呑んべえ柴やんのセキュリティABC

情報漏洩を防ぐ大人の嗜み

ランサムウェアでもウイルスでもセキュリティ対策の基本は変わらない

すごく親切そうな笑顔で頼みもしないのにバシバシ写真をとりまくって、お金頂戴ってパターンは初めての海外旅行で体験することかも知れません。

最近似たようなありがた迷惑な話がなんとパソコンの世界でとうとう日本人を標的にしたケースが流行りつつあります。ちなみにウィンドウズでもマックでも被害事例あり。

本日の大人の嗜み

・なんとかウェアでも関係なく、まずはパソコンソフトの最新化が一番の予防策
・万一の復旧策としてはシステムやデータのこまめなバックアップをとっておく


ソフトウェアの中にはアドウェアとかランサムウェアとかありがた迷惑なソフトウェアがたくさん存在します。

最近国内でも流行りつつあるランサムウェアの定義については下記を参照していただくとして。

マイクロソフト社(ランサムウェアとは何ですか?)

・IPA6月の呼びかけ「 パソコン内のファイルを人質にとるランサムウェアに注意! 」
~ メッセージが流暢な日本語になるなど国内流行の懸念 ~

ランサムウェアの感染経路

ランサムウェアに感染してしまうパターンとしては大体2種類の手口となっています。
・改ざんされて不正なプログラムが埋め込まれたWEBサイトを閲覧することで感染
・電子メールに添付されている不正なプログラムの実行

ランサムウェア感染の原因

OSやウイルス対策ソフトのパターンファイル、またはadobe flash playerや同acrobat reader、java等の各種のソフトウェアが最新でない為にソフトウェアの欠陥を突かれてよからぬソフトウェアをインストールさせられてしまうことにあります。

ランサムウェアの予防対策

・OSやシステムファイルの最新化(windows update等による自動更新的が推奨)
・既知のウイルス対策ソフトのパターンファイル最新化(自動更新が推奨)
・OS以外の各種ソフトウェア(自分で最新版が提供されていないか確認して導入)

ちなみにIPAが提供しているツールを活用するとウインドウズパソコンを対象に自動更新されないソフトウェアのうち不正アクセスなどに悪用される弱点が多く発見されるソフトウェアの主要なものについて最新版が導入されているかをチェックすることができます。

※「MyJVNバージョンチェッカー」

「MyJVNバージョンチェッカー」は下記URLからダウンロードできます。
http://jvndb.jvn.jp/apis/myjvn/vccheck.html


** ランサムウェア感染時の復旧対策
日頃からOSやシステムファイル、そして各種のソフトで作成された必要なデータについてバックアップを取得しておくことは、ウェブサイトの改ざんに対する復旧のみならず、ランサムウェアによってパソコンが使えなくなった場合にも有効な復旧策となります。

基本的にどんなソフトウェアでもインストールするのもアンインストールするのも自己責任ですが、使っていないソフトウェアは削除するとともに、使っているソフトウェアについては最新版が提供されていないか確認すること、システムやデータなどのバックアップを取得することが大切な習慣となります。

まとめ

とにかくソフトウェアの最新化とバックアップはランサムウェアのみならず○○ウェアの感染予防と感染復旧に有効です。


さてさて実質的に入梅したようなもんだと勝手に思って、今夜はジンで一杯とするかな! それではまた来週!?

教えて欲しいものだなグーグルアナリティクスに現れる顔文字の意味を

f:id:BighelpSecurity:20150601114133j:plain
大漁だと確信した潮干狩り、台所で選別したら中身のない貝殻だけが結構混じってて酒蒸し二皿分くらい晩酌のアテを損した柴やんです。

さてブログの立上げから数ヶ月。気持ちに余裕が出てきたのでそろそろグーグルアナリティクスとやらでアクセス解析でもしてみるかと考えている方に向けて。

本日の大人の嗜み

・自社ウェブサイトが対象とするお客様を特定することで不要なアクセスを制限しデータ解析の精度低下や無用なアクセス負荷で被るSEO対策上の損失リスクを防止しよう。

グーグルアナリティクスに表示される不要なデータ

自社のウェブサイトに訪れてくるのはあなたのウェブサイトに興味がある人だけではありません。他人が特定のウェブサイトへ故意に誘導させる目的でそのウェブサイトのURLを足跡のように残す場合も少なからずあるからです。

