2021-12-23

キッズ携帯からスマートフォンへ

 一応、念のため、外出時には持たせていたキッズ携帯ですけど、ほぼ出番もなかったのでスマートフォンに変更しました。もちろん楽天モバイル。

未成年でも契約できるのかな?と不安を感じつつも手続きを進めたところ、すんなりと契約が終わりました。保護者の同意書も写真を撮って提出で申し込んだ翌日午後にSIMが届くという超特急開通でした。

未成年が利用するということで「あんしんコントロール by i-フィルター」の強制加入が条件となりましたが、これ・・・月額330円必要なんですよ。他社さんは無料だったりするのですが、さすがに1GBまで0円なので有料になりますよね。毎月払ったとしても他社より安いのでまぁいいか~と思ったけど、使い方を見てると不満爆発ですよ。

この機能、ホントざるで困る。総務省さんは形だけですね。
子供がネット上のトラブルに巻き込まれないようにフィルタリングに対応した専用ブラウザーとアプリ制御、利用状況の報告が可能なアプリをインストールさせるんですよね。

でもね。アプリ内のブラウザはフィルタリングされていないし、アプリ内課金も制御できていないんじゃない?大体、世の中のまっとうな企業のウェブサイトはスマートフォン標準のブラウザのみに対応していて、フィルター機能付きブラウザで正しく表示、機能するための対策は行っていませんよね。

それに、フィルタリングを確実にするために標準ブラウザの起動禁止ポリシーを設定しろって・・・とりあえず、通信事業者の提供するウェブサイトやサービスはすべて対応しているのか?って聞きたいよね。

本気に考えるなら未成年契約者用のAPNを用意してNW上でコンテンツフィルター動かしませんか?そしてWi-Fi接続時にはProxyを強制してちゃんとフィルタリングを機能させてほしいですね。

このソフトでよいなら、スマートフォン標準のペアレンタルコントロール機能でいいじゃん。
同等機能揃ってますよね。こっちのほうが抜け目なくて安心なんですけど~

というわけで、書類の郵送しました。300円の価値があることをちゃんと説明してくれれば利用してやらんでもないぞ~。

2021-12-16

SharePoint アイテム保管ライブラリをのぞいてみよう

Office 365 Advent Calendar 2021 の12月16日投稿です。

警告:


SharePoint Onlineをご利用の方にとっては普通?の機能ですが、SharePoint Server 2010以前から利用している方にとっては2013からの新機能「インプレース保持」で使われる「アイテム保管ライブラリ」をちょっとのぞいてみようという内容です。

Exchangeのインプレース保持とSharePointの保持は違うよ~

Exchange のインプレース保持はごみ箱から消えたメッセージを含むすべてを保持することができるのですが、SharePointでは対象外アイテムが存在しますし、編集についてはバージョン履歴に依存しています。また、情報管理ポリシーの「ごみ箱に移動する」が動作しなくなるなど利用者への影響もありますので注意が必要です。また、保持してることを内緒にしたくてもサイト管理者にはバレバレな点は認識しておかないとね。あとE3相当以上の方はExchangeは容量無制限ですけど、SharePointはしっかりと契約容量に含まれているので上司の方から説明のたびに叱られる可能性がありますね。

SharePointの保持は、Exchangeが連携して利用する大容量添付ファイル送信やTeamsメッセージの添付ファイルを保持する目的のために存在する機能なのかな~という感じがします。SharePointの情報調査や監査という意味では、バックアップ製品などでこまめに世代管理する必要があると感じます。


SharePointで削除されたアイテムは各サイトの「アイテム保管ライブラリ」にコピーされ設定期間保持されます。

各サイトというのがミソですね。しかも、サイト管理者から参照可能な場所に保持されるため、保持について理解のないサイト管理者はこのライブラリのアイテムURLを見ることができないユーザーに渡すなど困った行動を起こす可能性があります。

それでは保持を確認するために保持されるアイテムを準備します。
そうそう、アイテム保持ポリシーの対象にするのを忘れないでください。

2つのファイルを作成し、何度か編集した後に削除します。
ごみ箱に入っていますね。

サイトコンテンツを開くとアイテム保管ライブラリというリストが増えています。ライブラリではなくリストらしいです。
中身を見ると、2つのファイルしかないはずなのに・・・ファイルがたくさん・・・
リスト設定を確認してみると、バージョン番号とか元の場所などの列があります。
ビューを編集して表示列を変えてみると・・・
いつ、どこのファイルだったことが分かってよかったですね。
膨大な量のアイテムが保持されますので、目的に合わせてビューを複数作る必要があります。

