とかこういう分野に興味あるんやみたいなところが。
人によっては恥ずかしい場合もあったりはしますのでね。
なんとも言えないですけど。
クッキーの取扱いについてですけど、
クッキーを追跡することでクッキーを発行する事業者側がウェブサイト閲覧者の傾向をある程度把握できることから、
閲覧者個人に関連する機微な情報となれますと。
クッキーのみでは通常個人の識別はもちろんできないんですけど、
例えばログインして利用するインターネットサービス等で別途個人を識別できる情報を登録する場合は、
その登録情報とクッキーを称号することによって、
あるクッキーを持っている閲覧者は誰であるかのサービス事業者側では特定できることになりますよということですね。
世界的にも規則や法制備が結構進められていて、
報酬でのGDPRというのが施行されていた影響もあって、
個人に関連する情報やプライバシーを保護しようとする動きが強くなってきているという形ですね。
それに伴ってウェブサイトを閲覧する際に、
クッキーを使用することの同意を求めるポップアップを表示するウェブサイトが増えてきたというのは、
それはそうですよねという感じです。
サービスに登録する個人情報や送信したクッキーの取扱いは、
サービス事業者に委ねることになるため、
利用するサービスの利用規約等をよく読んで、
それらの情報取扱いを把握して、
情報を預けて問題ないかを判断することが重要ですよねということでした。
利用者におけるクッキーの管理ともありますけど、
クッキーというのはインターネット上のサービスを利用する、便利に使うための必要なものではあるけど、
サービス事業者の取扱いによって個人の情報が大切に知られてしまう恐れがありますよと。
利用者側においては、
ブラウザの設定を行うことで自身のクッキーを管理することもできますと。
例えばクッキーを使わない、無効化するというような設定ももちろんありますし、
現状保持しているクッキーを削除するということもできますと。
クッキーを利用したターゲティング効果については、
クッキーを削除したタイミングで広告事業者側に蓄積されている履歴をリセットできることになるので、
定期的にブラウザのクッキーを削除することを検討するのも悪くないんじゃないのという話でした。
設定方法を利用しているブラウザの種別によってももちろん変わりますので、
自分がどういうブラウザを使っているのかによってクッキーの設定方法を確認しておくのもいいんじゃないかなということでした。
そんなにクッキーをよく使うサイトでは悪質性に使うことはあまりないと思いますし、
各サービスのバックエンド側でその辺のセキュリティ担保をすることも割と実装されていたりするので、
12:06
そこまで神経過敏にずっとチェックしないといけないとか、
しっかり利用規約を読まないといけないというわけではないと思いますけど、
その愛あれば憂いなしなので対策しておくことには変わりはないかなと思いますね。
セキュリティとかクッキー周り、あとローカルストレージもそうですけど、
この辺というのは常に開発者としては勉強しておかなきゃいけないなというのはありますよね。
続いてVPNですね。
バーチャルプライベートネットワークです。
これも僕らからすると結構当たり前ですけど、一般的にはまだまだ知られていないワードだったりしますね。
多分、知らんけど。
じゃあ入っていきます。
近年、テレワークへの移行が増加して、自宅からインターネットを通じて会社のシステムを利用して
仕事をする機会が増えてきた方も多いでしょう。
自宅と会社間で通信をするにあたって通信内容が改ざんされたりとか、
盗聴されたりしないようにセキュリティ対策を取る安全性の高い環境を準備することが求められます。
で、VPNというものがありますね。
主に個人でインターネットのアクセス等の通信を行う場合は、
多くの利用者で物理的に同じ整備を共有する公衆回線を利用しています。
一方で、組織で通信を行う場合には重要なデータを扱うことが多いので、
安定性や高いセキュリティを求められることがあって、
拠点間専用の設備を使用した専用回線を用いて通信を行う場合もあります。
ただし、専用回線を導入するには、公衆回線と比較しても大きなコストがかかりますよ。
