皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

いよいよ今年も残りわずかとなり、このブログへの投稿も年内は最後となります。

そこで、今日は2019年を振り返ってみたいと思います。

2019年の投稿記事を振り返る

今年は何と言っても『改元』でしょう。

2019年5月1日から『令和』がスタートし、Windowsのみならず、各システムの『改元対応』が間に合うのか懸念されたところもあったことでしょう。

日本である以上、『元号』にこだわりたい気持ちもわからなくはないですが、やはり今後は西暦で管理する方が負担が少なくて良いと思います。

改元で”Y2K”問題発生の可能性

次に、『〇〇Pay』という『モバイル決済サービス』が乱立する中、リリース早々に問題が起き、撤退することにまでなってしまった『7Pay』の乗っ取り不正利用問題が印象深いです。

7payで早くも乗っ取り不正利用

その他、『Thunderbird 64bit版』が正式に公開されたことや、iOS 13のリリースとともに登場した『Sign in with Apple』、VPNサービス『1.1.1.1 with WARP』の登場などもインパクトのあるものでした。

Thunderbird68.1で待望の64

Sign in with Appleは秘匿する

1.1.1.1 with WARP はじまる

さらには、何度かお伝えしてきた『Windows 7』のサポート終了に関して、当初はボリュームライセンス向けの延長だけであったものが中小企業向けに配慮をする措置が取られることも現状を大きく表しているような気がします。

Windows 7延長 中小企業にも

直近では、『Microsoft 365』において大規模な障害が発生したことや、Apple製品の『use-after-free』の脆弱性、『EC-CUBE』における『クレジットカード流出』もありました。

Microsoft 365 大規模障害発生

Apple製品 対策不可能な脆弱性

EC-CUBE2系でクレカ流出被害

※　過去の記事へのリンクは一部のみ記載しています。

他にも是非再読いただきたい記事はたくさんありますが、全体の中からピックアップして振り返ってみました。

最後に、今年もこのブログにお付き合いいただきましてありがとうございました。

たまに事業者向けなのか？という記事もなくはないですが、そこは従業員の方へ事業者からアナウンスしていただきたいという意味もあって投稿しております。

来年も事業者に役立つ記事の投稿を心がけて参りますので、どうぞよろしくお願い申し上げます。

年明けは2019年1月6日（月）から投稿を予定しております。

どうぞ良いお年をお迎えくださいませ。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭で書いた『未払金』と『未払費用』、ちゃんと違いはわかりますか？

これ、以下のように使い分けます。

未払金と未払費用の使い分けは？

『未払金』と『未払費用』、考え方としては『継続的な費用発生』に関しては『未払費用』という感じになります。

例えば、『給料』や『社会保険料』、『利息』、『通信費』、『リース料』などは『未払費用』となり、『備品購入』や『委託制作費』などは『未払金』という使い分け方をします。

また、『企業会計原則』上は以下のようになっています。

未払費用は、一定の契約に従い、継続して役務の提供を受ける場合、すでに提供された役務に対していまだその対価の支払が終らないものをいう。
従って、このような役務に対する対価は、時間の経過に伴いすでに当期の費用として発生しているものであるから、これを当期の損益計算に計上するとともに貸借対照表の負債の部に計上しなければならない。
また、未払費用は、かかる役務提供契約以外の契約等による未払金とは区別しなければならない。

しかし、中小・零細企業、小規模事業者の場合には気にしなくても良いレベルの話しです。

つまり、仮に間違った使い方をしていたとしても問題はありません。

実はこれ、税理士に記帳してもらっていても細かくやられていないこともあります。

（あまりメリットがないから。）

例えば、『クレジットカード』での支払いにおいてインターネット回線費用や携帯電話代などの『未払費用』とガソリン代や消耗品購入などの『未払金』を請求ごとには分けて計上せず、決算時にだけ『未払金』と『未払費用』を分けるといった感じでやられていたりもします。

ご参考までに。

＜キャッシュレス・消費者還元事業＞

キャッシュレス・消費者還元事業は、2019年10月1日の消費税率引上げに伴い、需要平準化対策として、キャッシュレス対応による生産性向上や消費者の利便性向上の観点も含め、消費税率引上げ後の9カ月間に限り、中小・小規模事業者によるキャッシュレス手段を使ったポイント還元を支援する事業です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、2019年10月1日から消費税率が引上げになる予定ですが、それへの対策として『キャッシュレス・消費者還元事業』というものがあることをご存知でしょうか？

