スマホ未対応なホームページの危険性

2015/10/29 サイト制作, ビジネス系, 技術系 投稿者:竹内

bg_03

今回は『スマホ対応なホームページの危険性』についてお話します。
2015年4月21日より、Googleの検索エンジンの仕様が変わり、「スマートフォンで検索した際に、スマートフォン対応されているサイトを検索結果で優遇する」ということになりました。
逆に言うと
「スマートフォンで検索した際に、スマートフォンに対応していないホームページは検索順位を落とします。」
ということになるわけです。

スマートフォン対応していないとPC用のレイアウトでそのまま表示されてしまうので、文字が小さく見づらい、また、ボタンを押す(タップする)のに拡大したりと使いにくいと感じる方が多いでしょう。
ホームページを見るお客様にそういった不満を感じさせないためにGoogleは「見やすく使いやすいページを優先します」と言っているのです。

ホームページがスマートフォン対応となっているかどうか、Googleのサービスで確認することができます。

モバイルフレンドリーテスト

高まるスマートフォンでのネット接続

img_smartphone03

iPhoneやAndroid端末の普及で、2015年の現在ではPCを使ってホームページを閲覧している人より、スマートフォンで閲覧している人の方が多くなっています。
業種にもよりますが、弊社でサポートさせて頂いているお客様の中には、
アクセス比率、PC:3割、スマートフォン:7割
といったところもあり、尚もスマートフォンでのアクセス割合は上昇傾向です。
スマートフォンでの比率が少ないところでもPCとスマートフォンで同じくらいの割合です。

御社ホームページでのアクセス比率はいかがでしょうか?GoogleAnalyticsでも確認できますし、Webアクセス解析・分析レポート『Groweb!(グローブ)』でもわかりやすく表示されていますのでご確認ください。

スマートフォン対応をしていないホームページの危険性

7割のお客様がスマートフォンでホームページを閲覧している場合、スマートフォン対応をしていなかったらどうなるでしょうか?

7割のお客様が、ホームページを見づらい、使いにくいと感じる。可能性があります。

これが実際にお店だったら…。

来店したお客様のうち7割が、お店の場所がわかりにくい、商品が遠くてみえない。
と感じてしまったら、そこで買い物をするでしょうか?2回目、3回目とリピーターになるでしょうか?

ホームページをスマートフォン対応していないということは、お客様にとって不利益であり、ホームページの運営者にとっても不利益でしかありません。

さらなる危険

Googleの検索エンジンによってスマートフォン対応しているホームページが優先的に表示され、スマートフォン対応をしていないホームページは検索結果の2ページ目、3ページ目と追いやられてしまうことになり、ホームページ閲覧者も減ってしまうことでしょう。

Googleのさじ加減ではありますが、もしかすると「スマートフォン対応していないホームページは検索結果に出しません。」ということになる可能性もあります。
もしそうなってしまったら、
ホームページが見づらい、使いにくい以前に、7割のお客様がホームページの存在を知らず、ホームページを見に来ないという事態になってしまいます。
実店舗では7割もの来客者を失ってしまったら売上も激減することでしょう。

最後に

あくまで私個人の感想としてですが、2015年10月現在、弊社がサポートさせて頂いているお客様のなかで、スマートフォン対応を行っていないことで劇的にアクセスが下がったというホームページは見受けられません。
ですので、スマートフォン対応を行っていない企業様も「まだ間に合う」と思います。
「まだ間に合う=手遅れではない」だけで、いつスマートフォンからのアクセスがガクンと急激に下がってもおかしくない状況になっています。

Googleの検索エンジンの仕様はすでに変わってしまっており、
他社と比較して「まだスマートフォン対応していないのか」と思っているお客様もいらっしゃると思いますので、なるべくお早い「ホームページのスマートフォン対応」を行って頂ければと思います。

次回以降で

img_smartphone02

私が昨年から今年にかけてスマートフォン対応を行った経験から(現在進行中でもあります)の、既存ホームページをスマートフォン対応する方法新規にスマートフォン対応ホームページを構築する際の注意点などについてご紹介できればと思います。

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

ブログ
Nedia What's up!
 HOME  ブログ
これだけは入れておけ!私がWordPressで使っているプラグイン

2015/10/27 サイト制作, 技術系 投稿者:竹内

今回は『私がWordPressで使っているプラグイン』についてご紹介いたします。
私自身が今後WordPressで構築する際の備忘録として、また実際に使ってみた時のちょっとした注意点などについて書き綴っていこうと思います。
※ お使いのWordPressのバージョンやテーマによっては不具合が出る場合がありますのでご注意ください。

有名どころ、基本的なプラグイン

必ず入れているプラグインです。みなさんも導入していると思いますので簡単な説明をさせていただきます。
私が詰まったことや注意する点をちょっと足してみました。

Akismet

Akismet

最初から入っているプラグインです。
このプラグインはコメントやトラックバックでのスパム対策を行ってくれます。
ただ有効にしただけでは正常に動作しません。Akismet API キーを取得して登録を行う必要があるので注意が必要です。

All In One SEO Pack

All in One SEO Pack

ページタイトル、検索キーワードやディスクリプションなどアクセスアップが見込める各種設定のほか、GoogleAnalyticsやウェブマスターツールの設定を行うことができます。
こちらのプラグインを導入することで、各固定ページ、投稿に対して個別に設定ができるようになりますので、アクセス解析を行いアクセスアップを図るには重要なプラグインと言えます。
設定方法については詳しく説明している方が多数いらっしゃいますのでそちらをご参照ください。