なので、そこでVPNという技術を用いて、通信をいわゆる暗号化して被せるわけですよね。
公衆回線をあたかも専用回線であるかのように利用することができて、
専用回線を引くことよりも暗下で、公衆回線よりも安定性の高い通信環境で実現できると。
素晴らしい技術ですね。
近年、テレワークへ移行する組織が増えていますけども、
テレワーク環境を組織で整備するにあたって、
比較的暗下で安定性の高い通信環境を求められるから、
やっぱりVPNを利用するケースが増えてきています。
どんなふうに実現すればいいかというところですけど、
実現方法でいくつかあるんですけど、
例えばテレワークで自宅のPCから自分の会社のシステムを利用する場合は、
会社側にVPN用の機器を、
自宅のPCにはVPN用のソフトウェアを導入して、
それらのVPNの製品を介して通信を行うというのが、
これが結構一般的なんじゃないですかね。
そういうソフトウェアですね。
VPNにつなぐためのソフトウェアというのも結構たくさん出ていますし、
無料で使えるものもたくさんあるので、
その辺を使えばいいんじゃないかなというところですね。
その通信というのは公衆回線を経由しますけれども、
VPN用の製品間はトンネルでつながっているようなイメージになって、
インターネットに接続している他の利用者から
そのトンネル内の通信内容は見ることができるようになります。
そういう感じですね。
じゃあVPNは安全なんですかってところなんですけど、
一般的にVPNを利用することで安全性の高い通信が可能ではあるんですけど、
仮にVPN用の製品に脆弱性が存在する場合は、
それを悪用しておこうという恐れももちろんあります。
15:00
利用しているVPN製品に脆弱性がないかというのを確認とか、
発見された脆弱性の対策というのは日々継続して、
実施する必要がありませんということでした。
この辺はたぶんVPNをそもそも整備してくれるような会社であれば、
いわゆるシステグというか、
ような専門の人たちがいるので、
その人たちにどのソフトウェアを使ってくださいというのは
たぶん選んでもらうことになると思いますね。
その人たちも日々そういうVPN製品を使う時とか、
そのソフトウェアの脆弱性については
たぶんチェックしてくれると思いますね。
そういうことを専門にして、
舞台がもしいないのであれば、
外中でもいいですけど、
必ずチェックすることはやっぱりいいなと思っていますね。
僕も過去にソフトウェアを1回か2回変えた記憶はありますね。
では第2章、今は知識的なところでしたね。
続いて第3章ですね。
あっていますかあなたの意識ということは、
改めて確認しましょうという感じの内容になります。
これは知っているけど、
本当に自分たちの情報正しいですかというのは
改めて確認してくださいということですね。
釈迦に説法みたいなお話なので、
ゆるく流して聞いてもらえればと思います。
1つ目ですね、
ハードディスクのデータ消去という話です。
あれねって感じだと思いますね。
日々使っているパソコンのハードディスクには
様々な情報が入っていて、
パソコンを廃棄したりとか譲ったりする時とかに、
ハードディスク内に含まれている情報を
第三者に見られないように
ちゃんと安全に削除したいと思いませんかというところですね。
そもそも削除をしないまま渡すとか処分するという、
結構リテラシー低い方っていうのも全然いらっしゃるので、
そもそもそこからかという感じはありますけどね。
パソコンのデータファイルの削除ですけど、
通常パソコンのファイルを削除する場合には、
削除するファイルのアイコンドラッグ&ドロップで
おごみ箱に移動したりとか、
アイコンを右クリックして削除を選ぶ等で
おごみ箱に通したりしていると思います。
実はファイルをごみ箱に通しても
ごみ箱を空にするという操作は、
ファイル自体を削除しているわけではなくて、
保管場所の情報を削除しているだけですよと。
一見ファイルは見えなくなっているんですけど、
実際はハードディスクの中に残っている状態ではあります。
パソコンにはごみ箱で削除したファイルを復元するための
