デジトレ診断 >

中小ビジネスの情報セキュリティ対策もまずは診断から

常に求められるセキュリティ対策

 メールでのやり取りや自社のWBサイトを使っている限り、セキュリティ対策を怠ってはいけません。昨年末辺りから、メール添付ファイルによるEmotetの活動再開が確認され、2022年2月ごろから更に活発になっているようです。

IPA 情報処理推進機構 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

セキュリティ対策に終わりはない

 セキュリティ対策は、何を、どこまでやったら良いのか、正解がわからないことが多いと思います。そもそもセキュリティ対策に終わりはなく、新しいサイバー攻撃やマルウェアが出てくれば、新たな対策を打たなければなりません。また、情報セキュリティの分野は専門性も高く、意味が理解できずに、諦めてしまうケースも少なくないのではないでしょうか。

 最初から完璧な対策を目指さず、まずは、できることから取り組むことが重要です。

 デジトレ診断もWEBアプリケーションを使ったオンライン診断を提供しています。誰でもアクセスできるWEBサイトやアプリケーションは、それだけリスクに晒されていることになります。ここ数ヶ月間のマルウェア増加の状況を踏まえ、できることに取り組みました。

 今回の対策は新しいツールなどのコストをかけることなく実施できました。みなさんの参考にもなるかと思い、実施した内容を共有していきます。

無償ツールを使った脆弱性診断

 今回、WEBセキュリティ対策の第一歩として、自社のWEBサイトのどういったところにリスクがあり、何の対策が必要なのかを知るため、デジトレ診断を含む当社のサイトの脆弱性診断を試してみました。

脆弱性診断に使ったのは無償で使えるOWASP ZAPというツールです。

OWASP ZAP

脆弱性診断のために行った手順は次の通りです。

  1. 診断用の環境を作成
  2. 脆弱性診断ツールをインストール
  3. 脆弱性診断の実施
  4. レポートの抽出

1.診断用の環境を作成

 脆弱性診断は、公開されているWEBサイト(本番環境)に影響が出ないように、検証環境など別の環境を使用します。今回は、PC上に診断用の環境を構築しました。WordPressを使ってホームページを作っている会社も多いと思いますが、Word PressをPC上に作るツールが存在します。今回はLocalというツールを使いました。

Local

2.脆弱性診断ツールをインストール

 脆弱性診断ツールOWASP ZAPをダウンロードしてインストールします。インストール作業はウィザード画面の指示に従って行えば数分で完了します。インストール後、OWASP ZAPを起動します。

OWASP ZAPの画面

3.脆弱性診断の実施

 OWASP ZAPで検証用のサイトを指定して脆弱性診断(SCAN)を実施します。サイトの容量によっては診断には時間がかかります。今回はスキャンに4時間以上かかりました。

4.診断レポートを抽出

 脆弱性診断の完了後、OWASP ZAPのレポート生成機能から診断レポートを作成します。HTMLファイルで抽出が可能です。今回のレポートでは、リスクのレベル「High」が1件、「Medium」が3件、「Low」が5件という結果となりました。

アラート件数のサマリー

 「High」として検出されたものは「SQLインジェクション」のリスクでした。

タイプ別アラート件数

できることから対策

 WordPressで取り得るSQLインジェクションの対策としては次のような対策があげられています。
参考:安全なウェブサイトの作り方 SQLインジェクション IPA 

  1. 入力値を制限する
  2. 入力値をいったん変数に格納する
  3. エスケープ処理、サニタイジングを行う
  4. .NET LINQ、PL/SQLなどロジックの中にソースコードとしてSQLを記述できる開発言語を選ぶ
  5. 常に最新の環境を保つ
  6. セキュリティソフトWAFを導入する
  7. データベースサーバのログの監視/解析

 1~4の対策は、アプリケーション開発における対策です。当社ではゼロから開発したアプリケーションではなく、サービスを使っているため、自ら対策を打つことはできません。Word Pressのプラグインで提供されているアプリケーションサービスに脆弱性がないことを改めて確認しました。

 5.の対策については、常に更新を確認し、最新へのアップデートを対策済みです。

 6~7の対策として、レンタルサーバの機能としてはWAFが提供されていたため、影響を検証した上でWAFを有効化しました。機能の中にログ監視機能も含まれるため、今後も定期的な確認を実施します。

まとめ

 今回実施した脆弱性診断ツールですべてのリスクを発見できるわけではありません。ただ、1つの診断結果としてどういったリスクがあり、対策が必要なのかヒントを入手することはできました。また、運良くコストをかけずに対策まで実施できました。もちろん、これで終わりではないため、継続してセキュリテイの情報収集をしながら、対策していきたいと思います。

デジトレ診断をバージョンアップしました

この度、デジトレ診断をより使いやすくバージョンアップしました。活用状況の診断にとどまらず、デジトレ活用に向けた次の取り組みにつなげやすくするための更新です。

デジタル診断のリリースから1年以上経過し、使っていただいた皆さまから多くの感想や反応をいただきました。その中で「診断結果をどう活かすか」という声が目立ちました。今回の更新では、次の活動のつながるデジトレ診断としてパワーアップさせています。

変更したポイントは次の3点です。

  1. 診断結果(スコアシート)に強化ポイント別の点数を表示しました
  2. 100の設問から3つの解説シートを選べるようになりました
  3. デジトレ診断の補足解説シートをわかりやすくしました