ダウンロードはこちらから → All In One SEO Pack

Contact Form 7

Contact Form 7

問い合わせフォームはこれを使っています。
直感的でわかりやすく、多数のデザインテンプレートでも使われています。
注意点として、初期の設定では、問い合わせを行ったお客様へ送る自動返信メールの送信元に「WordPress」と入ってしまう事があります。
自動返信メールの設定の「送信元」に“株式会社ネディア”<○○○@nedia.ne.jp>ときっちり設定することで送信元が正常に表示されるようになります。

ダウンロードはこちらから → Contact Form 7

WP-PageNavi

WP-PageNavi

投稿記事が多くなってきた時に2ページ目、3ページ目とページナビゲーションを生成してくれるプラグインです。
ブログ記事主体のWordPressでは最初から入っていてもおかしくないほど便利なプラグインです。

ダウンロードはこちらから → WP-PageNavi

動作を軽快にするプラグイン

WordPressは多機能で便利である反面、アクセスの都度動的にページが生成されるため、動作が重くなってしまう事があります。
一般的にホームページにアクセスして表示されるまでに2秒以上かかってしまうとお客様は帰ってしまうと言われていますので、ページを早く表示させることは重要です。
また、ページを生成する際のサーバー負荷を軽減したり、更新を行うブログの担当者に恩恵がある管理画面を軽くするプラグインもありますので、そちらをいくつかご紹介します。
※ 動作を早くするキャッシュ系のプラグインを複数入れるとバッティングしてWordPressが動かなくなる事がありますので注意が必要です。

Zen Cache(Quick Cache)

Zen Cache

もともとQuick Cacheというプラグインだったのですが、Zen Cacheに変わりました。
このプラグインはあらかじめ生成したページをサーバ内に置いておいて、アクセスがあった際に毎回ページを生成する事なく生成済みのページを表示するキャッシュ系のプラグインです。
キャッシュ化したページを表示させることでサーバーに負荷がかかることなく、素早くページを表示することができます。
無料版でもそこそこ効果がありますので、表示が遅いと思ったら試してみるのも良いです。

私も使っていますが、WordPressにログインしている状態だと早くなったような気はしません。ですが、ログアウトした状態(一般の方が閲覧する環境)だととても早くページが表示されます。

有料版になると、ユーザーエージェント毎にキャッシュ表示させるかさせないか、ログインした状態でも早くなったりする管理者向けの便利な機能などいろいろ利点があるようです。

ダウンロードはこちらから → Zen Cache

WP Hyper Response

詳しくはよくわからないのですが、cssやjsを並行作業で読ませることで「体感」速度を向上させるプラグインのようです。
キャッシュ系のプラグインほど劇的な向上は無いように感じますが、管理画面での更新作業が多少早くなっている気がします。上記キャッシュ系のプラグインではないため両方とも使っています。

ダウンロードはこちらから → WP Hyper Response

他にも

『WP Super Cache』や『WP File Cache』などキャッシュ系のプラグインがいくつかありますが、私は『Zen Cache』と『WP Hyper Response』の2つを利用しています。
当ブログでも両方使っています。

その他のプラグイン

あると便利なプラグインなど。
構築するWordPressによって、使う時もあれば使わない時もあります。環境にあわせて試してみてください。

PS Disable Auto Formatting

PS Disable Auto Formatting

固定ページや投稿記事を作成する際、自動でタグが入ってしまったりして煩わしい事が多々あります。
その自動でタグが入ることを防いでくれるプラグインです。
固定ページだけ適用してタグが自動追加されないようにし、投稿記事は自動でタグが入るようにするなどの設定もできます。
WordPress構築当初に実装するのは良いですが、運用中のブログに対して導入すると過去の記事が崩れてしまったりするので注意が必要です。
(過去のページには適用しないという設定もあります)
ダウンロードはこちらから → PS Disable Auto Formatting

EWWW Image Optimizer

EWWW Image Optimizer

画像を自動で圧縮、リサイズしてくれます。
あとから導入した場合にも過去の画像を加工してくれます。
デジカメの画像をそのままアップしてしまう事があるお客様用のブログに効果的です。

ダウンロードはこちらから → EWWW Image Optimizer

Head Cleaner

Head Cleaner

WordPress特有の肥大化するhead領域を「多少」綺麗にしてくれます。

ダウンロードはこちらから → Head Cleaner

WPLite

WordPressが重くなるのを防いでくれるプラグインです。

ダウンロードはこちらから → WPLite

WP-SlimStat

WP-SlimStat

GoogleAnalyticsを確認せずとも、管理画面内である程度のアクセス状況の把握が出来るプラグインです。

ダウンロードはこちらから → WP-SlimStat

Bulk Delete

Bulk Delete

素のWordPressでは意外とできない「ごっそりある投稿記事をまとめて消す」ができるプラグインです。ユーザー単位、カテゴリー単位で投稿をまとめて消すことができます。

ダウンロードはこちらから → Bulk Delete

ちょっとしたWordPressの設定など

プラグインだけではなく、WordPress管理画面の「設定」の項目も忘れずに適切な設定しておきましょう。
また、「プロフィール」にもちょっとした設定がありますのでご紹介します。

管理画面の「設定」

「一般」→「週の始まり」
「日曜」に。カレンダーが日曜から始まっていないと気持ち悪いので。

「投稿設定」→「更新情報サービス」
投稿を公開した際に自動で通知するサービスリストです。Yahoo!やGoogleなど主要な通知サービスのURLを追加しましょう。