俗に言うリファラースパムと呼ばれるものや検索キーワードスパムと呼ばれているもので不要で迷惑なアクセスです。なおリファラースパムの意味については、ググってもらえば分かると思いますので割愛します。

リファラースパム等対策

実際に自社のウェブサイトにアクセスしてくる場合と実際には自社のウェブサイトにアクセスしていない場合とで区別します。

実際にアクセスしてくる場合の一つ目はそもそも不要な訪問者を自社のウェブサイトにアクセスさせないという考え方で.htaccessファイルが使える環境の場合となります。

リファラースパムの多くは主として海外からのアクセスなので各国に割り振られているIPアドレス、ホスト名あるいは言語設定などを参考に海外からのアクセスを制限する方法です。

※国内利用者のみを顧客と想定するウェブサイトで.htaccessが使える環境の方は下記URLにて、日本に付与されているIPアドレスだけを現時点でまとめたデータをダウンロードして自社で設定している.htaccessファイルに追加してください。

二つ目は既にグーグルがスパムとして識別しているものについては記録しないように自動的に除外してもらう方法です。

グーグルアナリティクスの「アナリティクス設定」→「ビュー設定」→「ボットのフィルタリング」の直下にある「既知のボットやスパイダーからのヒットをすべて除外します」の隣にあるチェックボックスにチェックを入れてから「保存」を押すことで有効になります。以後既知のボットのアクセスは記録されなくなります。

ただし既知のスパムのみに効力を発揮するもので、新たに現れたスパムについてはグーグルが認識するまでの間は除外することはできません。

三つ目は新たなスパムを対象とした手動での対策になります。
グーグルアナリティクスの「フィルタ」を活用してスパムのIPドレス、ホスト名または言語設定(特定の言語名が設定されている場合もあるが、通常は“not set”が多い)などをフィルタのキーワードとして除外対象とし、以後解析データとして記録されないようにする方法です。

さて、次は実際には自社のウェブサイトにアクセスしていない場合ですが、例えば「集客」→「キャンペーン」→「オーガニック検索」で検索キーワードを表示させた場合に、こんなのが表示されていませんか?

vitaly rules google ☆*:.。.゚゚・*ヽ(^ᴗ^)丿*・゚゚.。.:*☆ ¯\_(ツ)_/¯(•ิ_•ิ)(ಠ益ಠ)(ಥ‿ಥ)(ʘ‿ʘ)ლ(ಠ_ಠლ)( ͡° ͜ʖ ͡°)ヽ(゚д゚)ノʕ•̫͡•ʔᶘ ᵒᴥᵒᶅ(=^. .^=)oo

これは検索キーワードスパムなどと呼ばれているものであり、海外記事ですが同じ悩みを抱えるユーザが対策方法として活用している記事を紹介します。

上記のvitaly rules googleを対象としたフィルタ設定の具体的な手順ですが、グーグルアナリティクスにログイン済みの状態で「アナリティクス設定」をクリック。
次に縦3列で項目が表示される画面で一番右列の中盤にある「フィルタ」をクリック。

フィルタ設定画面の上部に赤枠で表示されている「新しいフィルタ」をクリック。
「フィルタ名」は任意、例えば「vitaly rules google」とし、「フィルタの種類」は「カスタム」、「フィルタフィールド」は「キャンペーンのキーワード」を選択、「フィルタパターン」に「vitaly rules google」のみを指定して画面一番下の「保存」をクリックでOKです。指定キーワードを含むものを意味するので顔文字まで含める必要はありません。

そして最後の四つ目ですが、フィルタ設定以前に記録されている各種スパムのアクセスを含まずに純粋なアクセス解析を行なう方法です。

詳細手順は別途調べていただくとして、グーグルアナリティクスのアドバンストセグメント機能を使って、自分のドメイン参照元とするトラフィックのみを抽出することでスパムを含まない純粋なアクセスデータを解析することができます。                   

ちなみに、今年の4月後半に開設した当ブログのアクセスデータに対してアドバンストセグメントを適用したものとそうではない統計データの比較実例を恥ずかしながら公開します。これもリファラースパム等の迷惑度合いを見て感じてもらいたいが為。。。

f:id:BighelpSecurity:20150601130534p:plain

いかがでしょうか!?
・全体セッション100%のうち純然たるアクセスは44.45%、つまり55%が不要なアクセス。
・ユーザについては3倍弱の水増し!
・ページビューは2倍の水増し!
・平均セッション時間は二分の一弱に低下!

