皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたエラーメッセージ、これは正に『×データベースへ接続できません。』という言葉そのものです。

『ファイアウォール』で許可されていないためにデータベースにアクセスできないということです。

では解決方法は？

ネットワーク接続にはポート開放が必要

まず、スタンドアロン環境でアプリケーションを動かしている場合においては概ね問題は起きません。

今回の例としては『ネットワーク環境』におけるものとしてご説明します。

例えば、データベースに『Microsoft SQL Server』を使用している場合、そのデータベースが設置されているコンピュータにおいて以下の状態になっている必要があります。

１．SQL Server構成マネージャーで該当インスタンスのプロトコル『TCP/IP』が『有効』になっていること

２．Windows Defender ファイアウォールの詳細設定で受信の規則として『TCP 1433ポート』がポート接続を許可されていること

また、環境によっては以下の部分も必要になることがあります。

３．SQL Server構成マネージャーでSQL Serverのサービスにある『SQL Server Browser』が実行されていること

４．Windows Defender ファイアウォールの詳細設定で受信の規則として『UDP 1434ポート』がポート接続を許可されていること

５．Windows Defender ファイアウォールの詳細設定で受信の規則として該当インスタンスの『sqlserver.exe』がプログラム接続を許可されていること

といったことがあります。

まずは順番に確認すれば問題なく接続できるようになるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

既に『TLS1.0』と『TLS1.1』は多くのサービスで終了がアナウンスされており、現在の中心は『TLS1.2』となります。

しかし、それよりももっとセキュリティ的に安全で高速なのは『TLS1.3』での通信です。

TLS1.3対応で安全で高速な通信が間もなく

『Google Chrome』や『Mozilla Firefox』など、主要なブラウザでは既に『TLS1.3』に対応済みですが、ホストとなるサーバ側の方は一部のサーバが『TLS1.3』に対応し始めた程度の状況で、多くは未だ『TLS1.2』の状態です。

この『TLS1.3』は『TLS1.2』に比べてセキュリティ面、速度面の両面にて改善されている『暗号化通信プロトコル』であるため、早い段階で様々なところで対応がされることが望ましいわけですが、ホスト以外にも少々引っかかってしまう可能性があるものがあります。

それはセキュリティソフトです。

多くのセキュリティソフトでは各Webサイト（ページ）にブラウザからアクセスする際の通信を保護する機能が付いていますが、その部分が未だ『TLS1.2』までしか対応していないものがあります。

そのような場合、よく閲覧する『信頼できる』Webサイト（ページ）が『TLS1.3』に対応しているならばそれをチェック対象から外して通信を行うしかありません。

おそらく、各セキュリティソフトの次のバージョンにおいては間違いなく『TLS1.3』に対応したものがリリースされるはずですから、もう間もなくで環境が整ってくるのではないかと思われます。

そのような方々が使うSNSツールとは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、長いGW（ゴールデンウイーク）明けですので今日は軽い話題をお届けします。

日本においては圧倒的に『LINE』というSNSアプリを使っている方が多いとは思いますが、海外やセキュリティを重要視しなければいけない立場にある方などはこんなSNSアプリを使っているようです。

米国上院議員が使うSNS『Signal』

元CIA職員『エドワード・スノーデン』も高く評価し、米国上院議員も公式連絡ツールとして認められている『Signal（シグナル）』というSNSアプリがあります。

これ、『Open Whisper Systems』というところが開発しているオープンソースのメッセンジャーソフトで、すべての通信内容が『エンドツーエンドで暗号化』されることから非常にセキュリティ性の高いSNSアプリです。

この『Signal』で採用されている『エンドツーエンドの暗号化』は、運営者、管理者、サーバ所有者のいずれも会話内容を盗聴することはできない仕組みとなっています。

また、『Signal』の暗号化に使われている『プロトコル』はオープンソースのため、他のSNSアプリでも導入されています。

・WhatsApp：標準ですべての通信にSignalプロトコルを適用

・Facebook Messenger：一部の機能にのみSignalプロトコルを適用

・Skype：一部の機能にのみSignalプロトコルを適用

さて、日本はまだまだセキュリティに対する意識が低いように思いますが、あなたの会社はビジネスにおいて何を選択しますか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログを読んでいただいている方々、何か数日前までとはパフォーマンスが違うことにお気づきでしょうか？