「表示設定」→「検索エンジンでの表示」
WordPress制作中は「インデックスしないように」設定し、本稼働スタート時にチェックを外します。 チェックを外し忘れると検索に引っかかりませんのでご注意を。
また、社内利用目的のサイトなど検索に引っかかりたくない場合に設定します。

プロフィール

ビジュアルリッチエディターを使用しない
チェックを入れることで、投稿記事作成画面に[ビジュアル][テキスト]というビジュアルエディター(自動でタグ入力される)を使用するか、テキスト形式(自分でタグ入力を行う)を選択する ボタンが表示されなくなり、テキスト形式に固定されます。個人的にビジュアルエディターは必要ないのでチェックを入れています。

管理画面の配色
WordPress管理者と記事の投稿者で配色を変えると、管理者アカウント名がブログに表示されてしまったりする更新ミスを防ぐことができると思います。

最後に

WordPressは制作を行う技術者にとっても、運用を行うお客様にとっても便利で多機能なツールである反面、バージョンやバックアップを管理したり、原因不明な不具合にみまわれたり大変な事も多いです。
そんななか、困ったときに検索すると大抵の解決法については偉大なる先駆者様が記してくれています。
助けられてばっかりでありましたが、私もWordPressで困っている人の助けになれればと、今後も自分の直面した問題とその解決法を残していきたいと思います。

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

ブログ
Nedia What's up!
 HOME  ブログ
YAMAHAルータの実機・検証 第9回 インターネットVPNの構築

2015/10/23 YAMAHA, 技術系 投稿者:長澤

これまでのVPN構築例では、

などフレッツ網やVPNクライアントソフトウェアなどを使ったVPN構築を紹介しました。今回はRTX1210を使用した拠点間のインターネットVPNの構築を紹介します。

一般的にインターネットに接続する場合、プロバイダから動的IPアドレスが割り当てられます。
動的IPアドレスはルータの再起動やNTTやプロバイダのメンテナンスなどでインターネット通信を再接続した場合、IPアドレスが変わってしまうことがあります。
固定IPアドレスは通信が切断し再接続してもプロバイダから通知されている決まったIPアドレスが付与されます。

インターネットVPNは基本的に両拠点とも固定IPアドレスをプロバイダから取得してVPNを構築します。固定IPアドレスを取得するには一般的なプロバイダ費用の他に固定IPアドレス取得する為の費用が別途掛かります。ただし、動的IPアドレスでもVPNを構築する方法はあります。

これから紹介する2つの事例ですが、本社はプロバイダから固定IPアドレスを取得していることを前提とし、支店が固定IPアドレスの時と動的IPアドレスの時の構築例を紹介します。
まずはじめに支店が固定IPアドレスをプロバイダから取得したVPN構築を紹介します。

インターネットVPN設定(本社と支店が固定IPアドレスを取得)

本社および支店のIPアドレスはプロバイダから固定IPアドレスを取得したVPN構築例です。

ネットワーク構成

 case-9-2

本社およびY支店のWAN側はプロバイダから固定IPアドレスが付与されます。

ルータ設定内容

■本社 ルータAの設定内容

■Y支店 ルータYの設定内容

本社および支店のルータをそれぞれ設定することで、インターネットおよび本社とY支店間の通信が確立されます。
上記の設定はルータA、ルータYで登録された固定IPアドレスからの接続のみVPN接続を行うのでセキュリティが高く保たれます。

続いて、本社は固定IPアドレスでY支店が一般的な動的IPアドレスを用いた時のVPN構築例です。

インターネットVPN設定(本社は固定IPドレスで支店が動的IPアドレス)

まずは、本社はプロバイダから固定IPアドレスが付与され、支店は動的IPアドレスが割り当てられます。

ネットワーク構成

 case-9-1

本社はプロバイダから固定IPアドレス、支店が動的IPアドレスが付与されます。

ルータ設定内容

■本社 ルータAの設定内容

本社と支店が固定IPアドレス時の設定内容と異なる点は、VPN設定の一部を変更するだけでVPN接続ができるようになります。下記に具体的に説明します。

支店も固定IPアドレス時の設定の28行目に

が設定されていますが、支店が動的IPアドレス時は上記は必要ないのでを削除します。

また、支店も固定IPアドレス時の設定の30行目に

が設定されていますが、これを

に変更します。これでルータAの設定は完了です。

続いてY支店の設定です。

■Y支店 ルータYの設定内容

こちらもルータAと同様にVPN設定の一部を変更します。具体的には、

支店も固定IPアドレス時の設定で25行目に

がせて地されていますがこれを削除するだけで本社とVPN接続ができるようになります。

上記の設定は支店が移転などで移設することになっても設定を変更することなくそのまま使うことができます。
ただし、プロバイダによってはインターネット回線の種別変更、利用する都道府県が変わることでISPの接続アカウント、ISPのパスワードが変更になる場合もあるので注意が必要です。

ダイナミックDNS (動的DNS/DDNS)を使ったVPN構築

ダイナミックDNSとは固定IPアドレスを取得できない時にホスト名と動的IPアドレスを紐付けして対応させる仕組みです。このダイナミックDNSを利用することで固定IPアドレスをプロバイダから取得することなく拠点間のVPN構築することも可能です。
YAMAHAでは「ネットボランチDNSサービス」という名称でダイナミックDNSサービスを無償で提供しています。「ネットボランチDNSサービス」を利用したVPN構築については次の機会で紹介したいと思います。

