VPS,Linux,サーバ

これまでは、サーバのOSとして、CentOS 8を使っていました。
しかし、衝撃的なニュースが出て、対応に迫られました。

CentOS Project shifts focus to CentOS Stream – Blog.CentOS.org
https://blog.centos.org/2020/12/future-is-centos-stream/

ざっくり言いますと、こういう内容です。

  • CentOS 8は、2021年の終わりをもって、サポートを終了する。
  • CentOSは、今後CentOS Streamへ移行する。

CentOS Streamは、RedHatの開発ブランチという位置づけのようです。
つまり、安定した環境を求めたいユーザには適していない環境だと思います。

そこで、現在あるサーバをどうしていくか、時間をかけて検討してきました。

CentOSの代わりに、どういうOSが良いのだろうか、調査を行いました。
Linuxには、様々なディストリビューションが存在しています。
RedHat、Fedora、CentOS、Debian、Ubuntu、Slackware、…。
サポート期間の長さ、安定性という評判の良さだけでなく、実際に構築できるかどうかも、仮想マシンを使って確認してきました。
その結果、2021年8月14日にリリースされたばかりのDebian 11が良さそう、と判断しました。

OSが決まった後は、新たにVPSを契約して、サーバの移行作業を進めてきました。
サーバを構築したり、メインコンテンツとブログのサイトを分離したりしてきました。
本日、DNSレコードを変更し、Webサーバの切り替えを実施しました。
メインコンテンツのページは、現在も書き直しを進めていますが、CentOS 8サポート終了問題への対応は完了しました。

アプリ

13日夜、福島県沖を震源とする最大震度6強の地震が発生した。全国で150人以上がけがをされており、今後もさらなる地震に注意する必要があるということであった。

緊急地震速報システムというものがあり、地震波を検出して、強い地震が予想される場合に緊急地震速報をテレビや携帯電話に出すようになっている。

では、緊急地震速報をパソコンに通知してくれる方法はあるのか、調べてみた。いくつかアプリを見つけたので、紹介する。

ウェザーニューズ 緊急地震速報サービス The Last 10-Second

https://weathernews.jp/quake/html/urgentquake.html

ウェザーニューズは、様々な気象情報を提供する会社だ。緊急地震速報サービスも提供している。
しかし、このサービスを利用するには、月額300円(申し込み月は無料)の会員登録をしなくてはならない。

強震モニタ Extension (Chrome 拡張機能)

https://chrome.google.com/webstore/detail/%E5%BC%B7%E9%9C%87%E3%83%A2%E3%83%8B%E3%82%BF-extension/ghkclpkmplddbagagffmmcmdbgjecbbj?hl=ja

Chromeの拡張機能として、防災科学技術研究所の強震モニタを自動監視し、地震があるとアラームを出してお知らせしてくれる。Chromeの拡張機能なので、もちろんChromeをインストール、起動しておく必要がある。
ブラウザはFirefox派だ、とかEdge派だ、とかいう人もいると思う。

KiWi Monitor

https://kiwimonitor.amebaownd.com/

デスクトップアプリとして動作する。Windowsのみに対応している。普段はトレイに最小化しておいて、地震があったときに自動的にウィンドウが表示されて知らせてくれる。

JQuake

https://jquake.net/

デスクトップアプリとして動作し、Windows、macOS、Linuxに対応している。(Java 8をあらかじめインストールしておく必要がある。)KiWi Monitorと同様、普段はトレイに最小化して、地震があったときに自動的にウィンドウが表示されて知らせてくれる。ゲームなどで、地震があっても表示してほしくない場合にゲームモードをオンにすることも可能だ。

今日、地震速報アプリについて調べていて、いいものを見つけられなかったため一旦は諦めていた。しばらくしてTwitterを眺めていると、JQuakeがおススメというツイートが流れてきた。JQuakeを見てみると、確かにこれはいいなと思った。JQuakeを紹介したく、この記事を執筆した。

自分もJQuakeを一番おススメしたい。

署名,暗号化,セキュリティ対策

米国時間の8月29日、オープンソースのメーラー「Thunderbird」の最新版78.2.1が公開された。本バージョンでは、OpenPGPがデフォルトで有効化されたことが特徴だ。