その理由はこんなことにありました。

Webサイトが突然速くなった理由

さて、昨日突然Webサイトが速くなった（パフォーマンスがアップした）理由ですが、こんな対応がされたことにあります。

『TLS1.3』対応です。

TLS（Transport Layer Security）というのはインターネットなどのコンピュータネットワークにおいてコンピュータ同士が安全にデータのやり取りをするための暗号化通信プロトコルのことを言いますが、これが最新の『TLS1.3』に対応してくれたのです。

何故それがパフォーマンスにつながるのか？

『TLS1.3』は、『TLS1.2』から『セキュリティとスピードの向上が約束された暗号化通信プロトコル』だからです。

セキュリティ面では暗号化の手法などが変更されたことなどで安全性が飛躍的に向上し、秘匿性の徹底も図られています。

また、今回のようなパフォーマンス面への影響に関しては、ハンドシェイクという『2点間の通信路を確立した後に本格的な通信を行う前にパラメータを取り決めるなどの事前のやり取りを自動的に行う技術』が大きく改善され、『TLS1.2』に比べてより少ない回数で暗号化通信を開始できるようになっているという部分が大きく影響しているようです。

簡単に言えば『効率的』になったということで、この部分が大幅に改善されたことでパフォーマンスが向上しています。

中小企業・小規模事業者の場合はホスティングサービス契約を行っていることが大半でしょうから契約先の対応次第となってしまいますが、自社サーバ運用を行っている企業であれば今後は『TLS1.3』の導入が望まれるところでしょう。

※　現在、ホスティングサービス会社は脆弱性のある『TLS1.0/1.1』を順次停止しており（Apple/Google/Microsoft/Mozillaのブラウザは2020年に無効化されます）、多くは『TLS1.2』での対応となっています。また、『SSL1.0/2.0/3.0』は仕様上の脆弱性により数年前から使用されていません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

現在、Webアクセスのプロトコルは『HTTP/1.1』と通信効率を改善した『HTTP/2』が使われていますが、近い将来、『HTTP/3』が登場し、さらに効率化されたものとなりそうです。

HTTP/3の登場で効率化されるWEB

まず、現状使われている『HTTP/1.1』や『HTTP/2』は以下のように動作しています。

＜HTTP/1.1＞

・基本的には1回のリクエストで1回のレスポンスを返す

・主にTCPを使う

・リクエスト数などによってはレスポンスが重い

＜HTTP/2＞

・1回のTCPコネクションで複数のリクエストを通信し、並列処理を可能にしているためHTTP/1.1と比べWebサイトのパフォーマンスが向上する

・実質的にはHTTPS（SSL/TLS通信）であるため安全性も確保される

そして、新バージョンとなる『HTTP/3（HTTP over QUIC）』は以下のように改善されるようです。

＜HTTP/3（HTTP over QUIC）＞

・TCPではなくUDPを使うため効率的な通信が行える

・TLS1.2より効率の良いTLS1.3を使った暗号化となる

このように改善されます。

（詳細にはもっとあると思います。)

TCPではなくUDPを使うことに対してセキュリティ的に疑問視する方もおられるようですが、その部分は新たに採用される『TLS1.3』などにおいて安全性にも優れいていることがテストで証明されているようです。

安全性が保持され、さらにパフォーマンスが向上するのであれば非常にありがたい話しです。

今、モバイル通信が『5G』へと進化しようとしていることもあり、Webにおいても早い段階で『HTTP/3（HTTP over QUIC）』が導入されることに期待ができそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書きました通り、以前にWordPressの更新が止まってしまう原因にてお伝えしたわけですが、新たにこんなケースもあることがわかりました。