まとめ

 支店側IPアドレスが動的IPアドレスの場合と固定IPアドレスの場合の比較表です。

利便性 セキュリティ 運用コスト
支店側が固定IPアドレス
支店側が動的IPアドレス

支店が動的IPアドレスの場合、支店のIPアドレスが不定期に変わってもVPN接続ができるので、支店の移転やルータを別の場所で再利用する時でもプロバイダ情報をインターネット回線の環境に合わせて変更するだけで使うことができます。また、運用コストもプロバイダから固定IPアドレスを取得する必要がないので低く抑えることができます。ただし、固定IPアドレスを使わないのでVPN情報が漏えいした場合、他の場所でVPN設定をしたルータを利用すると本社とのVPN接続ができてしまいます。セキュリティはどうしても固定IPアドレスを取得する方法より低くなってしまいます。

支店も固定IPアドレスの場合、プロバイダから固定IPアドレスを取得するのでプロバイダ費用の他に固定IPアドレス用の費用が掛かります。また、拠点間のルータで登録されたIPアドレスのみでしかVPN接続を許可しないので移転などの場合、移転先のインターネット回線の環境にあった固定IPアドレスをプロバイダから再取得する必要があります。
しかしながら、登録されたIPアドレスのみの接続を許可するので、VPN情報が漏えいした場合でも登録されたIPアドレスからしかVPN接続しないのでセキュリティは非常に高くなります。

支店のIPアドレスを固定IPアドレスにするか動的IPアドレスにするかはそれぞれメリットがあります。
しかしながら、最近の個人情報の取り扱いについて日々厳しくなっている現在、企業で取り扱っている情報をしっかりと守るためにも拠点間のIPアドレスはプロバイダから固定IPアドレスを取得して運用することをお勧め致します。

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

ブログ
Nedia What's up!
 HOME  ブログ
CentOS7徹底入門 -firewalld- 2-2

2015/10/15 技術系 投稿者:佐藤

前回に引き続き、firewalldについての解説を行います。
今回は、ポート指定及びポートフォワーディングの設定と複雑なルール設定(リッチルール)についての解説がメインとなります。

ポートの公開設定について

firewall-cmdにサービスが登録されていない場合には、ポート番号とプロトコル(TCP/UDP)を指定して、ポートを公開する設定を行う必要があります。

ポートの公開設定

書式 firewall-cmd [–permanent] [–zone=(zone)] –add-port=(portid)/(protocol) [–timeout=(seconds)]

ポートを公開する場合には、”–add-port”オプションを使います。”–zone”オプションを使って、どのゾーンに対して設定を行うのか指定します。
ゾーンを指定しなかった場合には、デフォルトゾーンに対して設定が行われます。(portid)にはポート番号または/etc/servicesに登録されているサービス名を指定します。
8001-8010のように、ポートの範囲で指定することもできます。なお、プロトコルは、tcp,udpのどちらかです。

“–permanent”を指定しない場合、設定は一時的に行われます。再起動すると設定が失われますので、注意が必要です。さらに、”–timeout”オプションを付けると、指定した時間の間だけサービスが公開されます。
“–permanent”オプションを付けた場合には、すぐには設定が反映されません。設定を反映させるためには、firewalldに設定を再読み込みさせる必要があります。

TCPの8001~8010番ポートと、POP3ポートを公開する場合の設定例がこちらです。

ポートの公開停止

書式 firewall-cmd [–permanent] [–zone=(zone)] –remove-port=(portid)/(protocol)

ポートの公開を停止するには、”–remove-port”オプションを使います。”–zone”オプションを使って、どのゾーンに対しての設定を行うのか指定します。ゾーンを指定しなかった場合には、デフォルトゾーンに対して設定が行われます。
“–permanent”を指定しない場合、設定は一時的に行われます。再起動すると設定が失われますので、注意が必要です。
TCPの8001~8010番ポートの公開を停止する場合の設定例がこちらです。

ポートの公開状態の表示

ゾーンで、どのポートが公開されているかを調べるには、”–list-ports”オプションを使います。デフォルトゾーン以外のゾーンを表示したい場合には、”–zone”オプションを使って、どのゾーンに対して表示を行うのかを指定します。

ポートフォワーディングの設定について

ポートフォワーディングは、特定のポートで受け取ったパケットを、別のポートや別のホストへ転送する機能です。firewalldでは、ポートフォワーディングの設定も柔軟に行うことができます。

ポートフォワーディングの設定

書式 firewall-cmd [–permanent] [–zone=(zone)] –add-forward-port=(expression) [–timeout=(seconds)]

ポートフォワーディングの設定は、”–add-forward-port”オプションで行います。(expression)には、次のような書式で転送元のポートとプロトコル、転送先のアドレスとポートを指定します。

expressionの書式 port=(portid):proto=(protocol)[:toaddr=(address)][:toport=(portid)]

(portid)には、8001-8080のようにポートの範囲で指定することもできます。プロトコルはtcp、udpのどちらかです。

TCPの10022番ポートで受け取った通信を、192.168.1.2 の22番ポートへ転送する設定の追加例がこちらです。

ポートフォワーディングの停止

書式 firewall-cmd [–permanent] [–zone=(zone)] –remove-forward-port=(expression)

ポートフォワーディングの設定を停止するには、”–remove-forward-port”オプションで行います。(expression)は、”–add-forward-port”と同じ書式で指定します。
TCPの10022番ポートで受け取った通信を、192.168.1.2の22番ポートへ転送する設定を停止する場合の例がこちらです。

ポートフォワーディングの表示

書式 firewall-cmd [–permanent] [–zone=(zone)] –list-forward-ports

現在設定されているポートフォワーディングの設定を表示するには、”–list-forward-ports”オプションを使います。デフォルトゾーン以外のゾーンを表示したい場合には、”–zone”オプションを使って、どのゾーンに対して表示を行うのかを指定します。次はその実行例です。