開設して2ヶ月弱の当ブログでもこのありさまです!!
いかに不要なアクセスが多く、また解析精度を妨げているのかご覧になれるかと思います。
もっとユーザ数やアクセス数が多い人気ブログでは更に大変なことになるのではないでしょうか!?

                

まとめ

導入以後から現時点まで自社のウェブサイトにどこから何人くらい訪れてどんなコンテンツをどのくらいの時間をかけて読んでいるのか、検索流入してくるキーワードは何かなど、アクセス解析ツールによりウェブサイトの仕事ぶりを目に見える形で知ることができます。

言うまでもなくwordpressサイトではグーグルアナリティクス等の解析ツールを自分で導入しておかない限りアクセス解析はできません。また解析ツール導入以降のデータしか解析することができません。

ウェブサイトを集客に活用したいはずなのにアクセス解析ツールを導入していないなんて事がないように、ウェブサイトを立ち上げたらすぐにグーグルアナリティクス等のアクセス解析ツールを導入しましょう。もちろんスパム対策も忘れずに!


今夜は新鮮なイカをワタごとホイル蒸しにしてチビチビ冷酒で決まりの柴やんでした!? また来週!

Web制作を依頼した人受けた人そして利用した人全員が怒った不幸話

f:id:BighelpSecurity:20150523160443j:plain

毎日投函されるたくさんのチラシにウンザリしていますが、ある住宅販売チラシにふと目がいって。2LDKで駅近だけど築うん十年のマンション、リノベーション済みで内装美麗!

なるほど確かにキレイそうだな、
でも住んでみたら建物や共用設備の老朽化とか将来的に安全性は大丈夫なのかなと思いながらリサイクルカゴにそっと置いてみた柴やんです。

さて新規やリニューアルを問わずウェブサイトを立ち上げることはごくごく一般的な事になっていますが、物販サイトの制作案件絡みで起こった悲劇のお話です。

本日の大人の嗜み

SQLインジェクション等のWebアプリケーション対応含め広く注意喚起されているセキュリティ対策を知っておかないと利用者、発注者そして受注者の全員が不幸になる

ポイント解説

・受注者はデザインやレイアウト設計の専門家としてだけではなく、サイトの安全品質にも気遣い、経産省IPA等の関係機関が注意喚起しているセキュリティ対策を把握し実装を前提とした顧客への提案姿勢が大切

・発注者はセキュリティ対策は素人だからと開き直らずに一般的に問題になっている情報漏洩対策について受注者に確認する意識を持つ事が大切。ネット上の事務所あるいは店舗に相当するウェブサイトの管理運営責任について他人に押し付けることはできないから。

さて具体的な事例として昨年1月の判例について解説している記事をご紹介します。

紹介記事で参照している判例のポイントは受発注者間で特に相談もしていなかったセキュリティ対策の不備について、地裁の判断として専門家として然るべきセキュリティ対策を怠ったという受注者の過失を認定しているところです。

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

記事から読み取れるのは発注者も受注者もセキュリティ対策について意識と理解が十分ではなく、ある程度セキュリティ対策を理解している人ならば驚愕の実態が示されています。

例えば、納入後に顧客に変更するよう申し入れていたとのことですが、管理者権限のユーザIDに「admin」、またパスワードとして「password」を設定していたとあり、これらの文字列は暫定処置だとしても決して使用すべきではありません。

「admin」や「password」を使ってはいけない理由については過去記事にて解説済みですのでご参照を。

またSQLインジェクションクロスサイトスクリプティングなどはWebアプリケーションを対象とした攻撃手法として認知されているものであり、もはや知らなかったでは済まされないレベルです。

さらに、ログファイルに顧客のクレジットカード情報が示されていたり、データベースに保存されたカード情報には、本来保存が禁止されているはずのセキュリティコード(クレジットカードの裏面に記された通常3桁の数字で所有者を確認するものでCVCやCVVとも呼ばれる)まで保存されていたという状態です。
これらの行為は特に知られたくない情報を管理する方法としては非常に不適切といえます。