WordPressの更新が止まる訳（続）

今回わかったケースでは、WordPress本体やプラグインの更新が途中で完全に止まってしまったというより、止まってしまったように見えるような現象です。

ダウンロードしている表示以降、完了しても一覧に戻るなどのリンクは表示されず、一見ダウンロード途中で止まっているように見えます。

このような現象が起きていた原因として、セキュリティソフトの存在があります。

単にセキュリティソフトが常駐していることがダメなわけではなく、ある特定のことを行っている場合に限ってです。

セキュリティソフトの中には、SSL/TLSのプロトコルをチェックする機能を搭載したものがあり、その中に、チェックを行う必要性のないWebサイトのSSL証明書を認識させておくことができるものもあります。

ここにWordPressを使っているWebサイトのSSL証明書を認識させておくと更新が途中で止まってしまっているかのように見える現象が発生します。

やはり、セキュリティソフトが搭載している機能は何らかの形で影響を与えるケースが多いですね。

同じ現象が発生している方、一度試しに認識させたSSL証明書を削除して更新を実行してみると正常な状態に戻ります。

ご参考までに。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

さて、多数のメディア報道にてご承知の通り、米英仏によるシリア空爆によってロシアとの対立が深まっており、これに関連し、ロシアからのサイバー攻撃に対して警戒するよう呼び掛けています。

世界のネットワークインフラが標的に

共同アラートでは、世界各国のルータ、ファイアウォール、ネットワークベースの侵入検知システムなど、ネットワーク機器を狙った攻撃を仕掛けているとされています。

政府機関、民間組織、基幹インフラプロバイダー、業界を支えるISP（インターネットサービスプロバイダー）が主なターゲットとなっており、スパイ活動支援、知的財産の取得、ネットワークへの常駐、今後の破壊活動の基盤固めを狙っているとされ、レガシープロトコル、弱いプロトコル、サービスポートなどを使って脆弱性のある機器を見つけ、ファームウェアやOSの改ざんなどを行っているとされています。

影響を受けるとされているのは、GRE（Generic Routing Encapsulation）、Cisco Smart Install（SMI）、SNMP（Simple Network Management Protocol）が有効になっている機器。

また、セキュリティ対策が不十分なままインストールされた機器、メーカーのサポートが終了し、パッチが提供されない機器なども悪用されているようです。

被害に遭う前にチェックしておきたいところです。

そのラボにおける活動の第一弾として、『日本国内におけるWordPressセキュリティの現状』の分析レポートが公開されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたラボが公開した分析レポートにおいて、WordPressへの攻撃（検出箇所）として以下のものが最多として書かれていましたのでご紹介します。

WordPressへの攻撃で最多のものとは

WordPressへの攻撃（検出箇所）で検出が最も多かったものは、『xmlrpc.php』というものです。

『XML-RPC』というのは、遠隔での呼出しを行うプロトコルの一種で、WordPressで言えば、通常の管理画面以外からの投稿を可能にするものです。

WordPressの場合、スマホアプリなどのXML-RPCを使った更新にも対応しているため、xmlrpc.phpというファイルが用意されています。

これが使用可能になっているとどうなるのか？

xmlrpc.phpをターゲットとしたDDoS攻撃などの被害に遭う可能性があり、それを受けた際にはサーバが高負荷状態でパンクしてしまうことにもなります。

つまり、アクセスできない状態にされてしまう恐れがあるということです。

では、これを避けるための対策法はどのようにすれば良いのか？

xmlrpc.phpファイルへの攻撃の対処法

WordPress3.5未満においては管理画面の投稿設定にxmlrpcを無効にするチェックボックスがあったのですが、WordPress3.5以降のバージョンではそれがなく（現在の最新は4.9.4）、デフォルトで有効な状態にあります。