複雑なルール設定(リッチルール)

ここまで解説した”–add-service”や”–add-port”の設定では、非常に簡単にサービスやポートの通信を許可することができます。しかし特定のホストからの通信だけを許可したり、反対に特定のホストの通信だけを 拒否したりする設定を行うことはできません。
そこでそのような詳細な設定を行いたい場合に使うのが、リッチルールです。リッチルールの設定方法について説明します。

リッチルールの追加

書式 firewall-cmd [–permanent] [–zone=(zone)] -add-rich-rule=(rule) [–timeout=(seconds)]

リッチルールを追加する場合には、”–add-rich-rule”オプションを使います。”–zone”オプションを使って、どのゾーンに対して設定を行うのかを指定します。ゾーンを指定しなかった場合には、デフォルトゾーンに対して設定が行われます。
“–permanent”を指定しない場合、設定は一時的に行われます。再起動すると設定が失われますので、注意が必要です。さらに、”–timeout”オプションを付けると、指定した時間の間だけサービスが公開されます。

△ルールの書式 △パケットの特定ルール

①”family”では、IPv4またはIPv6のどちらかを必ず指定します。
②”source address”,”destination address”では、それぞれ送信元IPアドレス、宛先IPアドレスを指定することができます。invert=trueを指定すると、指定したホスト以外という意味になります。
③”service”では、公開するサービスを指定します。また、”port”を使って、ポートを指定することもできます。(service)、(portid)、(protocol)の指定方法は、”–add-service”、”–add-port”のオプションの指定の場合と同じです。
“forward-port”を指定すると、ポートフォワーディングの設定を行うことができます。

△ログ

④”log”を指定すると、特定のパケットを受け取ったことをログに記録することができます。(prefix)は、ログに記録するときに先頭に付与される文字列です。levelではsyslogのレベルを指定することができます。
(loglevel)には、emerg、alert、crit、error、warning、notice、info、debugが指定できます。limitでは、ログに記録することができる最大数を指定することができます。(rate)には数値を、(duration)には期間を指定します。

△アクション

⑤”masquerade”を指定すると、IPマスカレードが有効になります。
⑥最後の”accept”、”reject”、”drop”は、特定したパケットをどうするのかの指定です。”accept”の場合にはパケットを受け取ります。”reject”の場合には受け取りを拒否してICMPメッセージを返却します。”drop”は単純にパケットを破棄します。

△ルールの適用例

vnc-serverサービスへのアクセスを192.168.3.5からだけ許可する場合の設定例がこちらです。

特定のポートを特定のエリアからだけ許可する場合の設定例がこちらです。

リッチルールの表示

書式 firewall-cmd [–permanent] [–zone=(zone)] –list-rich-rules

ゾーン設定されているリッチルールを調べるには、”–list-rich-rule”オプションを使います。デフォルトゾーン以外のゾーンを表示したい場合には、”–zone”オプションを使って、どのゾーンに対して表示を行うのかを指定します。

リッチルールの削除

書式 firewall-cmd [–permanent] [–zone=(zone)] –remove-rich-rule=(rule)

リッチルールを削除する場合には、”–remove-rich-rule”オプションを使います。”–zone”オプションを使って、どのゾーンに対して設定を行うのかを指定します。ゾーンを指定しなかった場合には、デフォルトゾーンに対して設定が行われます。”–permanent”を指定しない場合、設定は一時的に行われます。再起動すると設定が失われますので、注意が必要です。(rule)の指定方法は、リッチルールの登録時と同じです。
リッチルールの削除は、指定する内容が長いため、”–list-rich-rules”で表示した内容をそのまま指定するのが良いでしょう。

GUIによるパケットフィルタリング設定

CentOSには、GUIでパケットフィルタリング設定を行うためのソフトウェアが付属しています。GUIから設定を行うと、簡単に条件を設定することができるので便利です。

GUI管理ツールの導入

GUIでのパケットフィルタリング設定の機能は、firewall-configパッケージをインストールすることで使用可能になります。ただし、GUIの管理ツールを使うためにはデスクトップ環境をインストールしている必要があります。

GUI管理ツールの利用

パケットフィルタリング用のGUIの管理ツールは、デスクトップにログインし、GNOMEデスクトップメニューのアプリケーション→諸ツール→ファイアウォールから起動します。

起動すると、認証画面が表示されますのでユーザのパスワードを入力し、「認証する」をクリックします。すると、下図のような画面が表示されます。

ファイアウォールの設定画面

firewall-config01

設定は、次のような流れで行います。

①画面上部の「設定」のメニューから「実行時」または「永続」を選びます。
②画面左側のゾーンの一覧から設定を行うゾーンを選びます。
③「サービス」「ポート」「ポート転送」「高度なルール」などのタブを選択します。
④設定を変更します。
⑤①で「実行時」を選んだ場合には、設定は即時反映されます。「永続」を選んだ場合には、「オプション」→「firewalldの再読み込み」を選択し、設定を反映します。

「サービス」「ポート」「ポート転送」「高度なルール」などのタブでは、firewall-cmdと同様の設定項目を設定することができます。

今回のfirewalldの解説はここまでとなります。

firewalldとiptablesの違い

firewalldとiptables/ip6tablesとの違いは大きく2つあります。1つは「ゾーン」という新しい概念が導入されたこと。そしてもう1つは動的にファイアウォールのポリシーを変更出来るようになったことです。
「ゾーン」により使い分けが用意になったことは確かに歓迎すべきポイントではありますが、動的に既存のIP接続を切断することなく、ルールを追加・変更できるようになったのが一番の違いでありメリットだと言えます。
firewalldも仕組み的に裏ではiptablesが動いていることもあり、できることに大差はないように思えてしまいますが、クラウドコンピューティングや仮想化された環境では、firewalldのようなダイナミックファイアウォールが不可欠になっているようです。