もちろん、あまりセキュリティ対策に詳しくない立場にしてみれば、いわばセキュリティの常識なんてわかるはずないじゃないかというご意見、ごもっともです。

しかし、分からない事を自覚しているなら、ましてや対象が物販サイトなら、制作を依頼する前にウェブサイトの情報漏洩原因をググって発注者の立場から要点を把握するとか、運用前(納品チェック)及び運用後定期的に脆弱診断サービスを活用してウェブサイトの健康診断を行なうとか、さもなくば日頃から気軽に相談できる第三者的立場のセキュリティの専門家を確保するようにしているのでしょうか。

さて最後にWebアプリケーションのセキュリティ対策リソースの一例を示します。
Webアプリケーションのセキュリティ対策において、もはや常識といっても過言ではない情報です。

IPA独立行政法人 情報処理推進機構)が提供している「安全なウェブサイトの作り方」


・徳丸浩 「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」


※通称!?「徳丸本」で通じるWebアプリケーションのセキュリティ対策を解説した書籍であり著者は上記で紹介している記事を書かれた方です

まとめ

ウェブサイトの目的が美しい色使いや使い勝手の良さではなく、長きに渡り集客に貢献し訪問者が安心して滞在できる事ならばセキュリティ対策は重要で不可欠である。
当事者としてまた支援する側としてお互いがウェブサイトの安全を確保する意識と実践そして管理できる力を培おう


さて梅雨時期に備えて頼んどいたジンが届いたので、少し早いけど今夜はライム搾ってソーダ割りと決心している柴やんです!? また来週!

借りたものすら返せなければ情報漏洩の当事者にならざるを得ない事例

f:id:BighelpSecurity:20150519190409j:plain

グーグル音声検索の呼び出し方が「おっけー ぐ~るぐる」でも大丈夫なことを発見したので「オッケー グーグル」はサクっと断舎離してみた柴やんです

ところで今回はクラウドだギガだテラだとデータ保管場所の大容量化に恩恵をうけることが多くなりましたが、数が増えるほど世間をにぎわすのが情報漏洩事件でありまして。

考えたくもないことですが万一の場合に備えて、目に見えないけれどデータという情報をどう管理していくのかを見直すときにも、使い終わったデータが存在してないかという確認をすることが大切だという話です。

本日の大人の嗜み

利用目的を達成した顧客情報や業務情報は必ずスパっと削除する習慣を徹底しよう

ポイント解説

・情報漏洩の原因には本来起こるべきではなかったケースもある
・利用目的を達成したら、借りた側は情報の削除を、貸した側は情報削除の確認を

例えば使い終わったはずなのに顧客情報を借りっぱなしにしていた受託業者側から情報漏洩が発生した事件が先日ニュースになっていましたね。

japan.zdnet.com

機密保持契約を結ぶケースは一般的になっていますが、あれは言ってしまえば、本人の善管注意義務に基づく記憶に対する口封じなわけで、もしも本人の記憶以外にも他人が見たりコピーできたりできるデータという形で情報が存在すると事例の原因にもなるわけです。

本来なら機密保持契約以外にも利用後にデータ消去・廃棄証明についても同意を取り交し、業務上の目的を達するまでを期間として必要な情報に対して与えていた使用権を回収(データの場合は削除させる)したことを確認することが必要です。

上記事例では該当企業の経緯説明において当事者が利用する機器設定上の不備でインターネットから閲覧可能な状態という表現がありましたが、そもそもデータ削除の事実について双方で同意していれば今回の事件は発生しておらず。


ちなみに大きな企業のみならず、中小企業や個人事業主・士業の方であっても、更にもし特に業務の委託や受託を伴わないとしても情報漏洩の当事者となる可能性はあります。

例えばメルマガ読者の登録に最低限必要な情報はメールアドレスだけのはずですが、氏名まで取得しているケース、無料のPDFを提供する代わりにメールアドレスや氏名を取得するケースなどがあります。

例えばメルマガ読者が購読を停止した場合、配信先リストからきちんと削除しているのでしょうか。

もちろん、受注確率を上げるためにはある程度の訴求先が大切な事は承知しています。
しかしながら、購入見込みのない潜在顧客リストをいつまでも溜め込んでいった場合、もし情報漏えいを引き起こした時にどう説明するのでしょうか。