今日はそれについてお伝えします。

キャッシュレス・消費者還元事業とは

まず、『キャッシュレス・消費者還元事業』に関しては冒頭の引用の通りで、これは『消費者』、キャッシュレス決済を導入している『中小・小規模事業者（加盟店）』、『決済事業者』、それぞれにメリットがあります。

消費者：キャッシュレス・消費者還元事業に登録している『加盟店（中小・小規模事業者）』から購入した商品やサービスの5%分（一部2%）のポイント還元等が行われます。

加盟店（中小・小規模事業者）：加盟店手数料の1/3が補助され、端末の無償提供が受けられます。

決済事業者：決済端末調達額の2/3が補助され、事業実施に追加的に必要な費用が10/10補助されます。

つまり、9ヶ月間の限定ではありますが全体的にメリットがあるということです。

これ、現時点での加盟店（中小・小規模事業者）の登録が非常に少なく、経済産業省も声を大にしてアピールしているようです。

また、加盟店（中小・小規模事業者）の本事業への申し込みを可能な限り『7月中』に行うようにアナウンスしています。

※　8月以降も加盟店登録を受け付けているものの、10月1日からの制度参加に間に合わない可能性がある。

中小・小規模事業者（加盟店）の皆さん、登録には審査がありますので早めに登録されることをお勧めします。

本事業への登録は消費者へのアピールにもなります。

追伸：クレジットカードが個人用かビジネス用かの判断が困難であることを理由に、『B to B』であっても本事業への登録などは可能となっています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は3連休前の週末ということもあり、少し軽めの話題をお伝えします。

LINE＠はLINE公式アカウントへ移行

さて、冒頭に書いた『LINE公式アカウント』へのサービス移行手続きに関してですが、今後、『LINE＠』は『LINE公式アカウント』へ移行されるというものです。

もちろん、今直ぐにでも移行は可能で、2019年8月19日までに移行を行わなかった『LINE＠』のアカウントに対しては順次『LINE公式アカウント』へ強制移行がされます。

（強制移行においては『LINE公式アカウント』のフリープランに移行されます。）

では、『LINE公式アカウント』は従来の『LINE＠』と何が違うのでしょうか？

新しくなったLINE公式アカウント

従来の『LINE公式アカウント』は開設するだけで月額料金が発生し、『LINE＠』は無料で開設機能に制限がありました。

しかし、新しくなった『LINE公式アカウント』は無料でアカウントが開設でき、『LINE＠』では使えなかった『リッチメッセージ』などの機能が無料で使えるようになったのです。

（新しくなった『LINE公式アカウント』に有料プランも存在します。）

つまり、新しくなった『LINE公式アカウント』では『LINE＠』を超えることが無料で可能になるため『LINE公式アカウント』に統一されるということです。

無料の『フリープラン』の場合『ホームへのメッセージ投稿』は無料で1,000通まで可能になりますが、それを超える『ホームへの投稿メッセージ』は配信できず『タイムライン』のみになります。

有料プランの場合、ライトプランは月額5,000円で15,000通まで、スタンダードプランは月額15,000円で45,000通まで料金の範囲で『ホームへのメッセージ投稿』が配信可能で、それを超えた分は送った分だけチャージされる『従量課金制』になります。

（ライトプラン：1通5円、スタンダードプラン：1通最大3円）

現在『LINE＠』を使われている事業者の方は直ぐにでも『LINE公式アカウント』へ移行されることがお勧めです。

足腰の強い経済を構築するため、中小企業・小規模事者等における生産性向上に資するITツール（ソフトウェア、サービス等）を導入するための事業費等の経費の一部を補助することにより、中小企業・小規模事業者等の生産性向上を実現することを目的とした事業（以下「サービス等生産性向上IT導入支援事業」という。）を実施する事務局の公募を行う。

