皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

なかなか先が見えない状態にある『新型コロナウイルス感染症』ですが、今の段階では人が集まるところには行かないことが自身のためのみならず、全体のためでもあることは言うまでもありません。

それらを考慮し、『テレワーク（在宅勤務など）』を実施している企業が増えてはいますが、この部署だけは結構ハードルが高いとも言えます。

紙の書類はテレワークを不可能にする

今、中小・零細企業、小規模事業者においても『テレワーク（在宅勤務など）』を実施している事業者はありますが、その中でもそれを実施するのが困難な部署もあります。

経理部門です。

理由は簡単で、未だに『請求書』などの『紙の書類』を扱うことが多いからです。

しかし、これは解決できない問題でしょうか？

逆に言えば、今がそれらを変える良いチャンスかもしれません。

『請求書』はあればいいわけですから、取引先からPDFなどにして電子的に送信してもらえば済む話です。

もし慣習的な問題を止められないというのであれば今の時期だけでも一時的に変更してしまうことは可能なはずです。

これは従業員の経費精算などにおいても同じです。

『ワークフローがないからできない』などというのは単なる言い訳に過ぎず、それに代わるもので当面対処すれば良いだけの話ではないでしょうか。

通常は各従業員が紙に記入して押印し、上長に承認してもらった後に経理に回されるという流れであるならば、その紙はおそらくExcelなどのフォーマットは存在するはずです。

それを各従業員が電子媒体で所持し、入力したものを上長に電子的に送信する。

そして上長が承認したら経理担当者に電子的に送信する。

このようなことを行い、出勤しなければどうにもならない日数を減らすことは可能です。

つまり、出勤日数が減少した分リスクは軽減できるわけです。

『実施できない理由を探す』より『実施できる方法を探す』ことを考えてみてはいかがでしょうか。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

1月26日、日本国内4例目の『新型コロナウイルス』に感染した患者の発生が確認されました。

それを受け、インターネット国内最大手の『GMOインターネット』が大規模な在宅勤務に踏み切りました。

GMOの在宅勤務体制は正解に思える

今回のGMOインターネットの判断は個人的には正解だと思えます。

中国からの観光客が多い都市においては一定のリスクがあると考えたのでしょう。

在宅勤務であれば中国人観光客と接する機会はないでしょうから、万が一にでも感染してしまうよりはマシであるということに思えます。

こういったことには個人的に賛成です。

今の時代は通信インフラがかなり整備されていますので、体制が整うのであれば業種によっては在宅勤務は大いにありです。

そういった観点から考えると、GMOインターネットは業務的にもそれに向いている業種でもあります。

ただし、当然ながら外部から内部管理のサーバーなどにアクセスすることも出てくるわけですから、それなりの環境構築も必要です。

そのようなことも含め、GMOインターネットは何年も前から社内体制を整え、訓練も実施してきたようです。

過剰な反応は良くないかもしれませんが、冒さなくてよいリスクだけに今回の措置には賛同できます。

他の企業においても検討されると良いかもしれませんね。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

数日前でしたでしょうか。あるアナリストが、『Office365』などの巨大プラットフォームに単一依存するのはリスクが高い、といった記事を見ました。

今日はそれに関して触れてみたいと思います。

クラウドサービス依存のリスク

日本においては今まで大きく報じられてこなかったのかもしれませんが、海外においては『Office365』などのサービス障害は増加傾向にあるようで、障害発生時には『管理コンソール』などにもアクセスできなくなることも起きているようです。

アナリスト曰く、

最近は盲目的に「クラウドは安全」「クラウドは止まらない」など過信されることが多いのか、マイクロソフトやアマゾンといった巨大プラットフォームに依存しようとしするシステム管理者が増えてきているように思う。それは非常にリスクを高める行為であると考える。

これは同感です。

以前、お付き合い的な要素もあり、テスト的に1年か2年程『Office365』を使ってみたことはありますが、結局のところ無用の長物に近いものがありました。

個人的にはあまり『クラウドサービス』というものを信用していないのかもしれません。

『日本で一番安全なのはMicrosoft（マイクロソフト）のデータセンターです！』と聞かされたこともありますが、100%賛同できるかと言えば答えは『No』です。

重要なのは行動パターンではないでしょうか。

それによっては『クラウドサービス』を使わなくても良いかもしれませんし、仮にそれを利用するにしても、やはり予備プランは必要かと思います。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

サイバー攻撃、以前は大企業が中心であったのに対して最近では『中堅中小企業』がターゲットになっていると言われています。

それにはこんな理由があるようです。

ターゲットは中堅中小企業へ変化

昨今、『中堅中小企業』がターゲットになっているのは時代の変化が影響しているされています。

１．攻撃者の目的がお金に変化

２．仮想通貨の発展による『ばらまき型メール』の増加

３．攻撃失敗による攻撃先のシフト

この3つが影響しているようです。

そして、『中堅中小企業』には複数の弱点があるともいわれています。

１．セキュリティが脆弱

２．人間がセキュリティホール

３．攻撃に気づかない可能性が高い

４．セキュリティシステムが古い

５．物理セキュリティが存在しない

６．重要な資産が存在する

７．サプライチェーンリスク

確かにそうかもしれません。

大企業のようには投資できないでしょうし、十分な社内教育もできないことなどから必然的にそうなってしまいます。

何とか可能なことは行いたいものです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたようなことは百も承知かと思いますが、この『PHP』で開発されている『WordPress』サイトで使われている『PHP』の現状は少々驚くべきものがあります。