データ復元ソフトというのも世の中にやっぱりありまして、
誤って重要なファイルをごみ箱で削除してしまった場合でも、
ファイル復元できる可能性が結構ありますよということですね。
ただし見方を変えると、
自身が利用していたパソコンを第三者が利用する際には、
自身で消したはずのデータが
第三者がデータ復元ソフトを使用して復元しまうという
恐れも正直あるわけですよね。
パソコンのデータ内容ソフトというのがあります世の中には。
これを使うとデータを強制的に分岐することで、
復元ソフトでも復元できないように
元のデータを削除することができます。
そのため安心してパソコンを廃棄したり、
第三者に渡ったりできるようになりますよ。
最近ではハードディスクのみではなくて
SSDを搭載したパソコンが増えてきましたが、
SSD用のデータ消去ソフトももちろんありますという感じですね。
あとはパソコンを廃棄するときに
廃棄業者とか結構あると思うんですけど、
18:01
その業者が専門オプションで一緒にデータを削除しますか
というのを結構聞いてくれたりするので、
それに依存しちゃってもいいかもしれないですね。
問題はその業者自体が信頼できるかというのは
別の話は出てきますけど。
会社内に人がいるんだったら
その会社の人にやってもらうのが一番確実かもしれないですね。
そういう専門の人いれば。
パソコン廃棄時のデータ消去ですけど、
2013年に小型家電リサイクル法というのが施行されまして、
この施行後にパソコンを廃棄するには
家電量販店のパソコン回収サービスを利用する方法が
一般的になりましたよと。
この場合自身でデータ消去ソフトにデータを消去してから
回収してもらったりとか
家電量販店のデータ消去サービスを使って
データ消去してもらったりという方法が考えられますよと。
それ以外に無料の回収サービスを利用する場合もあるけど
適切にデータ消去を実施してくれるかというのは
よく注意してサービス利用を検討することが
簡易ですよということですね。
確かに家電量販店のデータ消去は結構信頼性が高いので
そっちの方がいいかもしれないですね。
続いてアップデートですね。
更新とか修正プログラム適用というところです。
個人においてスマートフォンの保有率は
2020年に69.3%になりましたと。
すげーな。
もう7割いったんですね。
2020年2年前でも7割なんですね。
PCだけじゃなくてスマートフォンの生活の一部になりつつあって
サービスを受けるためにはスマートフォンが必要である
という機会が増えてきましたよと。
PCやスマートフォンを使用していると
ソフトウェアやアプリのアップデートや更新とか
ということも目にしたことがあるのではないでしょうかと。
これらはいわゆる適切なセキュリティ対策を行う上で
大切なものなので正しく理解して
実行する必要がありますよということですね。
OSとかのアップデートに関しては
ほぼ脳死でやっといていいんじゃないの?
という感じはありますね。
各アプリのアップデートに関しては
なんとも言えないところがありますね。
アップデートした瞬間バグったり
急にメモリーめっちゃ使うようになったり
みたいなことがあったりするので
アプリによってもまちまちではありますけど
いわゆるインフラに近いレイヤーのところの
ものはアップデートしておいてもいいんじゃないの?
という感じは正直ありますね。
言葉の意味でアップデート・更新・修正プログラムの適用
バージョンアップみたいなものもありますけれど
類似したものもたくさんありますけど
総じてアップデートという風に
このPDFでは呼ぶことにしますと。
PCとかスマートフォンを利用する上で
アップデートというのは
ソフトウェアやアプリを
より新しい状態に変更することを指します。
これは本当にリテアシーない人のための説明という感じですね。
もちろんバージョンアップというのもあります。
そのバージョンが例えば1.2、1.3みたいな風に
呼ばれたりすることもあります。
もしかしたらメジャーバージョンがアップすることもありますけどね。
アップデートする機械なんですけど
PCでシャットダウンする際に
更新してシャットダウンということは見たことあるのでしょうか?