まとめ

全2回でfirewalldの解説を行いましたが、いかがでしたでしょうか?
サービスやポートを指定したルールに比べると最後に紹介したリッチルールは書式がやや複雑で使いこなすことが難しいと感じる方もいらっしゃるかと思います。
そんなときにオススメしたいのが、比較的分かりやすいGUIで設定を行った上で
# firewall-cmd –permanent –list-rich-rulesを使って設定内容を確認する方法です。
この方法であればリッチルールの書式に慣れていない場合でも確実に設定を行うことができるので便利です。

今後に備えてCentOS7で標準のファイアウォールとなったfirewalldをまずは一度使ってみるところから初めてもらえればと思います。

最後にfirewalldについてより理解を深めたい方は、こちらのサイトがオススメです。

https://fedoraproject.org/wiki/FirewallD/jp

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

ブログ
Nedia What's up!
 HOME  ブログ
CentOS7徹底入門 -firewalld- 1/2

2015/10/13 技術系 投稿者:佐藤

今回はCentOS7から採用されたfirewalldについて、全2回の記事で解説を行います。

firewalldの特長

firewalldは、Dynamic Firewall Manager と呼ばれています。

従来のCentOSが採用していたiptables/ip6tablesでは、パケットフィルタリングのルールを変更するとサービスの再起動が必要でした。
そのため再起動の間は、いったんパケットフィルタリングのルールが無効になることから、通信が途絶えたり、許可すべき通信が拒絶されるなどの原因となっていました。
こうした問題を解決するため開発されたfirewalldは、設定を変更してもサービスを再起動する必要がありません。

またfirewalldは、Linux内部において、NICごとに仮想的なファイアウォールを設置する機能を提供します。

firewalld03

事前にゾーンというものを定義し、そのゾーンに対して許可するサービスを定義します。そして定義したゾーンをLinuxサーバ上のNICと紐付けを行うという方法で設定していきます。 (ゾーンについては後述致します)

iptablesは設定すれば全NICに適用されましたが、firewalldはNIC毎に設定を用意し適用させることができるため、より細かいパケットフィルタリングのルールが可能になっています。

firewalldサービス

CentOSにおけるfirewalldのユニット名は、firewalld.serviceです。firewalldサービスのサーバプロセス名は、/usr/sbin/firewalldです。
firewalldはスタンドアロンのデーモンプロセスとして常駐します。

firewalldサービスの情報
Unit name firewalld.service
Selinux module firewalld 1.0.6
Daemon program /usr/sbin/slapd
Configuration /etc/firewalld/firewalld.conf
Document files usr/share/doc/firewalld-0.3.9/

サービスの自動起動

firewalldは、CentOS7を最小構成でインストールした場合でもインストールされています。またfirewalldパッケージをインストールした時点で、自動的に起動されるようになっていますが、意図的に停止していた場合、下記のコマンドで開始させます。

一時設定と永続設定

firewalldの設定は、設定ファイルを編集するのではなく、firewalld-cmdを使って行います。また、firewalldのパケットフィルタリングルール設定は、特に何の設定も行わなければ、一時的にしか有効にならないものがあります。永続的に有効にするためには、”–permanent”オプションを指定する必要があります。
以降の解説では、”–permanent”が必要な場合には、明示的に書式例を表示します。

ゾーンの設定

firewalldでは、ネットワークインターフェースをゾーンというグループに分けて管理します。CentOSでは、あらかじめ下記のゾーンが定義されています。

分類 ゾーン名 役割 デフォルト許可サービス
一般用途 public デフォルトのゾーン。公共領域での利用を想定。受信コネクションを選択的に許可。 ssh、dhcppv6-clinet
work 業務での利用を想定したゾーン。ほとんどのコンピュータが信頼できる環境での利用を想定。受信コネクションを選択的に許可。 ssh、ipp-clinet、dhcpv6-client
home 家庭での利用を想定したゾーン。ほとんどのコンピュータが信頼できる環境での利用を想定。受信コネクションを選択的に許可。 ssh、ipp-clinet、mdns、samba-client、dhcpv6-client
ファイアウォール internal ファイアウォールの内部ネットワーク側での利用を想定したゾーン。ほとんどのコンピュータが信頼できる環境での利用を想定。受信コネクションを選択的に許可。 ssh,ipp-client,mdns,samba-client,dhcpv6-client
external ファイアウォールの外部ネットワーク側での利用を想定したゾーン。他のコンピュータが利用できない環境での利用を想定。受信コネクションを選択的に許可。 ssh、IP masquerade
dmz ファイアウォールのDMZでの利用を想定したゾーン。受信コネクタを選択的に利用可。 ssh
特殊 block 受信パケットは基本的に拒否。外部への通信とそれに関連する受信パケットだけを受信。
drop 受信パケットは基本的に破棄。外部への通信とそれに関連する受信パケットだけを受信。
trusted すべてのネットワークコネクションを許可。

ゾーンは、ネットワーク構成と深く関連しています。firewalldをインストールした段階では、すべてのインタフェースがpublicゾーンに所属しています。これを、目的に合わせて適切なゾーンに変更します。

