ネットワークセキュリティーは戦わずして勝つ!!

最近ネットワークのお仕事やってないなぁ~なんて思ってしまって、愚痴っちゃおうかなぁ~なんて思いました。


一般的にインターネットと社内ネットワークや家庭内ネットワークの境界にはファイアウォールを設置するとセキュリティー面で安心という仮説があります。


ファイアウォールもUTMという部類で、攻撃検知やウイルス対策、URLフィルタリングなどの検疫技術を使って通信の内部も監視しよう!Palo Altoをはじめとする現代の(次世代)ファイアウォールではHTTP/HTTPS通信の中身を監視し、アプリケーションを認識して適切な通信規制を行うことで、よりセキュアな通信を可能とする製品が広がってきています。


でも、この辺の製品を使ったら安心だなんて思わない方がよいと思います。
攻撃者は利用可能な方法を活用して攻撃してくるわけで、どの企業においても、ほぼ例外なく許可するHTTP通信をつかって攻撃します。だから次世代ファイアウォールではHTTP通信に特化した制御を行おうとしているのです。


とはいえ、攻撃者はHTTP通信のなかでも許可された通信を使って攻撃をしようと頑張っていますので、最終的には信頼できる相手以外との通信は拒絶する必要があります。でも、インターネット上ではなりすましという技もありますので、本当に信頼できる相手なのかの確認をする必要があって、そのレベルまで行くと、信頼できる企業同士を専用線(または信頼できる閉域網)で接続する以外、方法がなかったりします。


ではそんな専用線通信しかしない企業に対し、攻撃者はどうするかといえば、社員になりすます。なりすますのが無理なら社員として堂々と潜入するのです。


このレベルで攻撃された場合、ネットワーク技術者として対抗する手段はありません。だって、相手は正社員であり、正規にアクセス権を保有する人間なので、不正アクセスではなく、業務上必要なアクセスということになります。


では、正規にアクセスすることができる社員に対し、いかに防御するか?というと、社員の行動を監視し、記録を取って、悪事を働いた際に犯人捜しをしやすい環境を作るということになります。


そりゃクリック操作などのアクションごとに画面を保存し、キー入力も記録、Webカメラ内蔵なら定期的に操作者の写真を保存。GPS付なら座標情報も、電話や会話もすべて録音。ありとあらゆる情報を取得し、保管するわけです。
プライバシーなんてありませんよ、業務すべてを監視する必要があるわけです。すかしっぺの回数や行った時間もすべて監視します。だって、すかしっぺでモールス信号やって情報漏えいを行う輩だっていないとは言い切れないでしょ?排泄物だって保管対象ですよ。カプセルに仕込んだ記憶媒体を排泄物に混入させ、下水処理場で待つ仲間に渡すことだって不可能ではない。


で、ありとあらゆる方法で社員を監視したとしても、監視システムを操作できる情報システム室の社員は故意に監視対象外にしたりすることができるので、彼らを監視する監視者が必要で、その監視者も必要、って無限に監視体制が必要です。



「絶対に安全」なんて絶対に不可能です。



じゃぁ、どうすればいいのよ!!と思うのですが、
簡単な方法は、盗む価値のある情報を保有しない。


これが一番ですね。すべての情報を公開し、価値をなくしてしまう。
公開されていれば、攻撃する必要がないし、防御する必要もない。
知りたければ公開されている情報を参照すればいいのです。


秘密がなければいいのです。



もしくは・・・・



秘密を保有していることを悟られない。


いかに攻撃対象にならないようにするか?
これこそ最大の防御ですね。




攻撃者の目的がセキュリティー対策費の増加だった場合、対策を行った時点で負けなんですよね。


攻撃者は目的を達成しているのですから。



Project Sienaで遊ぶ 第5回

お久しぶりです。Project Sienaで遊ぶ第5回目です。

今回は、先日バージョンアップでVisualsにHTML Labelが追加されたことで、まともなBlogビューアーに進化することが出来ましたので、その報告です。

手順的には第1回の続きになります。「Custom Gallery」に「Label」を追加し「Title」などブログの要素をお好みに合わせて追加していきます。






そして、ここで新機能「HTML Label」を追加し、HTML TEXTにBodyを指定します。HTML Labelは名前通り、HTMLを扱えますので、画像やリンクも表示されます。






では、プレビューを見てみましょう。
画像もリンクも表示されるようになりました。

見た目的には完成っぽいですね~





そのほかにも、機能が追加されており、今までできなかった表現も簡単に実現できるようになったようです。特にSNS連携はアピールポイントになるんでしょうね~


筆の選択に悩む

Lotus Notesなら簡単なスクリプトで実現できることを、SharePointで実現しようとすると、いろいろ難しいですね。


ってのは、言い訳みたいなところもあるけれど、こだわりというか・・・自分でブレーキをかけているのは分かるんですけどね~


ノーツって一つの掲示板を作るために、デザイナーツールを使う必要があって、このツールが最上級の機能を提供しているため、利用者の能力によって様々な掲示板というかアプリケーションを作ることができる。これはとってもいいことで、ちょっとこの項目を右に寄せたいよな~なんて思ったら簡単に実現できるし、この項目は○○のデータを引用して加工して代入することもできる。だからいつの間にか多機能な掲示板に発展(暴走)してしまう。


それに比べ、SharePointはWeb設定、SharePoint Designer、Visual Studioの3つから選ぶことになる。Web設定だけで実現できることは限られているので、必要な項目を追加、変更することは出来ても、プログラミングみたいなことはできないから、暴走してしまうことはあまりない。


基本機能で満足できない時にDesignerを使うことになるんだけど、Designerでカスタムフォームを作っても、Web上で列を追加したり変更したりすることができるので、フォームに存在しない列が出来たりすることがある。


だから、フォームのカスタマイズはあまりしない様にしたいなぁ~という意識が生まれてくる。


ノーツで当たり前のようにやってたフォームの編集や@関数だと書くの大変だから、Lotus Scriptで書いちゃえ!!みたいなことが、やったらダメ!!みたいな感じになって、自分の首を絞める。


ノーツだったらもっと早く、簡単にリリース出来ているよなぁ~と比べてしまい自己嫌悪。


「選べる」ことはいいこと反面、「選択が必要」なので、いろいろ考えてしまってなかなか前に進めない。



優柔不断な人間にとって、選択するって大変なんだよ~



とりあえず、SharePoint はDesignerで設定したリストはWebで設定できない様にロックをかけてくれるとありがたいなぁ~と思うのでした。




Microsoft Entra Connect Cloud同期のお勧め属性マッピング

ハイブリッドID構成の設定で必須設定じゃないかな~というやつを備忘録的に投稿しておきます。個人的な推奨値なので実際に設定する際は十分な理解と検証を心掛けてください。そのまま利用して不具合が発生しても責任はとれません。 Microsoft Entra Connect によって同期さ...