WordPressサイトの多くは非推奨PHP

まず、『PHP』が使われているWebサイトで見てみると、

『PHP 5』が未だに約66%も使われており、『PHP 7』は約33%に留まっています。

（『PHP 4』や『PHP 3』もごくわずかに存在している。）

そして、これを『WordPress』で構築されたサイトで見てみると、

・『PHP 7.3』：8.2%

・『PHP 7.3』：8.2%

・『PHP 7.2』：21%

・『PHP 7.1』：13.4%

・『PHP 7.0』：15.4%

・『PHP 5.6』：27%

・『PHP 5.5』：3.3%

・『PHP 5.4』：6.3%

・『PHP 5.3』：3.8%

・『PHP 5.2』：1.6%

（WordPress公式分析より）

となっています。

『PHP 7.3』は未だに1割にも満たず、『PHP 5系』を使っているユーザーは未だ4割以上も存在します。

しかし、現在の『WordPress』公式要件はと言うと、

・PHPバージョン7.3以上

・MySQL バージョン 5.6 以上、または MariaDB バージョン 10.1 以上

・HTTPS対応

です。

『PHP 7』は『PHP 5.6』と比較して圧倒的に高速になった『ハイパフォーマンスPHP』バージョンなため、パフォーマンスを考慮すべき現在のWebからすれば『PHP 7』にしない方がデメリットと言えるほどです。

また、既にサポートが終了している『PHP 5系』と『PHP 7.0』を使い続けることはセキュリティ的にもリスクがあります。

私が見ている限り、日本国内のよく知られたホスティング会社の多くは『PHP 7.3』に対応しているはずですから、早い段階で『PHP 7.3』ベースに切り替えられることをお勧めします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

2020年1月14日にサポートが終了する『Windows 7』ですが、Microsoft（マイクロソフト）がこんな施策を行ってきています。

Windows7のサポート終了通知を表示

今回配信されている『Windows 7』向けのパッチ『KB4493132』において、『Windows 7』は2020年1月14日にサポート終了となり、セキュリティ更新やバグ修正などのサポートが受けられなくなる通知を表示します。

この表示は2019年4月18日～2020年1月15日まで表示されます。

いよいよ『Windows 7』終了も最終段階に入ってきました。

このままセキュリティ更新やバグ修正などのサポートがなくても『Windows 7』は継続使用できますが、その分リスクを負って使用することになりますので早めに『WIndows 10』にシフトした方が賢明でしょう。

サポート終了後にどうしても『Windows 7』を使用せざるを得ない場合、他に影響を及ぼさない状態（ネットワークから切り離すなど）にするなどの配慮が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

さて、この『Password Checkup』とは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは？

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考：『Google Security Blog “Protect your accounts from data breaches with Password Checkup”』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ホームページサイトなどにWordPressを使われている方、プラグインはどれくらい使われていますか？

それは何のために使われていますか？

WordPressのプラグインが不要な場合

昨今、ホスティング会社もハードウェアの仕様をかなりパワーアップさせています。

例えば、最新のCPU、大容量メモリ、SSDなどを採用するなどし、サーバのパフォーマンスアップを行ったりしています。

また、WordPressユーザーなどのためにPHP7系統への対応も積極的に行われるようになっています。

これらのことから言えるのは、従来、WordPressなどのツールを使ってホームページサイトなどを構築していた場合、パフォーマンス改善のために使われていたCDNやキャッシュ系のプラグインが不要とも言える環境が整ってきていることです。

つまり、それらのプラグインを使わなくても従来プラグインを使っていた時以上のパフォーマンスが得られるということです。

逆に言えば、パフォーマンス改善を目的としたプラグインを継続して使ったとしても思うほどの効果は得らない可能性があるとも言えます。

これらのことを含め、米国のあるホスティング会社ではこういったプラグインを自動的に削除したりもしているようです。

WordPress本体と同様に、プラグインはリスクを伴います。

そのプラグインに脆弱性があれば攻撃を受ける可能性もありますし、無駄にプラグインを多用していても高負荷になるだけの場合もありますから、効果が見られないのであれば使わない方が良い選択とも言えます。

一度自社（自店）の環境をチェックし、効果がなさそうなものは外してみるのも良いのではないでしょうか。

しかし、それは連鎖を避けただけで、単独では情報漏えいは起きています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

オンラインサービスから情報漏えいが起きた場合、そこに登録されているメールアドレスやユーザーID、パスワードなどの情報が流出することになります。

しかし、それは知らない間に起きていることも多く、パスワードの使い回しなどを行っている場合は他のサービスでもリスクを抱えることにもなります。

そのため、自身の情報がどこで漏えいしているかは把握しておく必要があるとも言えます。

アカウントの情報漏えいを確認する

あるサイトにおいて、不正侵入などによるアカウントの侵害があったサービスがあるかどうかを調べることができます。

『have i been pwned』というサイトです。

このサイトでは、メールアドレスを入力するだけで、どこのサービスで、いつ、何が原因で、どのデータが侵害されたが確認できるようになっています。

例えば、以下のように表示されます。

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
（Dropbox：2012年中頃、Dropboxは数千万の顧客の保存された資格情報を公開するデータ違反を被った。 2016年8月には、危険にさらされていると思われる顧客のパスワードリセットを強制しました。合計6800万件を超える大量のデータがオンラインで取引され、電子メールアドレスとパスワードの塩漬けハッシュ（SHA1の半分、bcryptの半分）が含まれていました。）

Compromised data: Email addresses, Passwords
（侵害されたデータ：電子メールアドレス、パスワード）

このようなものが見つかった場合、そのサービスに登録されている情報の見直し（場合によっては退会）、他のサービスでも使いまわしているパスワードがあれば他のサービスに登録されている情報の変更など、相応に措置を施しておく必要があります。

また、ここ最近では『have i been pwned』が提供しているデータを使い、Mozillaが公開しているチェックサイトも登場しています。

『Firefox Monitor』というサイトです。

どちらでも構いませんので、一度チェックしてみると良いでしょう。