万一の場合には、購入したこともない方々に対しても当然のことながら謝罪や場合によっては賠償も含めて対応しなければなりません。

難しい事ですが「足るを知る」、いろんな情報の管理にも当てはまると思います。

まとめ

・個人としてデータのたな卸しを行い不要なデータ(顧客・個人情報)は削除しよう
・会社で業務を委託する場合には機密保持契約だけでなく、受託者にデータ消去・廃棄証明書など業務終了後に委託先に情報が存在しないことを書面で確認しよう


以上、梅酒仕込みにむけて青梅の吟味に余念がない柴やんでした!? また来週!

セキュリティ対策の基本はユーザID隠蔽に始まりパスワード管理へ続く

f:id:BighelpSecurity:20150511152301j:plain

サビついた巨体でフットサルがんばったら歩くのにも一苦労の柴やんです。

WordPressの管理画面でもFacebookでもTwitterでも、あるいはルータでもファイアウォールでも、使う前にまずユーザIDとパスワードを正しく入力することが必要になる仕組みが身の回りに溢れています。

原宿駅での壁ドン広告みたいに、パスワード管理の重要性を訴える風潮は古くからあり今でもユーザIDとパスワードの管理はセキュリティ対策上の問題となっています。

さて今回はユーザIDとパスワードの管理においては、パスワードと同等以上に実はユーザIDの管理の方が重要なんじゃないかと思ってまして。

ユーザIDとパスワードによる方式の場合、まずユーザIDを識別すること、次にパスワードを認証するという2つの段階が不可欠なのはご存知の通りです。

ユーザIDは機器や不特定多数を対象としたサービスからの「あなたは誰」に対する返答であり、パスワードは「あなたである証拠」に対する返答です。

一般的にはパスワード管理の重要性が強調されていて、小文字や大文字、数字や記号などを含めた複雑で長い文字数のものを推奨する記事をいたるところで目にすることができます。

そして強いパスワードは覚えにくく、覚えやすいパスワードは弱いというジレンマに。

ところが、ユーザIDの管理についてはどうでしょうか。あまりその重要性について言及している記事を見かける事は多くないのではないでしょうか。

しかしそもそもユーザIDが分からなければ、どうやってそのユーザIDに対応するパスワードを知ることができるのでしょうか。

WordPress Codex(日本語版)で推奨している基本的なセキュリティ対策の考え方

例えばWordPressのセキュリティ対策を考えるときに、何から手をつけてよいのか分からない場合にはWordPress Codexの日本語版でも紹介されている「WordPress の安全性を高める」という記事は網羅的でおすすめです。

WordPress利用者であれば、どのような観点に注意を払うべきかという概念だけでも理解しておきたい内容になっています。

WordPress Codexの日本語版でも「隠蔽によるセキュリティ」の章でも触れられていますが、管理者アカウント名の変更が推奨されています。

WordPress の安全性を高める - WordPress Codex 日本語版

ユーザIDは知れ渡っている初期値のものは使わず他人に知られないものを

実はWordPressをインストールした際に必ず最初から存在しているユーザIDとしてadminという管理者権限を持つものがありますが、これがWordPressのセキュリティ対策上の問題になっています。

ちなみに、ここでの「隠蔽」とは、知れ渡っているadminユーザIDを隠すことではなく、新たに管理者権限を持つユーザIDを作成した上で、adminユーザIDを削除することで、新たなユーザIDを他人に知られないようにしましょうという意味です。

繰り返しになりますがユーザIDとは「あなたは誰?」に対する返答であり、WordPressをインストールしたままの状態では、他人でさえ「私はadminです」と勝手に返答することが可能になってしまうのです。

ユーザIDが他人に知られてしまえば、後は悪意のある他人がツールを使いパスワードを解析をするだけであなたに成りすますことができてしまいます。

つまりWordPress Codexの日本語版でも、まずはユーザIDを他人に知られないようにするというセキュリティ対策を推奨しているのです。

もちろんユーザIDを隠す(一般的に知られていないものに変更する)ことだけでは乗っ取りによる漏えいや改ざんなどを防ぐことはできません。

ユーザIDやパスワードによる成りすましを正面突破だとすれば、WordPress本体やテーマそしてプラグインが最新ではなかったり、WordPressウェブサイトにftpアクセスするパソコンそのものが汚染されている場合に結果的にWordPressウェブサイトを乗っ取られることは裏口突破になると思います。