Windowsの人はそうだったりしますね。
Macの人はどうなのかわからないですけど。
他にもソフトウェアを起動した際に
最新版に更新しますか?という表示がされることがあります。
21:03
スマートフォンを利用している場合は
iPhone、iPadでアップデートできるアプリに関しては
App Storeでアプリのアップデートと表示されたりしますね。
AndroidではPlay Storeですね。
Google Play Storeで利用可能なアップデートというのが表示されます。
これらの表示はどれもソフトウェアとかアプリの開発者が
最新版をリリースした際に
その情報をPCやスマートフォンが検知して表示していきます。
表示が出た時はアップデートを行いましょうということですね。
最近は設定でその辺のアップデートも
自動的にアップデートできるようになっていたりして
自分たちがアップデートを使っている時には
勝手にいきなりアップデートが走ってくれるみたいなこともありますね。
それは結構僕はその設定をしていて
割と便利なのでそうやってたりしてますね。
手動でやるのが面倒くさいというのも正直ありますし
自動でやってくれるのとそれに越したことはないなという感じはありますね。
アップデート方法も一緒で
①に自動的にアップデートされるものと
②にPCやスマートフォン上で最新版がリリースされたことの通知があるものと
③に最新版のリリース有無を
ウェブサイトでチェックする必要があって
④は自動的にアップデートできるかどうかというのを
設定できるものという感じですね。
例えばGoogle Chromeでは
自動アップデートを有効にするか無効にするかというのを
設定できますよと。
これを有効にしていると最新のアプリのリリースサイトには
Chromeのウィンドウを一度閉じて
再度Chromeを立ち上げて自動的にアップデートされますよということですね。
最新版がリリースされた時には通知があるものの
例としてはWindowsアップデートとか
Apple iOSが該当しますということですね。
Windows OSのPCであればシャットダウンする際に
更新してシャットダウンで表示されますし
MacやiPhoneであれば
ソフトウェアアップデートのポップアップが表示されたりします。
そうです確かに。
それを確認したら利用者がアップデートを行いますと。
こういった自動アップデートや通知を表示する機能というのが
無いソフトウェアやアプリの場合は
僕らがそのサポートページと
逐一確認しないといけないということがありますね。
ちなみにアップデートって具体的に
何を指しているのかということなんですけど
新しい機能ができたと考えている方も
いるらしいですね。
なるほど。リテラシーの差だと思いますね。
しかし実はそれだけではないですよと。
不具合の修正だったり
セキュリティ対策をしていることももちろんあって
アップデートしないということは
基本的にはセキュリティ対策が十分ではないままに
利用していることになりますよと。
アップデートがあるときは
そのソフトウェアのサポートページに
アップデートの内容が書かれていたりすることは一般的です。
内容を見てセキュリティ対策とか
脆弱性を修正などの記載があった場合は
実行するようにしましょうということですね。
はい。
その他のIT用語ということで
2つですね。
踏み台と丸ウェアというところですね。
もっともっといっぱいあるでしょうけど
今回はセキュリティという観点での言葉らしいですね。
はい。
踏み台ですけど、踏み台という言葉を聞いて
どんなことを想像しますか?
一般的には高いところにあるものを
取るときに足場にすることを指しますけど
これを想像する方も多いでしょう。
しかしIT用語としての踏み台というのは
全然別の意味で
攻撃者は自分の端末やアカウントから
直接標的への不正アクセスやメール等を
送信するとは限らないんですよ。
24:01
自分と標的の間に
中継地点というのを用意して
攻撃することがあります。
この中継地点というのを踏み台と呼びます。
この中継地点には
あなたのPCやメールアカウントが
使われていることもあるんですよということですね。
じゃあどのような状況でその中継地点に
されてしまうのかということですけど
例えばPCやスマートフォンなどに
インストールしたソフトウェアやアプリに
脆弱性が見つかって
中継プログラムが公開されていないにも関わらず
されているか、いるにも関わらず
アップデートをしていない状況が挙げられますと。
攻撃者にその脆弱性が悪用されて
PCやスマホの操作権限を奪われたり
利用しているサービスのアカウントに
対する認証情報を
摂取されたりと
削除されたりすることで不正に利用されてしまいますよと。
攻撃者は踏み台を使うことで
自身の身元を隠してPCやスマートフォンの
処理者に権利を明らかにするものです。
ということでした。
いわゆる一般的な
僕らが知っている踏み台ということですね。
続いてマルウェアですね。
マルウェアも結構、世間的にもちょこちょこ