「OpenPGP」がデフォルトで有効化された「Thunderbird 78.2.1」がリリース
「GnuPG」や「Enigmail」アドオンを導入しなくてもデジタル署名と暗号化メールが扱える

https://forest.watch.impress.co.jp/docs/news/1273939.html

そこで、今回はメールの暗号化・署名をテーマとする。

メールにおけるリスク

メールのやり取りにおいて、盗聴、なりすまし、改竄というリスクが存在する。

(盗聴)
メールは、いくつものメールサーバを経由して、相手に届く。相手に届くまでの通信経路上での盗聴により、情報が盗まれるリスクがある。

この対策のために、ファイルを暗号化して、メールで送るという方法がよく行われる。この場合、暗号化したファイルのパスワードも同じメールか、別のメールで知らせることが多いだろう。しかし、それでは暗号化した意味がないと考えている。なぜなら、ファイルの送信もパスワードの通知も、同じメールという手段を利用しており、通信経路上で盗聴されていると、1通目を見ることができているならば、2通目も見ることができるのではないか、と考えることができるからである。

IPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3版」の付録3「5分でできる!情報セキュリティ自社診断」においては、「パスワードはその電子メールには書き込まず、電子メール以外の手段で通知することが必要」とされている。

SSLを用いたとしても、通信が暗号化されるのは、自分が使用しているメールサーバまでであり、そこから先の通信の暗号化は保証されていないため、盗聴を防ぐことにはならない。

盗聴対策としては、送信者の端末から受信者の端末までの通信経路上全てでメッセージが暗号化された状態で通信される手段が求められる。

(なりすまし)
送信者を別の人のものに偽装することができるので、それでなりすまして、情報を聞き出したり、勝手にメッセージを伝えるなどの不正行為が考えられる。

なりすまし対策としては、送信者が自身の端末から送信されたことを確認できる手段が求められる。

(改竄)
通信経路上で、メッセージに手が加えられ、不正なリンクを加えられるなどの不正行為が考えられる。

改竄対策としては、送信者が送信されたメッセージそのものであることを確認する手段が求められる。

対策

対策として、メール自体を暗号化したり、署名データを付けて送るという方法がある。そのための技術として、S/MIMEとOpenPGPがある。

暗号化と署名のそれぞれの仕組みは以下の通りである。

(暗号化)
送信者は、受信者の公開鍵を使用してメールを暗号化して送信する。受信者は、自分の秘密鍵を使用してメールを復号して読むことができる。メールを復号できるのは、送信者と受信者の端末のみであり、途中のメールサーバなどでは復号することはできない。

(署名)
送信者が自らの秘密鍵を使って、メッセージから署名データを作成して送信する。受信者は、送信者の公開鍵を使用して署名データを復号し、受け取ったメッセージと同一であることを以って、送信者自身の端末から送信されたメッセージそのものであることを確認することができる。

S/MIMEは、個人証明書をあらかじめ入手しておく必要がある。有料のところが多く、無料で入手できるところはあまりない。Let’s Encryptは無料でSSL証明書を発行しているが、S/MIMEには非対応である。無料でS/MIMEの証明書を入手できるところは、イタリアの認証局「Actalis S.p.A.」があるが、他にもあるかは把握していない。

OpenPGPでは、使用する公開鍵や秘密鍵を生成するために証明書を購入する必要はなく、無料で導入できる。ただし、対応するメーラーが限定されている。

メールのやり取りで、情報漏洩対策、なりすまし対策、改竄対策を実施したいならば、S/MIMEやOpenPGPを利用すべきである。

(参考)
中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

iPadOS,iOS,セキュリティ対策,セキュリティソフト

iOS/iPadOS向けのセキュリティアプリとして、以下がでている。

  • トレンドマイクロ ウイルスバスターモバイル
  • マカフィー モバイルセキュリティ
  • ノートン モバイルセキュリティ

しかし、これらにはウイルス・マルウェアチェック機能は入っていない。
それどころか、iOS/iPadOSにおいては、ウイルスに対して怖がる必要はない。

その理由を以下に説明する。

1. 事前審査のApp Store

iOS/iPadOSのApp Storeに出ているアプリは、すべて事前に審査されて通ったものだ。
App Store Reviewガイドラインの中に以下のように記載されている。

2.5.3 プッシュ通知やGame Centerを含むオペレーティングシステムの通常動作およびハードウェアの機能を損傷または妨害するウイルス、ファイル、コンピュータコード、プログラムを送信するAppは却下されます。

もしアプリにウイルスが見つかれば、審査に通らず、App Storeにも出てこない。

2. サンドボックス

iOS/iPadOSにはサンドボックス構造が採用されていて、サンドボックスの内側の動作が外側に影響を与えないようになっている。
また、サンドボックスの内側で動作しているアプリから外側にあるデータにアクセスすことができない。
このため、ウイルスがアプリの外側に悪影響を及ぼすことはない。また、アプリにウイルスチェック機能を実装することもできない。