しかしながら突破されるのが正面か裏口のどちらかだとすれば、
まずは正面の守りを強固にすることであり、そのためにはユーザIDを隠蔽することを前提としてパスワードを工夫することが大切ではないでしょうか。

少なくとも他人に知れ渡っているadminユーザIDを使い続けているワキの甘い利用者をターゲットとした正面突破の試みに対してはとても有効な対策なのではないでしょうか。

WordPress Codex(日本語版)の内容だけでは完全にユーザIDを隠蔽できない

ちなみに、Codexには記述されてはいませんが、上記の手順でユーザIDを変更したとしても、実はさらに一手間が必要になります。

自社のWordPressウェブサイトで試してみるとわかりますが、もしユーザIDを変更していても、実は隠したつもりのユーザIDがばれてしまう場合があります。

自社サイトURLの後に"?author=n" ※nは1から順番に都度1回づつ数値を入力してページを更新(adminユーザIDだけ存在ならば1のみ)

なぜadminユーザIDを変更しただけではバレてしまうのか、プラグインを使ってバレないようにする為の手順を分かりやすく説明している記事があるのでご参考まで。

www.adminweb.jp

念のためですが、WordPress Codexの記載に不備があるということではなく、あくまでも基本的な考え方を網羅しているものだと理解すべきかと思います。

まとめ:WordPressのユーザIDを隠蔽する方法

WordPressのユーザIDを隠蔽する手順としては以下の通りです。

①投稿者のアーカイブページを生成しないようにfunctions.phpを修正するか、アーカイブページを指定されてもユーザIDが表示されないようプラグインで隠す

②初期値の管理者ユーザID(admin)は削除して新たに管理者IDを作成する

FacebookTwitterなどもユーザIDを他人に知られないように

少しWordPressばかりを例えてしまいましたが、ユーザIDとパスワードが必要なサービスや機器なら同じことです。

ちなみにFacebooktwitterもそれぞれ専用にユーザID(メールアドレス)を作成してパスワードみたいに意味不明な文字列であり、あくまでログイン専用の用途でありメールの送受信は一切おこなっていません。
もちろん、加えてパスワードも管理しています。

改めてセキュリティ対策の基本の一つは「不用意に情報を提供しないこと」であり、パスワードと同じようにユーザIDの管理にも気配りすることを情報漏洩を防ぐ大人の嗜みに加えたいなと思いました。

androidスマホの無料アプリが安全かを確認するポイント4つ

 

f:id:BighelpSecurity:20150504021628j:plain

機種変したら大画面になったせいか今まで以上に子供にスマホをいじられる柴やんです。

新しいスマホは大人でも楽しいものですがやはり子供にとっては魅力的なオモチャみたいです。

早速せがまれたので適当にお絵かきアプリを探してたら、無料なのに本当にいろいろと楽しいそうなアプリがたくさんあることに改めて驚いたりして。

あれがいいこれがいいとカラフルで見栄えの良いアプリのアイコンに興味を持ってインストールをせがんでくる。そこは、おやつと一緒でどれか一つにしなさいねって言う。

ならばしょうがない。それではアプリが安全かどうかいつもの手順で確認しながら導入してみるか。といってもチェックは四次審査まであるけどね。

まずは一次審査から。

いくつか目ぼしいものを選んで、まずはユーザの評判や作者が企業か個人か初めてのアプリかなどを確認してみる。特に気になるところがなけれはまずはOK。

二次審査はインストールをする直前で表示されるアプリが求める権限を確認してみる。

残念ながらこの二次審査で不合格になるアプリも少なくない。

なぜ、お絵かきソフトなのに、電話帳や位置情報、端末IDと通話情報、wi-fi接続情報、

画像、メディア、ファイルなどにアクセスする権限が必要なのか。例え理にかなった説明があるとしても今回の要件には入っていないので通信やファイルアクセス等の機能は却下。

もちろん、この疑問の前提は、自分が予めアプリに求めるている用途が明確で、例えば子供が時間しのぎに使うお絵かきアプリには、ネット接続機能とか位置情報の提供などは不要だと考えているからだ。

