名古屋商工会議所 会報誌 那古野5、6月号

↓クリックしてPDFファイルを別ウィンドウで開きます
P22_IT_5-6月_0325

名古屋商工会議所 会報誌 那古野3、4月号

↓クリックしてPDFファイルを別ウィンドウで開きます
P17_IT_3-4月_0127

情報を経営に生かすこととは

お金は企業の血液であり、情報は企業の神経であるという言葉を聞いたことがあります。

お金がなくなれば企業活動は停止し、情報活用が十分でなければ企業は機能不全になります。
特に、現代は経営環境がめまぐるしく変化していて、たくさんのサービスがあふれ、人々の嗜好が多様化しています。
このような状況下では、経営者は今よりも増して外部環境に五感を研ぎ澄ませて情報収集を行うことが求められています。
また、組織内部に対しては的確な指示伝達や情報共有によって、しっかりした戦略の実行と風通しの良い組織づくりが実現できます。
これらの活動にITという道具を駆使して、情報の量や質、時間的価値を高めていけば、経営により大きな力を与えることになるでしょう。

特に中小企業の強みは意思決定の早さ、フットワークの良さにありますから、判断と実行のスピードを高める情報化の効果は大きいはずです。

IT化の効用はこれだけではありません。
ITの進展は、ビジネスに”新しい方法”を次々と生み出しています。
例を挙げますと、インターネット販売は、中小企業にとって弱みだった企業の知名度や商圏、消費者との距離等を一気に克服する手段を提供しています。
SFAと呼ばれる営業支援システムは、今まで管理できないと考えられていた営業活動を管理し、その生産性を改善できる方法を編み出しています。
ハードやソフトの価格が下がり、性能が向上し、容量も大きくなったことから、いままでとても取り扱うことの出来なかった大量のデータを手軽に扱うことが出来るようになり、そしてまたそれらを分析する技術を無料で利用できるようになっています。
これにより中小企業においても、製造業では生産工程における品質データの保管・分析、小売店ではPOSデータを利用した消費者動向の特定等の場面で活用が進んできています。
IT端末の面では、直感的に操作できるスマートフォンやタブレット端末の普及により、これまでITが苦手でパソコンを触らなかった人も使ってみようかという気持ちになってきています。
これにより、現場に設置したのに全く使われていない問題児だったパソコンを、タブレットに置き換えたところ使われるようになってきたという事例も出てきています。

中小企業は経営革新を強く求められています。
中小企業の経営者の皆様は、日々どのように経営革新をしたらよいのか考えていることと思います。
企業のIT化は今までと違ったビジネスの手法を取り入れる、つまり「経営革新」の一手法になります。
もしもあなたの会社が積極的にIT化に取り組めば、まだまだ経営革新が可能です。

国内中小企業400万社がIT活用による経営革新に取り組んで、1%でも2%でもその経営力が向上したら、日本もまだまだ面白くなると思うのです。

wordpress:functions.phpの紛失

以下おぼえがきです。
————–
細谷です。お世話になります。
サイト復帰しましたのでご連絡です。
行った作業は以下の通り。
(1)/http/WordPress/wp-includesのfunctions.phpの内容を確認
 →入っていたものは、/http/WordPress/wp-content/themes/twentytenのfunctions.phpなので、全然別もの~。
(2)/http/WordPress/wp-includesのversion.phpでWordpressのバージョンを確認
 →3.3.1であることを確認
(3)Wordpressのサイトで3.3.1をダウンロード
(4)wp-includesのfunctions.phpをアップロード
これだけです。
なぜ、functions.phpが消えてしまったのかを探るために、どんな作業を行ったのか、教えてください。
—————————

★不正アクセスにどう対応するか

 不正アクセスに対してはどのように対応すればよいのか。

 前回の不正アクセスとはなにかのところで、「最低限の対応」と書きましたが、それはいったいどういうものかについて書いていきたいと思います。

 情報システム管理者の立場から考えます。
 まず、情報システム管理者が情報システムを立ち上げる時には、ハードウェアとソフトウェアの両方を調達します。このときに関わる人としては、大雑把に、ハードウェアそのものの設計者や製造者、ハードウェア構成を設計するシステムエンジニア、ソフトウェアを設計するシステムエンジニア、ソフトウェアを製造するプログラマーです。
 この中で一番スキルが低そうな人は誰でしょう。

 プログラマーさんです。
(ごめんなさい。あなたのことではありません。一般論です。)

 セキュリティホールはシステムの脆弱な部分です。システムを作るときの脆弱な部分はここに発生しやすいと言ってよいと思います。乱暴な論理かもしれませんが、ハードウェアは大手メーカーで作られているのがほとんどであり、その設計者や製造者がスキルが低いとは思えません。そして、もし低いとしても手が届きません。

 とにかく、「最低限の対応」とは、この部分の信頼性をチェックすることとなります。
 この先は技術的なややこしい話になります。Web上にいくらでも情報はありますので割愛しますが、ソフトウェア的な不正アクセスへの対応については、フレームワークを活用することである程度は防ぐことができます。簡単にいうとフレームワーク上でPOSTGETに対しサニタイジングをしてくれたりなどです。しかしながら、特殊なケースでは自動では対応してくれないのでプログラマーが意識して不正アクセスに対するライブラリをプログラム上で使うことが求められることがほとんどです。

 信頼できない場合は、Webアプリケーションファイヤウォールの設置をお勧めします。最近は価格がかなり下がってきているようです。ちなみに、Webアプリケーションファイヤウォールは、一般的なファイヤウォールとは異なります。一般的なファイヤウォールやIDS、IPSなどは、アプリケーション的には効果がありません。