以上の理由により、iOSでウイルスに感染することは通常ない。しかし、OSのプロテクトを破るJailbreak(脱獄)をしていれば、感染する可能性はある。Jailbreakを行うと、セキュリティが弱まり、Appが許可していないAppをインストールできるようになるためだ。

これは理由とは異なるが、iOS/iPadOS向けアプリはウイルス・マルウェアチェック機能を実装している、と説明することはできない。それは、ガイドラインに以下のように記載されているからだ。

2.3.1 Appに隠し機能または提示していない機能を含めないでください。ユーザーもApp ReviewチームもAppの機能をはっきりと理解する必要があります。同様に、実際には提供されないコンテンツやサービス(iOSベースのウイルスチェックツールやマルウェアチェックツールなど)がAppに含まれているかのように表示して、App Storeまたはオフラインで販売することは許可されません。

iOSデバイスでウイルス・マルウェアの感染を心配する必要はないし、ウイルス・マルウェアチェックツールを入れる必要もないが、以下の対策は取るべきだろう。

・iOS、アプリを最新版に保つ。
・Jailbreak(脱獄)を行わない。
・PC・Macに接続する場合は、PC・Macも最新版に保ち、セキュリティ対策を行う。
・信頼できないWi-Fiに接続しない。
・不審なアプリ、プロファイルをインストールしない。

【参考リンク】
App Store Reviewガイドライン
https://developer.apple.com/jp/app-store/review/guidelines/

セキュリティ対策,セキュリティソフト

現在利用しているセキュリティソフト、ESET インターネットセキュリティの有効期限が近づいてきた。そこで、今後利用するセキュリティソフトを検討することにした。

セキュリティソフトは無料のものも有料のものもある。無料版には、機能制限だったり、広告付きだったりするので、有料のものを選んでいる。

macOSをメインに、時々Windowsも利用しているため、WindowsにもmacOSにも対応しているという必須条件がある。コストと性能も検討しなければならない。ということで、4個のセキュリティソフトを比較検討した。

ん?トレンドマイクロ?AppleのAppStoreから締め出された件やCoinhive事件のことなどがあり、私にとっては信頼できなくなったので、候補に入れなかった。

  • ESET インターネットセキュリティ
    • 3年5台 ¥9,000 → 早期割引キャンペーンで¥7,182(税込)
    • 1年あたり ¥2,394(税込)
    • 1台1年あたり ¥479(税込)
    • Windows/macOS/Android対応
    • ファイアウォールあり(Windows/macOS)
    • AV-comparatives
      • 実利用環境での保護テスト 1 Star 98.4%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Mac, December 2018)
      • Protection 6
      • Performance 5
      • Usability 6
  • カスペルスキー セキュリティ
    • 3年5台 ¥12,150(税込)
    • 1年あたり ¥4,050(税込)
    • 1台1年あたり ¥810(税込)
    • Windows/macOS/iOS/Android対応
    • ファイアウォールはWindowsのみ
    • AV-comparatives
      • 実利用環境での保護テスト 3 Stars 100%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Mac, June 2019)
      • Protection 6
      • Performance 5.5
      • Usability 6
    • AV-TEST (Win, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6
  • マカフィー インターネットセキュリティ
    • 3年 ¥8,500(税込)
    • 1年あたり ¥2,834(税込)
    • 台数無制限
    • Windows/macOS/iOS/Android対応
    • ファイアウォールあり(Windows/macOS)
    • ID/PASS管理 True Keyアプリ(Windows/macOS/iOS/Android)
    • AV-comparatives
      • 実利用環境での保護テスト 1 Star 99.2%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Win, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6
  • Symantec ノートン セキュリティ プレミアム
    • 3年5台 ¥16,480
    • 1年あたり ¥5,494
    • 1台1年あたり ¥1,099
    • ファイアウォールあり(Windows/macOS)
    • AV-comparatives
      • 実利用環境での保護テスト 2 Stars 99.6%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Mac, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6
    • AV-TEST (Win, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6

ノートンは、性能はいいが、費用が他と比べて高い。
カスペルスキーは、性能が最高だが、ファイアウォールがWindowsのみである。
マカフィーは、検知性能とコストのバランスがよく、また台数無制限で使用できる。しかし、動作が重いという情報も見かけており、その点が不安。
ESETは、検知性能、動作の軽快さ、コストのバランスが良い。

ずっとESETかマカフィーかで迷っていた。台数無制限なマカフィーがいいかな、いや動作の軽快さを考えるとESETかな、というように行ったり来たりだった。

最終的には、動作の軽快さでESETを選び、延長手続きを行った。