耳にするようになったなというイメージはあります。
マルウェアっていうのは
マリ
マリキウスって言うんですか
マリシウスかな
っていうものとソフトウェアっていう言葉の
2つの単語からなる造語であって
それは僕は知らなかったな
悪意のあるソフトウェアや
プログラムの総称でありますよと。
総称というからにはいくつかの要素が含まれていて
ウイルスであったりワームであったり
トロイの木馬であったり
それらが当たりますということですね。
ウイルスやワームと聞くと
人間が感染する虫みたいなものを
想像しますかもしれないですけど
IT用語としてウイルスやワームトロイの木馬
っていうのはその正体はもちろんプログラムですよということですね。
いずれもPCとかスマートフォンに
悪影響を及ぼすものであることに
変わりはないんですけどもその働きが
行っているため分けて呼ばれてきますよと。
例えばウイルスは
自身だけじゃなくて活動できませんと。
アプリやソフトウェアのプログラムの一部悪意のある
プログラムを書き換えて動作します。
ワームというのはもちろんウイルスと違って
アプリやソフトウェアの一部を書き換えるのではなくて
自身が悪意のあるプログラムとして
動作することができます。
トロイの木馬というのは向かいのプログラムに
偽装してインストールさせておいて
そこに入った後で悪意のある動作をします。
マルウェアというのはこういった
悪意のあるプログラムを操作しています。
情報セキュリティ重大脅威では便宜上
多くの人に馴染みがあるウイルスという
名称を使っています。
参考資料として
マルウェアとはウイルスの違いや
感染時の症状というような記事も
あってそれのリンクも貼っています。
cybersecurityjp.comというところに
あります。
以上で
セキュリティ重大脅威というところ
の記事は
一旦終了にしようかなと思います。
IPAから出されていた
今年の5月に
出されているPDFですので
この辺は読んでいても
別に損はないなと思って読んでみましたけど
やっぱり僕らからすると結構
当たり前の知識だったり、知ってるよねみたいなことだったので
これは本当にアイデンティティ対象がない方に対して
送った、公開されている
記事だなという感じはありますが
問題はIPAがどこまで一般的に
こういう情報を流しているのか
27:01
とか多分企業に
こういうのを流すんでしょうねという気がしますね。
企業の人が
仕事の中で各従業員の
方にこの辺を知っておいてねというので
読ませていくんだろうと思いますけど
どれだけの人が読んでいるかというのはまだまだ何とも言えないので
セキュリティという
観点は
本当に難しいなと思いますね。いわゆる
ちゃんとみんなが認識しているというか
知識を得ていただくというところに対して
セキュリティという話は
おかたいといいますか
思いないようになったりするし
文章もすごく長くなったりしまうので
やっぱり読むかと言われると皆さん読まないよね
って結構あるので
これを噛み砕いたりとか
より図示したいものとか絵とかが多くて
わかりやすくパッと見て
なるほどねとなるような翻訳記事
みたいのがあったらもう少し
世間にも
浸透していくんじゃないかなという気はしてますけど
一方でこうやってちゃんと
正しい文章とかおかたい文章で
しっかり明記されているというところも
あるのでここら辺も
IPAがずっと担ってくださっているのかなという
印象はありますけどね
今後もインターネットを使う限り
セキュリティというところと
僕らは戦っていかなきゃいけないので
IPAがそういうのをしっかり
分析したり定義してくれたりするのは
すごくありがたいので今後もIPAの
情報をしっかり追っていきたいなという風には思いましたね
じゃあそんなところで
時間もちょっと早いですけど
今日はこの記事だけ読む予定だったので
今日はこれで以上にしたいかな
と思います
明日からですね
Twitterでアンケートを今出していて
回答してくださった皆さん本当にありがとうございます
今のところの投票結果で
いくとやっぱり一番多いのは
やっぱりウィークリーニュースですね
はい
ニュース記事を読んで欲しいという感じでした
J3インフォとか
ウィークリーフロントエンド東京みたいな
サイトがあってそこが毎週毎週
いろんな
フロントエンド周りですけど情報を
集めて公開してくれたりするので
その辺を読んでいこうかなと思います
時間が余ったらその中でピックアップして
この記事だけちょっと深く読んでいこう
という風な読み方をしていこうかなと思ったりしていますね
続いて多かったのは
TC39とかRFPみたいな
いわゆる技術の
仕様周りのところですね
というところを読んで欲しいというのが
アンケートの結果第2位だったのでこの辺を
コンボで
組み合わせつつ読んでいこうかなと思ったりしています
はい
ではこちらで以上にしたいと思います
ご参加いただいた皆さん本当にありがとうございます
また明日もゆるーくやっていくので
お付き合いいただければすごく嬉しいなと思います
では今日も一日頑張っていきましょう
お疲れ様です