なお、通常はCentOS7をファイアウォール単体として使うことはありませんが、今回はfirewalldの説明を分かりやすくするため、下記の図を含めてにCentOS7をファイアウォールとして使った場合を想定してご説明します。

firewalld04

ゾーン一覧の参照

システムで利用可能なゾーン名を調べるには、”–get-zones”オプションを使います。システムであらかじめ定義されてる利用可能なゾーン名が一覧表示されます。

現在の設定の調査

デフォルトゾーンの調査

現在のデフォルトゾーンが何かを調べるためには、”–get-default-zones”を指定します。次のように、現在のデフォルトゾーンが表示されます。

デフォルトゾーンの変更

デフォルトのゾーンを変更します。デフォルトゾーンを変更すると、これまでのデフォルトゾーンに関連していたコネクションやインタフェースも、一緒に変更されますので注意してください。

アクティブなゾーンを調べる

現在、インタフェースやコネクションが紐づけられているゾーン名と、関連するインタフェース名を一覧表示します。次はその実行例です。

インタフェースのゾーンを変更する

インタフェース(interface)のゾーンを変更します。(zone)を省略するとデフォルトゾーンに設置されます。次は、enp0s3をworkゾーンに変更する場合の例です。

ゾーンの設定内容の表示

“–list-all”オプションを使うと、ゾーンに設定されている内容をすべて表示することができます。”–zone”オプションを使って、どのゾーンの設定を表示するのかを指定します。
ゾーンを指定しなかった場合には、デフォルトゾーンが表示されます。”–permanent”を指定しないと現在有効な設定が表示され、指定すると永続的な設定が表示されます。
次は、ゾーンの設定内容を表示した例です。

サービスの公開

ゾーンの設定が完了したら、必要に応じてサービスの公開を行います。firewall-cmdには、あらかじめ多くのサービスが定義されています。 規定されているサービスについては、後ほど説明するポートの公開設定を使うのではなく、ここで説明する方法を利用する必要があります。

サービス一覧の表示
firewalldにあらかじめ登録されているサービスは、firewall-cmdに–get-servicesオプションを付けて実行することで表示することが出来ます。

サービスの公開設定

firewall-cmd [–permanent] [–zone=(zone)] –add-services=(services) [–timeout=(secounds)]

サービスを公開する場合には、”–add-services”オプションを使います。”–zone”オプションを使って、どのゾーンに対して設定を行うのか指定します。ゾーンを指定しなかった場合は、デフォルトゾーンに対して設定が行われます。

“–permanent”オプションを指定しない場合、設定は一時的に行われます。再起動すると設定が失われてしまうので、注意が必要です。さらに、”–timeout”オプションを付けると、指定した時間の間だけサービスが公開されます。

“–permanent”オプションを付けた場合でも、すぐには設定が反映されません。設定を反映するには、firewalldを再読み込みさせる必要があります。次は、HTTPサービスを公開する場合の設定例です。

サービスの公開停止

サービスを停止する場合には、”–remove-service”オプションを使います。”–zone”オプションを使って、どのゾーンに対して設定を行うかを指定します。ゾーンを指定しなかた場合には、デフォルトゾーンに対して設定が行われます。
“–permanent”を指定しない場合、設定は一時的に行われます。繰り返しになりますが再起動すると設定が元に戻りますので注意が必要です。次は、HTTPサービスの公開を停止する場合の設定例です。

サービスの公開状態の表示

ゾーンで、どのサービスが公開されているのかを調べるには、”–list-services”オプションを使います。デフォルトゾーン以外のゾーンを表示したい場合には、”–zone”オプションを使って、どのゾーンに対して表示を行うのかを指定します。
次は、設定されているサービスの一覧を表示する例です。

今回は、firewalldの特長から基本的な操作までの解説を行いましたが、いかがでしたでしょうか?
文法自体は単純なので、実際に利用していけばすぐに慣れるはずです。

次回はより実践的なポート指定及びポートフォワーディングの設定や複雑なルール設定(リッチルール)についての解説をメインに行います。

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

ブログ
Nedia What's up!
 HOME  ブログ
マイナンバー保管・管理対策 ~技術的安全管理について~

2015/10/07 技術系 投稿者:細谷

今回は技術的安全管理の4項目とマイナンバーを取り扱う管理ツールついてご説明致します。
前回の安全的管理措置を読まれてから見ることをお勧めいたします。

アクセス制御

担当者以外の者が特定個人情報ファイル等にアクセスができないように、アクセス制限を行う必要があります。

    <ガイドラインによる手法の例示>
  • 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
  • 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
  • ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

セキュリティのポイント!
ユーザーアカウント制御による個人データへのアクセス権を設定することで対応ができます。
administratorやrootなどの特権ユーザーに関しても無条件でファイルにアクセスができないように設定します。

アクセス者の識別と認証

担当者が正当なアクセス権を有する者であることを、識別した結果に基づいて認証する必要があります。

    <ガイドラインによる手法の例示>
  • ユーザーID・パスワード・ICカードを使用してアクセス者を識別する。

セキュリティのポイント!
個人データに対して正当なアクセスであることを確認するために、アクセス権限を持っている担当者本人かどうか認証ができれば良いので、個人データへアクセスするパソコンのログインパスワードを設定します。
ただし、パスワードを設定する場合は下記の点に気を付けて設定をすることをお勧めいたします。

  • 他の端末でのパスワードを共用しない
  • パスワードの文字数を8文字以上にする
  • 推測されやすいパスワードを設定しない(abc123、電話番号など)
  • パスワードを紙などの媒体に記録しておかない

 

外部からの不正アクセスなどの防止

情報システムに対する外部からの不正アクセスや不正ソフトウェアによる侵害から保護する仕組みを導入し、適切に運用する必要があります。

    <ガイドラインによる手法の例示>
  • 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
  • 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
  • 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
  • ログ等の分析を定期的に行い、不正アクセス等を検知する。