リストの保持を見てみよう

リストアイテムはアイテム保持ポリシーではサポートされていません。保持ラベルを利用しましょう。(保持されてるっぽいけど…)
リストを作成します。
1月4日を消してみた。
ちゃんとごみ箱に入っています。
アイテム保管ライブラリにもありますね。
開いてみると…文字化け・・・
直接開かず文字コード指定ができる方法で開けばちゃんと表示されます。

バージョン履歴がこのファイルにまとめられて保持されてるとよかったんですけどね~残念です。

まとめ

  • Exchangeと違って全部を保持する機能ではないので注意
  • バージョン履歴が保持されるのはライブラリのアイテムだけ
  • リストはバージョン履歴は保持されないよ。削除したバージョンだけ
  • リストアイテムの添付ファイルはバージョン履歴の対象外だよ
  • ライブラリって言ってるけど種類はリスト。どう見てもライブラリ。




おまけ。コンテンツ検索でエクスポートしてみよう。

検索条件は場所でサイトを選択するだけで全部を対象にしました。
よい子のみんな、試すときは監査責任者など権限のある人といっしょにしようね。
ちゃんと保存できましたね。
エクスポートするとSharePointのフォルダー構成そのままが再現されます。
「PreservationHoldLibrary」ってのがアイテム保管ライブラリです。
サイトコンテンツの一覧を見るとアイテムの存在するライブラリやリストがちゃんと取得できていることがわかるね。アイテム数0のライブラリなどはエクスポートされないです。

SharePointフォルダー内のファイルの日付やURLはResult.csvに記録されているけど、削除元の情報は見当たらないのでSharePointで見たほうがすべてのアイテム情報を確認できるので、なんだかな~と。

というわけで、アイテム保管ライブラリという名のリストについて書いてみました。
よいお年を!!

2021-12-11

脱PPAPの動き

 脱PPAPって言葉が一般的になって、そろそろみんな忘れてるんじゃないでしょうか?

ところが脱PPAPって今が熱い!!

脱PPAPが始まって1年。やっと各社が新製品を提供できる準備ができた時期だからです。

ざっと見た感じ、PPAPを解決するというより、形を変えて本質的には解決していないな~と思った。

そもそもPPAPは効果が低くて受信側が面倒な仕組みだったので、「クリック一つで開ける世界」に戻さないとだめですよね。

  • せっかく暗号化してもパスワードを同じアドレスに送るので誤送信対策にならない
  • 添付ファイルを開くのに別メールのパスワードを探す必要がある
  • 過去のメールだとパスワードを探すのに苦労する
  • 展開後のファイルは保護されないので情報漏洩対策にもならない
  • 送信側は自動化しているので受信側の手間を全く考慮していない
PPAPのメリットってなに?
  • 圧縮機能を使うのでメッセージサイズが少なくて済む
  • アーカイブ機能があるので複数の添付ファイルを一つのファイルにまとめられる
  • チェックサムがついているのでファイル破損が検知できる
  • 展開方法が普及しているので困らない
これって添付ファイルのZIP圧縮によるメリットですよね。
PPAPのメリットを絞り出すと・・・
  • 誤送信してもパスワードが誤送信しなければ開けない
    • 自動送信だと確実に間違った受信者に両方届く
    • 2通盗聴しなければならないけど1通盗聴できるならすべて盗聴できている
      • 1通だけ盗聴できる方法を教えてくれ・・・
    • パスワード解析は時間が解決
  • 開くのに手間がかかるので、重要なファイルだと気づかせる
脱PPAPで実現してほしかったこと
  • 受信者はワンクリックで本文、添付ファイルを閲覧できる
  • 数十年昔の添付ファイルも開ける
  • 誤送信したときにメッセージを取り消す、開けないようにする
  • 誤送信に気が付いた時点でファイルでも開けないようにする
  • 送信側が受信者の手間を意識できるようにする
脱PPAPで残念なこと
  • 攻撃無効化対策なども考慮した結果、添付ファイルURLをPDFにしてしまった。
  • 添付ファイルを受け取るのにアカウント登録が必要
  • 添付ファイルURL開いたらワンタイムパスコードが届く
  • 受信者の手間が全く減っていない
こうなったらPPAP導入企業への報復ですよ。
暗号化されたZIPファイルが届いたら、送信者にURLを送信し、開いたサイトにパスワードを入力させて、複合化しコンテンツを検査するまで本来の受信者に届かないという仕組みを強い立場の企業や役所が導入して、PPAP製品の機能停止を促すしかないですよ。
もしくは、返信時はS/MIMEで暗号化するから公開鍵を要求するとかね。こっちは勝手ルールではなく世界標準なメール送信方法を採用しているので当然対応してくれるよね!!って。

