情報システムのマニュアルを読む際に必要なこと
作業計画の前や、設定変更をするにあたって、どう調べたらよいかの切り口を書いてみた。(社内の人に聞ける場合は、それでいいと思いますがそれ以外の手段で!)
1)サポートに聞く
メールではなく、電話で話を聞く。設計書や設定値などを見ながら話しを聞き、
おかしい点があったら、その点を伝えて、正確な情報をヒアリングする。
2)マニュアルを読む
情報システムは、ソフトが舶来品であることが多く、日本語のマニュアルが古い
場合もある、したがって英語のマニュアルを読んで、作業内容を検討する必要
がある。
あるセキュリティソフトでは、日本語マニュアルは2018年、英語マニュアルは
2020年作成であることがあった。2年遅れである。
DNSについて考える
例えばDNSサーバを切り替える場合に何が起こるのか。DNSサーバは、
クライアント上のスタブサーバから、フルリゾルバやフォワーダに名前解決を行うことによって、通信している。したがって、クライアントからリクエストがない限りDNSサーバは使用されないということ。(ゾーン転送とかもあるけど、それはクライアントの話ではないのでパス)
したがって、現行のDNSを立ち上げておいて、新DNSを立ち上げて、アクセス元のサーバのDNSのアドレスを切り替えればよい。場合によっては、外と直接通信するDNSサーバであったりすると、FWとかで通信が拒絶されているかもしれないのでそれを考慮する必要もある。(外にフォワードなり名前解決なりができないと、YahooとかGoogleなどのそとのインターネットサイトに通信しにいけないので。しばらくはキャッシュがあるので速攻で名前解決できなくなることはないかもしれんけど)
制御システムのセキュリティ
制御システムのセキュリティについては、かなり難しい。
何が難しいかというと、①使われているOSやシステムがとても古いし、②誤動作が社会的な影響を与えし、場合によっては③人にケガをさせたりするからだ。
①の理由は、制御装置自体が何十年にも渡って使用されるものであり、OSをアップデートしたりするインセンティブがないためだ。②の理由は、制御システムが止まると、工場であれば生産がとまるし、発電所であれば停電が起こる可能性があるためだ。
③の理由は、例えば装置のモータの制御をしているプログラムが誤動作を起こしたりする。その結果、作業中の方が装置のアームなどに体をぶつけたりするなどのけがをする。
そういった問題があるので、制御システムそのものに対策を加えるのではなく、制御システムの周りで対策をとって、外堀を埋める方法をとることがベターとされているようだ。
セキュリティの問題解決
情報セキュリティというのは、例えば可用性だったり完全性だったり、機密性を維持することだ。
例えばウィルス対策ソフトを会社に導入したからと言ってそれで終わりではない。何らかの事情ではインストールできなかったりとかいろいろ問題があったりする。その際に、利用者や担当者の立場に立って、どうなのかを解決する必要がある。なぜならば、せっかくのセキュリティ対策も面従腹背状態になるからだ。
要は、本社では、ルールを決めているが、遠隔地では使い物にならんから、ルールとはずれたことをやってしまうなどだ。これはガバナンスの問題ではない。会社というのは、何かを作ったり売ったりして利益を出すためにしているである。それははっきり言ってガバナンスより優先されるはずだ。
もちろん社会的にまずいことになるのであれば、利益を出し続けることができなくなるので、そういった意味ではガバナンスは重要だろう。しかしながら、対案なき反論は結局なにも生まない。だから、ガバナンスを利かせる対象となる担当者には、しっかり話しをきいて、ガバナンスをどう利かせるか。ルールをどう変えるかなどをしっかり考えていかないと、効果的なセキュリティ対策はできない。というのが今日の結論。
ADの勉強をしている4
GPOをコピーして貼り付ける際に、既定のアクセス権を設定するのとアクセス権を継承するを選べる。
前者を選ぶと
Authenticated Usersだけがアクセス権を持った状態になるが
後者を選ぶと
コピー元に含まれるユーザにもアクセス権が含まれるようだ。
じゃあアクセス権て何か?
それはグループポリシーが適用されるユーザにアクセス権限があるということらしい。
で、デフォルトで設定されているAuthenticated Usersってドメイン全ユーザのことらしい。
Active Directory 特定のユーザーをグループポリシーの適用から除外するには(セキュリティフィルタ)
http://office-qa.com/win/win37.htm