「アプリを楽しく使う」というだけでは自分には不十分で、一番大事な「安心して」という言葉が不可欠だ。

やっとのことで「特別な権限を必要としません」と唄っているアプリが見つけたので早速インストールして子供に手渡すと早速勝手にいじりだす。何も教えていないのにスラスラと、まるで自分のスマホであるかのように。

20分もいじっていたら予想通り飽きてきたのかスマホを返してきた。もうアプリを削除してよいかたずねると即答でダメと畳み掛けてくる。また後で使うそうだ。

続く三次審査と四次審査はアプリをインストールした後の話だがまずは三次審査。

インストールした後のアプリの動作もチェックするのは当然のことだ。

インストール前に作者が言ってる事と実際にアプリの動作に差異があるのは過失や悪意を問わず十分にありえる話だから。

しばらくの間不審な通信を行なおうとしていないか、アプリの通信要求を一旦全て保留しておき、どこにどんな目的で通信しようとするのかを確認する。

もともとネットかリアルかを問わず言葉よりも相手の振る舞いや対応によって信頼できるかどうかを判断する性分なので、それがスマホアプリであってもこのポリシーに例外はないのだ。

そして最終の4次審査はタイミングとしてはアプリの更新時であり、必要な権限が変わるか否かを判断したいので、勝手に更新されないようにアプリの自動更新はOFFにする。

もし権限に変更があれば、合理的と思えるかどうかで使い続けるかどうかを判断するのだ。

とここまでが一通りの流れであり、書いてしまうと大げさな感じもするけれど、たかがアプリされどアプリであることを思えば。

もちろんインストールしたアプリについては、決して入れっぱなしではなくて、使わなくなった場合にはこまめに削除している。

検証目的を含めてインストールしているアプリは少なくないが、いちいちどんなアプリをインストールしたのか暗記はしていない。

しかし、気になった時にはいつでも、アプリ名と必要としている権限を一覧で表示してくれる、いわばアプリ管理アプリのようなものも活用している。

アプリごときでそこまで神経質になる必要があるのかと言われれば、即答でYESだ!

ネットの世界は自己責任だし、楽しみ方も安心できるレベルも人それぞれなんだし。

悪人が悪人面している訳はなく、どうすればインストールさせられるかを日夜考えている輩にとって耳障りのいい言葉で利便性を訴えてくるのは常套手段なのだ。

そしてユーザが自分の意思でスマホアプリをインストールするという行為は彼らにとって最も望ましい行動であることに違いはない。

もちろん、ここまでやっているからといって100%安全なわけでもないし、それを期待してもいない。自分にとって大事なのは自分が安心できるかどうかのただ一点だから。

幸い今までのところは無料アプリで被害にあった自覚もなければ被害の訴えもない。

しかし今後は分からない。けれども自分ができる限りの確認はしておきたいと思う。

まだまだスマホを買い与える年齢ではないけれど、いつかその日が来たときに備えて、我流ながらスマホの無料アプリについて安全かどうかを確認する方法の一例としてまとめておきたい。

①アプリの選定時(開発者(社)とアプリが信用できそうか、アプリ提供実績はどうか)

②アプリのインストール時(機能説明と必要とする権限に違和感がないか)

③アプリを使ってみた時(作者や広告配信用サーバ以外に通信していないか)

④アプリが更新された時(権限に変更はないか、あるとすれば許容できるものか)

セキュリティ対策不足が自社のSEOに悪影響を与えるかもしれない

http://f.st-hatena.com/images/fotolife/B/BighelpSecurity/20150426/20150426191204.jpg

特に何かを予定しているわけじゃないけどなんとなくゴールデンウィークが楽しみな柴やんです。

4月も早いもので後半ですが、そろそろ新たな生活や環境にも慣れてきた頃でしょうか。

今回はこの春から独自ドメインを取得してwordpressでブログやホームページを立ち上げたことでサイト管理人になった方に向けて。

独自ドメインでウェブサイトを運営することで得られる自由とか大変さについては、ひょっとしたらアメーバブログはてなブログを使っていた人のほうが分かりやすいかもしれません。