その場合、一番簡単な方法は『.htaccess』でxmlrpc.phpへのアクセスを禁止してしまう方法です。

<Files xmlrpc.php>

Order allow,deny
Deny from all
</files>

と、記述を追加すればOKです。

どうしても特定のIPアドレスからのみ許可をしたい場合、

<Files xmlrpc.php>

Order allow,deny
Deny from all
Allow from xxx.xxx.xxx.xxx
</files>

と、赤字の部分を加えればOKです。

これ以外に、多少サーバへの負荷が残るものを考慮したいのであれば以下の方法が良いです。

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

というように、WordPressで.htaccessに設定される記述に赤字の部分を追加し、xmlrpc.phpへのアクセスを0.0.0.0にリダイレクトさせてしまう方法もあります。

ちなみに、プラグインを使って無効化する方法もありますが、プラグインそのものに脆弱性が見つかることもあるためお勧めではありません。

それは本当にブラウザ側のチェックだけによるものなのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

少し前あたりから、主要なブラウザにおいてHTTPSアドレスに対するチェックの強化が行われています。

そのため、SHA-1のSSL証明書を利用している場合であったり、コンテンツ内に非SSLコンテンツを使用している場合などにおいて警告表示がされます。

しかし、それらには問題がない場合においても警告表示が出されてしまい、閲覧したいウェブサイトが表示されないケースもあります。

セキュリティソフトの影響によるもの

昨今のセキュリティソフトには、SSL/TLSプロトコルをチェックする機能が搭載されていることが多いですが、そのSSL/TLSプロトコルのチェック機能がうまく反映されなかった場合においても『安全ではない接続』として警告表示されることがあります。

こういった機能は、セキュリティソフトによって各ブラウザの『信頼されたルート証明機関』であったり、『認証局証明書』部分にセキュリティソフト会社のものを追加させている場合があり、それで中継させてSSL証明書のチェックを行っていたりします。

このような場合、すべてのブラウザとメールソフトを終了させ、当該機能を一度オフにし、セキュリティソフトに設定を書き込みします。

その後、再度セキュリティソフトの設定画面を開き、もう一度その機能をオンにしてセキュリティソフトに書き込みします。

この動作を行った後、各ブラウザにて確認すると通常通り閲覧できるようになったりします。

ただし、これでもNGなケースがないわけではありませんので、その場合は当該機能をオフにしてブラウザにて確認をしてみることになります。

サイバー攻撃、インターネット犯罪が増加するばかりの昨今においては、セキュリティソフト側もさまざまなチェック機能を搭載するようになっていますので、少々複雑化していることは事実ですのでご注意ください。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今の時代、あらゆるところにインターネットに接続されたIoTデバイスが存在し、それが便利なものとして活用されています。

しかし、便利であることとは裏腹に、リスクも増加しているのです。

IoTデバイスに存在するもの

そんなIoTデバイスに存在するものとして、Telnetというものがあります。

Telnetとは、ネットワークに接続された機器を遠隔操作するために使用するソフトウェア、またはそれを可能にするプロトコル（通信規約）のことを言います。

このTelnetは、すべての通信を暗号化せずに平文のまま送信するため、セキュリティ的な観点から考えるとリモート通信方法としての利用は推奨できないものですが、多くのIoTデバイスにはそれが存在します。

そして、さらに悪いことに、これらのIoTデバイスへのログインIDやパスワードがデフォルト（初期値）のまま使われていることが多いという現状もあります。

※　ログインIDやパスワードは、デフォルトが公開されているものも多くあるため、必ず変更しておく必要がありますが、IDなどは固定化されてしまっているものもあるため脆弱です。

IoTデバイスにおいてすべきこと

IoTデバイスにおいて最低限やっておきたいこととしては以下のことがあります。

１．Telnetは原則止めておく（Telnetポートを閉じておく）

２．IDやパスワードをデフォルトから変更しておく

３．脆弱性修正やファームウェア更新は必ず行う

また、ある実験結果によると、IoTデバイスがマルウェアに感染してしまった場合に以下の方法で駆除に成功したという事例もあるようです。

１．IoTデバイスを再起動

２．主電源を切る

３．工場出荷時の状態に戻す

これを行うことによって駆除に成功したデバイスもあるため、万が一の際は行ってみるのも1つの手でしょう。

ただし、工場出荷時に戻した際は機器設定がデフォルトに戻ってしまうため、再設定を行う必要があります。