PPAPを導入するような意識の高い組織は、きっと面倒でも受信者の要求には答えてくれるだろうから機能停止しなくても全く問題にはならないよね。

2021-12-04

PPAPのウィルス対策ソフトで検査できない!!の問題はZIPだけではない

PPAPの一般化によって「パスワード設定されたZIPファイルはウィルス対策ソフトで検査できない」も問題の一つとして一般的になったのでは?と考えております。

まぁ,都合の良いように危険なのはZIPだけって認知されているようですね。7z形式にすればいいじゃないって発言もちらほら・・・

ウィルス対策ソフトで検知できないファイルって世の中には数多く存在しますよ

リアルタイムのファイル検査機能に限定すれば,利便性を損なうような検査時間がかかるサイズのファイルは対象外だし,マイナーな形式,パスワードで暗号化されたファイル。極端な言い方すれば,実行形式とメジャーなスクリプトを含むファイル以外は検査していない。

フルスキャン機能だと検査時間のかかるファイルも検査されるようになります。それでも解読に時間がかかる暗号化されたファイルについては対象外だし,マイナーな形式はそもそも・・・

検査されないファイルについては利用時に検査すればよいという考えで補完されます。悪意のあるプログラムである以上,実行時にはコンピューターが実行可能な状態でメモリーに展開されるはずですし,悪意ある動作を行うはずなので,そのタイミングで検知し動作を制限すればよいのです。

じゃぁ,PPAPのウィルス対策ソフトで検知できないことは問題無いってなります。その通りですよ。多分PPAP問題の深刻さを訴えるために利用されただけなんでしょうね。

ウイルス対策機能を搭載したファイアウォールはほぼリアルタイムで検査する必要があるため検査できるファイルはさらに限定的です。

検知したと表示が出来るファイルサイズは20MB程度が限界です。それ以上のファイルだと検査しながらデータを通し検知したら遮断するためダウンロード失敗という見え方になります。

ZIP形式は2重圧縮非対応で含まれるファイルが100個までなどと制限があります。

そもそも暗号化されていないHTTP通信のみが対象です。

最近はHTTPSが普及して多くの場合暗号化された通信ですので検査できません。

フリーソフトの大手配布サイト「窓の杜」や「Vector」はHTTPSですので検査できません

まぁ,ファイアウォールもちゃんと考えていまして,HTTPSを検査できる機能が用意されています。どうやってるかというと,通常の通信はVectorとパソコンの通信を暗号化しているのですが,Vectorとファイアウォール,ファイアウォールとパソコンで暗号化通信を行っています。ファイアウォール内部で暗号化通信を分断することで検査できるようにしています。

End to Endの暗号化をぶった切っているのでユーザーは正しいサーバーに接続しているかは確認できないのです。しかも,この機能は従来の2倍以上の処理性能が必要ですのでファイアウォールを通過するすべての通信を対象にしていないかもしれません。そもそもこの機能を搭載していない可能性も高いです。

ウィルス対策ソフトで検査出来ないから危険というならHTTPSも検査できないので危険!!といえますね。

ざっくりと暗号化はリスクを高める原因です。HTTPSが危険です。はい。

個人的な意見だと,ウィルス対策ソフトで検査できないことよりも,不正なデータで不具合を起こすソフトウェアや不正な動作が実行できるシステムが危険です。

ファイルの読み書き,送受信はコンピュータの基本的な機能です。正常な操作なのか,不正な操作なのかを完ぺきに判断し,操作を制限できるならファイルを検査する必要はありませんね。

Windows Updateで品質更新プログラムが提供されるまでの期間を守るのがウイルス対策ソフトの役割だと考えています。

オープンソースのLinuxは安全だぜ!!って昔から聞きますけど、安全なのは脆弱性が公開されていない最新バージョンのみで、古いバージョンはどのような修正を行っているかもプログラム言語で公開されているので攻撃者としては攻撃方法が確立しやすいですよね~

本当は脆弱性が発見されて対策されていないシステムが危険なんですよね


TA-dmarc add-on for SplunkでExchange Onlineにアクセスしよう

TA-dmarc add-on for Splunk | Splunkbase  でExchange Onlineにアクセスしよう 2022年11月時点ではExchange OnlineのIMAPは基本認証が使えないはずですので、モダン認証(OAuth2)を使う必要があります。W...