これまではブログのデザインを選んだり記事を投稿するのが主な役割だったものが、

自分でwordpressを導入するところから始めて、最終的にブログを投稿すればいいだけの環境を自分で整えなきゃいけないからです。

そして忘れがちですが、ウェブサイトの立ち上げはウェブサイト管理のスタート地点でありウェブサイトを運営し続ける限り管理も必要です。

ウェブサイトの管理に役立つツールはたくさんありますが、無料で優れたツールとして有名なのはgoogle analyticsとウェブマスターツールです。

Google analyticsがウェブサイトに訪れた人の数や行動分析を行なうツールだとすれば、ウェブマスターツール検索エンジンから見てウェブサイトがどのように見えているかを教えてくれるツールです。

例えば、コンテンツにリンク切れがないか、いつでもクロール(ウェブサイトのコンテンツに変更や異常がないかを確認)できるか、異常とはマルウェアが仕込まれているのか、意図せず外部サイトに転送されるような状態になっているのかなどです。

それぞれのツールの違いについて色々な説明記事がありますが、今回は特にウェブマスターツールについて着目したいこともあり、以下の記事を紹介させていただきます。

最初のうちは分からないことも多いと思いますが、最低限のウェブマスターツールの初期設定として、問題が発生した場合にメールで通知を受け取れるようにメールアドレスを指定することをおすすめします。

ウェブマスターツールを活用すればセキュリティの問題も含めたウェブサイトの品質に関する問題について知ることができます。

問題が発生した場合には速やかに解決をすることが大切ですがウェブサイト運営においても同様です。そのためにはまず何が問題なのかを少しでも早く知ることが重要です。

問題の把握が遅れることで被害や影響が大きくなってしまい結果的にgoogleからペナルティを科されてしまうケースも想定されます。

ちなみにペナルティとは何か、具体的にどのような影響があるのかについては、以下の記事を参照していただくとして。

googleが定めたガイドラインなどに違反している行為に大して与えられる懲罰のようなもので、例えばウェブサイトに与えられている有用性の評価や検索結果での表示順位が下がってしまったり、最悪の場合は検索結果から除外されたりするそうです。

ちなみにgoogleが公開しているウェブマスター向けガイドラインには三種類が存在しますが、そのうちの一つである「品質に関するガイドライン」においてセキュリティ対策に関係する項目も含まれています。

いろいろとやってはいけない事が紹介されていますが、例えば「不正なリダイレクト」はもちろんですが、「フィッシングや、ウイルス、トロイの木馬、その他のマルウェアのインストールといった悪意のある動作を伴うページの作成」という項目も含まれています。

また、同ガイドラインでは、「望ましい行動の習慣付け」として、以下の2つを挙げています。

  • サイトがハッキングされていないかどうかを監視し、ハッキングされたコンテンツを見つけたときはすぐに削除する
  • サイトにユーザー生成スパムが掲載されないようにし、見つけたら削除する

まだ読者がほとんどおらず、万一の場合の影響や復旧する手間の少なさを考えると、wordpressサイトを始めた当初からセキュリティ対策について習慣化を意識していくことが望ましいと思います。

いうまでもなく、ほとんどの場合、品質ガイドラインに反する事を意図的に行なうことはないと思います。しかしウェブサイトを改ざんされてしまった場合はどうでしょうか。

googleは過失か悪意かを問わず、あくまでウェブサイトの現状に基づいて、ガイドラインを満たしているか否かを判断しているであろう事に注意が必要です。

改ざんされたウェブサイトの管理者は被害者ですが、その状態を放置する事で他の閲覧者や他のウェブサイトにも被害が及ぶことを防ぎたい立場のgoogleの判断は決して間違っているとは思えません。

セキュリティは品質の一環というのは自分も共感できる考え方ですが、googleが公開しているガイドラインにおいてもそのような趣旨が読み取れる点はとても重要だと思います。

せっかく閲覧者を増やす為にSEO対策をがんばっていても、セキュリティ対策を含むウェブサイトの品質にも注意しなければ、結果として検索順位や流入数の低下、最悪の場合は検索結果からの除外となる恐れがあるのです。

リアルビジネスでは新規顧客を獲得する事と同じように既存顧客を維持する事も大切であることはご存知だと思います。

ウェブサイトの集客においては訪問者数の増加のみならず維持することも目標に定め、google analyticsのみならずウェブマスターツールの活用が大切だと思うのは自分だけでしょうか。