診断結果(スコアシート)に強化ポイント別の点数を表示

スコアシートのトップページに20の強化ポイント別の点数を表示し、次に強化するポイントをわかりやすくしました。

これまでトップページには、5つのデジタル力の点数と総合計が表示されており、自分の職場では、どのデジタル活用分野にどの程度取り組めているのかを定量的に把握することができました。
今回はこれに加えて、一つひとつのデジタル力を構成している「強化ポイント」の点数もあわせて表示し、相対的に点数の低い強化ポイントには色をつけてハイライトすることで、職場の課題を明確化し、改善のアクションに取り組みやすくしました。

100の設問から3つの解説シートのダウンロードが可能に

100の設問の中で、気になった・課題だと感じた設問を3つ選び、設問の解説シートをまとめてダウンロードできるようになりました。

デジトレ診断では100の設問自体がデジタル活用の取り組みのヒントになっていて、設問を通して気づきを得たり、社内の課題を発見したりできることが特徴の1つです。これまでは100の設問から1つのみ選ぶ方法でしたが、今回3つまで選べるようになりました。

3つに限定したことにも理由があります。中小ビジネスの場合、取り組む人員も予算も限られるため、課題を絞り込むことが非常に重要です。100も設問があるとアレもコレも、となりがちですが、多くても3つに絞り込むことで、重要な課題にフォーカスし、より効果的な取り組みにつなげてもらいたいという考えがあります。

デジトレ診断の補足解説シートをわかりやすくしました

デジトレ診断の5つの力の考え方を説明する補足解説シートを見直し、わかりやすくしました。課題の事例やデジタルの活かし方を記載し、自社に当てはめて考えられるようになっています。

デジトレ診断の使い方、自社の経営・組織を成長させるためにデジタルを組み込んでいってもらいたいと考えています。

ぜひ、新しいデジトレ診断を使っていただき、次の一歩に少しでも役立ててもらたら嬉しいです。これからもデジトレ診断では皆さまの意見を反映しながら、より使いやすく有用なものとして成長させていきたいと考えています。

以上

2021年、農業でのデジタル活用のトレンドは?

【中小ビジネスのデジタル化 2021年のトレンド予測 農業】

筆者自身が農業に従事していることもあって、ここ10年ほど農業でのIT活用、デジタル化、最近では「スマート農業」といわれる分野に携わらせていただいています。

TBSの日曜劇場「下町ロケット」がある意味で名刺代わりになったわけですが、自動運転トラクターや自動収穫機、ドローンでの農薬散布やリモートセンシング、田んぼの水管理の自動化システムなど、ロボティクス・IoT的な技術開発が大きく進んできました。

農業者の関心も高まり、さて、何からはじめようか、という段階が2021年なのかなと思います。5つのデジタル経営の目的の中から、特に農業で関心が高まるだろう3つを筆者の独断でご紹介します。

1.情報で会社の回転数を高める 【回転力】
省力化への関心は引き続き高まるでしょう。
人手不足やコロナ禍での農産物価格の低下もあり、低コスト経営の志向は引き続き強い。資材使用量を減らす、手間を減らす、効率を上げる。ここに新しいスマート農業技術が活用できないか?
メーカーへの問い合わせは増えるでしょう。どれくらい役に立つの?いま導入した方がいいの?本当に儲かるの?と。全国各地でのスマート農業実証の様子も動画でチェックできたりするので、ぜひ積極的に情報収集してみましょう。
回転力の強化のポイントは4つありますが、「管理水準を高める」ことが最も重要な点。農場の管理水準を一段階高める。どこの管理水準を高めますか?

2.社外との関係を拡げ、深める 【つながる力】
2021年も引き続きコロナ禍の影響はさまざまに出てくるでしょう。需給のミスマッチがあちこちで生じる。消費需要がゼロになるわけではないので、場面・形態を変化させた代替需要をしっかりつかんで少しでもカバーしたい、そういう思いではないでしょうか。
そんな中、2020年はD2C(ダイレクト・トゥ・コンシューマ)に注目が集まりました。ブームは落ち着いても、新しい消費スタイルに出会った消費者の一定割合は引き続き購買を続けるでしょう。クラウドファンディングもD2Cの一種でした。
2021年はもう少し大きめの量の取引ができるような需給マッチングの仕組みに期待が集まります。新しい需要を創出するプレイヤーが登場するでしょうから、そういう人達とつながれるかどうかがカギになります。
「つながる力」の強化のポイントは4つありますが、「顧客利便性」が最も重要です。SNSで情報を発信しているだけでなく、積極的に栽培データを提供して需要側に役立ててもらえるようなつながりを創っていきましょう。

3.情報で現場を滑らかにする 【体幹力】
2021年はあらためて体幹力の大切さが問われる年になると思います。
ロボトラやドローンのように華やかなスマート農業に興味を持つのは自然ですが、大きな投資をいきなりすべての農業者ができるわけでもありません。それでも、そういった新しい夢のある技術が刺激になって、さて自分の農場ではどうしようか、と自らを振り返る機会は増えるでしょう。そんな時にまずできることは、現場を滑らかにすること。
「滑らかな現場とは、迷わず、間違わず、し忘れることなく、誰かに聞かなくても仕事がスムースに進む現場のこと。」
なにも新しいソフトを購入しなくてもいいのです。「業務に必要な情報」を整備して、働きやすい現場を整えましょう。