平成31年1月25日付　経済産業省ホームページより

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

現在、経済産業省では、平成29年度補正予算『サービス等生産性向上IT導入支援事業（IT導入補助金）』の事務局公募を行っています。

そして、事務局が決定した後、昨年から始まった『サービス等生産性向上IT導入支援事業（IT導入補助金）』に関連する公募が順次スタートしていく予定です。

では、今回の概要を見ていきましょう。

平成30年度IT導入補助金の概要

前回、補助上限額が前々回の100万円に比べて50万円と減少したのですが、今回は補助上限額が『450万円』まで大幅にアップされました。

（今回の下限額は40万円）

しかし、補助率は前々回の2/3以内に対して前回は1/2以内と減少し、今回も前年同様1/2以内のままです。

単純に上限額で計算すると、前回は投資額100万円に対して自己負担、補助金ともに50万円でしたが、今回は投資額900万円に対して自己負担、補助金ともに450万円ということになります。

しかし今回、『ものづくり・商業・サービス経営力向上⽀援事業』、『小規模事業者持続的発展支援事業（小規模事業者支援パッケージ事業）』、『サービス等生産性向上IT導入支援事業』の3つが『中小企業生産性革命推進事業』としてまとめられ、昨年度の3つの事業の予算は合計1,620億円であったのに対し今回の予算総額は1,100億円と500億円も減額になっていることから、『IT導入補助金』は狭き門となる可能性が高いかもしれません。

前回、前々回ともに、私どももIT導入支援事業者として補助事業者をご支援させていただきました。

今回もご縁があれば同じ方向性で考えております。

ただし、現時点においては事務局の公募段階で、IT導入支援事業者の公募は未だ行われていなく、そのIT導入支援事業者は毎年度ごとに採択された事業者でなければご支援できないため、またその時になりましたらアナウンスさせていただく予定でおります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末、内閣サイバーセキュリティセンター（NISC/National center of Incident readiness and Strategy for Cybersecurity）よりサイバー攻撃に関する注意喚起が発出されています。

今日はそれについてお伝えします。

NISCによるサイバー攻撃の注意喚起

以下、外務報道官談話です。

中国を拠点とするAPT10といわれるグループによるサイバー攻撃について（外務報道官談話）

１．サイバー空間の安全は、我が国を含む国際社会の平和と繁栄を確保する上で極めて重要です。

２．こうした中、12月20日から21日（現地時間）にかけて、英国及び米国等は、中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても、サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており、サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。

３．我が国においても，APT10といわれるグループからの民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認しており、かかる攻撃を断固非難します。

４．中国を含むG20メンバー国は、サイバー空間を通じた知的財産の窃取等の禁止に合意しており、国際社会の一員として責任ある対応が求められています。

５．今後とも、政府として国内のサイバーセキュリティ対策の徹底に関する注意喚起を実施する予定です。

６．我が国としては、今後も、国際社会と緊密に連携して、自由、公正かつ安全なサイバー空間の創出・発展のための取組を進めていきます。

また、IPA（独立行政法人情報処理推進機構）では『日常における情報セキュリティ対策』を紹介しています。

＜組織のシステム管理者向け＞

１．情報持ち出しルールの徹底

２．社内ネットワークへの機器接続ルールの徹底

３．修正プログラムの適用

４．セキュリティソフトの導入および定義ファイルの最新化

５．定期的なバックアップの実施

６．パスワードの適切な設定と管理

７．不要なサービスやアカウントの停止または削除

＜組織の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．パスワードの適切な設定と管理

４．不審なメールに注意

５．USBメモリ等の取り扱いの注意

６．社内ネットワークへの機器接続ルールの遵守

７．ソフトウェアをインストールする際の注意

８．パソコン等の画面ロック機能の設定

＜家庭の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．定期的なバックアップの実施

４．パスワードの適切な設定と管理

５．メールやショートメッセージ（SMS）、SNSでの不審なファイルやURLに注意

６．偽のセキュリティ警告に注意

７．スマートデバイスのアプリ導入時の注意

８．スマートフォン等の画面ロック機能の設定

まずは不審なメールや添付ファイルを開かず、WindowsなどのOSやプログラムのパッチ（修正プログラム）やアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策の一層の強化を行うよう注意喚起が発出されています。

参考１：APT10といわれるグループによるサイバー攻撃について（注意喚起）

参考２：日常における情報セキュリティ対策

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

しかし、それは連鎖を避けただけで、単独では情報漏えいは起きています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