 そして、個人情報や企業の機密事項は必ずアプリケーションの上でコントロールされるものだということを認識する必要があります。OracleやMSSQLのDBサーバの脆弱性を語る前に、するべきことなのです。

不正アクセスとはなにか

 今年のゴールデンウィークに報道された、ソニーのプレステ不正アクセス事件は記憶に新しいです。7000万人を超える?個人情報が流出した事件です。内部とも外部とも言われていますが、どちらにしても、ユーザーアカウントの漏えいから発生しているということです。ソニーは直ちにハードウェア、ソフトウェアおよび運用の3方面からのセキュリティ強化策を行うことを発表しています。

 不正アクセスには、それを禁じる法律があります。そのまま、「不正アクセス禁止法」です。その中では、第3条に禁止されている行為が規定されています。
https://www.ipa.go.jp/security/ciadr/law199908.html

 そもそも不正アクセスは誰がやるのかについては、ハッカーとかクラッカーとか呼ぶ、外部の人を基本的に想定しています。しかし、実際の例では内部の人間が多いようです。情報漏洩事件についても、外部に渡ったきっかけは内部の人間の手助けによるものという事件が多いです。7月初めころのソフトバンクの電波の事件は内部の人間の犯行です。(犯行と言っていいんですよね。タイホされたのだから。)

 どんな手口が多いのかについては、相変わらずSQLインジェクションが多いようですね。もう、10年前の話のような気もしますが。

この不正アクセスをされると、以下の困りごとが発生します。
・サービスが使えなくなる
・データが盗まれる
  ・会社の機密情報を盗まれる
  ・個人情報が漏えいする
・データが壊される
・アカウント(個人ID)を他人に使われる
  ・ネットでいろいろなものを買わされる

 ですから、コンピュータシステムは防御策を施す必要があります。それは、ハードウェア、ソフトウェア、運用の3方面から行う必要があります。

 ハッカーという言葉がありますが、これは悪い意味ではありません。ハッカーという言葉は、通信関係の専門家という意味合いがあるそうです。悪いことする人は、「クラッカー」と呼びます。クラッカーに狙われると、とてもじゃないが普通は防御できないと言われています。国を代表するようなプロフェッショナルじゃないと対応できないそうです。

 それなら防御策を講じてもしょうがないじゃないか、と思うかもしれませんが、クラッカーはある特定の価値あるサーバーを狙い、あなたのサーバーなんか狙いません。外部の不正アクセスのほとんどは、「スクリプトキディー」と呼ばれる、そんなに対したことのない、普通の人達の手によるものなのです。

 私も、スクリプトキディーだった時があります。何をするかというと、あまり言ってはいけないのかもしれませんが、世の中には色々なクラッキングツールが落ちており、これを興味半分で使ってクラッカーのまねごとをするのです。ソフトウェアアーキテクチャやネットワークの基礎を勉強している人なら割と誰でも使えると思います。

 とにもかくにも、そういったツールを使って安易にクラッキングを仕掛ける人たち向けに最低限の防御策を講じることは必ず必要です。
 特に、サーバー上に個人情報や会社の機密情報を保持する場合は、絶対に必要です。いまやクラウドの時代、データがどこに保存されているのか分からないながら、情報セキュリティ担当はベンダー任せにしないで管理出来るようにする必要があります。

無料クラウドストレージサービスについて

Google Driveが2012年4月に利用開始されました。
無料ドライブは5GとDropboxの2Gより大きいです。

対抗するマイクロソフトのSkyDriveは、4月末に同期ソフトの運用開始です。
容量は25Gから7Gに減少したものの、DropboxやGoogle Driveと同じように使用できるようになりました。

また、SkyDriveは20Gの容量追加なら800円/年と、他を圧倒して安いです。
100Gの追加でも年間4000円と、Dropboxの99.99$やGoogle Driveの59.88$よりも安いです。

ストレージクラウドは容量を大きくすることで課金するビジネスモデルですが、サービスの併設で無料で多くの容量を使うことができます(^^;)

ただし、常駐する同期アプリケーションは使用容量に応じて、メモリ使用量が多くなるので、パソコンがとても重くなることに注意して下さい。

Dropboxで35M、Google Driveで100M、Skydriveで50Mは私のPCでの動作状況です。(全て容量ほぼ満タン)
Google Driveは他に比べてメモリ効率が悪いようで、私はDropbox+SkyDriveの併設でしばらく使用してみます。

全てのストレージサービスは、iPhone, iPad用のアプリケーションが提供されているので、これらの端末からでもアクセスできます。

ところで、
クラウドを利用したストレージの永遠の課題は、以下の部分の不安をどう克服するかにあります。

★データがどこにあるのかわからない不安
★流出して機密漏洩しないかの不安

これに加えて、昨年のDropboxやGoogle Docsの漏洩事件、ストレージサービスではないですが、ファーストサーバーの障害など、まだクラウド上に保存されたデータの機密性、保全性が危うい状況にあります。

まだ成熟期に至っていないシステムであり、企業の信頼を勝ち取っていくためには、実績が大事になるため、技術の進歩と裏腹に時間がかかると思われます。

でも、こういうことを斜めに見て、何もしないのは一番良くないことです。
3.11以降、社内にストレージサーバーを持ちバックアップを取っていても意味がないことはよくお分かりだと思います。
クラウドストレージサービスの動向に目を向けてまいりましょう。