オンラインサービスから情報漏えいが起きた場合、そこに登録されているメールアドレスやユーザーID、パスワードなどの情報が流出することになります。

しかし、それは知らない間に起きていることも多く、パスワードの使い回しなどを行っている場合は他のサービスでもリスクを抱えることにもなります。

そのため、自身の情報がどこで漏えいしているかは把握しておく必要があるとも言えます。

アカウントの情報漏えいを確認する

あるサイトにおいて、不正侵入などによるアカウントの侵害があったサービスがあるかどうかを調べることができます。

『have i been pwned』というサイトです。

このサイトでは、メールアドレスを入力するだけで、どこのサービスで、いつ、何が原因で、どのデータが侵害されたが確認できるようになっています。

例えば、以下のように表示されます。

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
（Dropbox：2012年中頃、Dropboxは数千万の顧客の保存された資格情報を公開するデータ違反を被った。 2016年8月には、危険にさらされていると思われる顧客のパスワードリセットを強制しました。合計6800万件を超える大量のデータがオンラインで取引され、電子メールアドレスとパスワードの塩漬けハッシュ（SHA1の半分、bcryptの半分）が含まれていました。）

Compromised data: Email addresses, Passwords
（侵害されたデータ：電子メールアドレス、パスワード）

このようなものが見つかった場合、そのサービスに登録されている情報の見直し（場合によっては退会）、他のサービスでも使いまわしているパスワードがあれば他のサービスに登録されている情報の変更など、相応に措置を施しておく必要があります。

また、ここ最近では『have i been pwned』が提供しているデータを使い、Mozillaが公開しているチェックサイトも登場しています。

『Firefox Monitor』というサイトです。

どちらでも構いませんので、一度チェックしてみると良いでしょう。

それを受け、IPA（独立行政法人情報処理推進機構）では被害に遭わないための対策を公開しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた件は7月中旬から急増しており、相談件数も多くなっているようです。

今日はその件に関してお伝えします。

佐川急便を騙る偽SMSに注意

まず、どのような流れで不審なアプリがインストールされてしまうのか？

ステップ１：偽の不在通知のSMSが送られてくる

ステップ２：偽のSMSに記載のURLにて偽サイトに誘導させる

ステップ３：偽サイト内のどこかをタップするだけで不審アプリがインストールされてしまう

概ねこのような流れで被害にあってしまいます。

ただし、不審なアプリがインストールされてしまうのはAndroid端末においてで、iPhoneやiPadなどのiOSデバイスにおいては不審なアプリがインストールされることはありません。

そこで対策です。

１．不審なSMSのURLをタップしない

２．セキュリティ設定において、『提供元不明のアプリ』を『オフ（許可しない）』にしておく

この2つが重要です。

この不審なアプリがインストールされてしまった際の影響は結構大きく、以下のようにスマートフォンを不正に操作されるなどの可能性があります。

端末のステータスとIDの読み取り
電話番号発信
発信先の変更
テキストメッセージ（MMS）の受信
テキストメッセージ（MMS）の送信
テキストメッセージ（SMSまたはMMS）の読み取り
テキストメッセージ（SMSまたはMMS）の編集
SMSメッセージの送信
録音
連絡先の読み取り
SDカードのコンテンツの読み取り
SDカードのコンテンツの変更または削除
画面ロックの無効化
この端末上のアカウントの検索
ネットワークへのフルアクセス
ネットワーク接続の表示
ネットワーク接続の変更
Wi-Fiからの接続と切断
Wi-Fi接続の表示
起動時の実行
実行中のアプリの取得
他のアプリの終了
他のアプリの上に重ねて表示
端末のスリープを無効にする
音声設定の変更
ステータスバーの拡大/縮小

被害にあってしまった場合の対処としては、

１．スマートフォンを機内モードにする

２．不審アプリをアンインストール（削除）する

３．スマートフォンを初期化する

４．スマートフォン内で利用しているサービスのアカウント、パスワードの変更をする

５．契約している携帯キャリアに不正な請求がないか確認をする

このようなことが必要です。

Androidユーザーの方、くれぐれもご注意を！

＜参考＞『IPA 安心相談窓口だより』