セキュリティのポイント!
Windowsのアップデート・ウィルス対策ソフトのアップデートは忘れずに行ってください。
自動更新の設定をしておくと楽に更新ができます。
メーカーのサポートが切れたOSは極力使わないようにしてください。
各ソフトウェアの更新やログの分析を定期的に行いたい場合、ツールを入れずに管理することはとても骨が折れます。
後述するEasyAsetManagerの導入をお勧めいたします。

情報漏洩等の防止

特定の個人情報をインターネットなどにより外部に送信する場合に情報漏洩が起きないように防止する必要があります。
前回の記事、物理的安全管理措置でも紹介している「機器及び電子媒体等の盗難等の防止」の通信に関する部分を取り上げています。

    <ガイドラインによる手法の例示>
  • 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。
  • 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護が考えられる。


セキュリティのポイント!
ツールを使用して暗号化をしたほうが確実ですが、ファイルにパスワードを掛けておくだけでも効果的です。
やり取りする場合のパスワードはあらかじめ決めておきましょう。

IT資産管理・PC監視ツールの導入がマイナンバー管理に有効

IT資産管理・PC監視ツールを使用することでマイナンバーのセキュリティに関する対策がグッと楽になります。
ツールは「LanScope Cat」と「SKYSEA Client View」や「EasyAsetManager」など複数あります。
資産管理・PC監視ツールでお悩みの方は下記の記事をご参考にしてください。
Easy Asset Manager ~情報漏えい・セキュリティ対策~ その1
Easy Asset Manager ~情報漏えい・セキュリティ対策~ その2

IT資産管理・PC監視ツールを導入することによって技術的安全管理措置に対するほとんどの項目で有効です。
IT1
弊社の長澤が紹介している通りですが、導入コストが安く、機能も他の資産管理ツールと見比べても遜色ありません。
マイナンバー対策としても運用が可能ですのでこの機会に検討されてみてはいかがでしょうか。

クラウド管理ツールはマイナンバー対策に有効?

マイナンバーの管理・保管について、社内で管理をせずクラウドに全部預けてしまえるクラウド管理ツールが発表されています。
まだマイナンバーの本格運用には至っていない為、実装されていない機能などがありましたが二つ試用版を試すことができました。

「マイナンバー管理 freee (フリー)」
マイナンバー管理free
「MFクラウドマイナンバー」
MFクラウドナンバー
詳細は各ホームページをご覧ください。

以下に試用してみて気になった点を記述します。

マイナンバーの委託について情報がはっきりしていない
マイナンバーを別の会社に委託する際「委託先に対する監督の義務」が発生します。
今回紹介してきた安全管理措置が委託先でも措置がとられているか確認をし、説明を受け理解されたうえで業務を委託する必要があります。
もし、委託先がいい加減な安全管理措置を行っていて情報漏洩が発生してしまった場合、委託元にも責任を問われることになります。
よって、委託をする際は委託先がどういった対応をしているのか説明を受け見極める必要があります。
クラウド管理ツールですとそういった安全管理措置にたいしての情報が今のところホームページ上でしか確認ができません。
マイナンバーについてはしばらくは自社で管理して、信頼できる管理会社様を見極めてから使用したほうが良いかもしれません。

外部のパソコンからもアクセスできてしまう
ブラウザを通じてインターネットからクラウド管理ツールの管理画面へとアクセスする為、メールアドレスとパスワードが漏れてしまった場合、外部のパソコンからでもアクセスができてしまいます。
メールアドレスとパスワードについては十分気を付けて管理をする必要があります。
今後対応されるかどうかはわかりませんが、端末ごとにアクセス制限する方法が必要ではないかと思いました。

社内のセキュリティ対策は合わせて必要
クラウド管理ツールへアクセスするパソコンがウィルスに感染していた状態では元も子もありません。
「クラウド管理ツールにすべてまかせてあるから安心」というわけにはいきません。
社内の電子媒体に関するセキュリティ対策は合わせて必要になります。

お手頃価格で保管ができる
それぞれ月額1,000円以下でマイナンバーの「保管」ができるところはすごく魅力的だと感じました。(「MFクラウドマイナンバー」は従業員数により月額変動 1,000円以上のプラン有り)自社内で管理する場合、高いセキュリティを求めるとどうしてもコストが高くなってしまいます。そうしたセキュリティとコストの点を一気に解決できるので利用する価値はあるかと思います。
画面もシンプルで見やすいです。

まとめ

今回は技術的安全管理という点から対策や管理ツールを紹介しました。
IT資産管理ツールやクラウド管理ツールは確かに便利ですが、導入すればすべて解決するわけではありません。
日頃から情報セキュリティに対する意識を高く持つことが一番の対策になります。

情報セキュリティに対して少しでも興味がある方から見れば今回紹介した記事はそれほど難しいことをしているわけではありません。
この「それほど難しくないこと」を企業として当たり前にすることが重要だと考えています。
マイナンバーの管理の為に準備をしたり、運用方法を考えたりするのはすごく手間のかかることですが、これを機に社内の情報セキュリティを見直してみてはいかがでしょうか。

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

ブログ
Nedia What's up!
 HOME  ブログ
マイナンバー保管・管理対策 ~物理的安全管理について~ 

2015/10/06 技術系 投稿者:細谷

マイナンバーの通知が開始されます

マイナンバーの通知が10月から開始されました。
実際に運用が開始されるのは来年の1月からですが、マイナンバーについてどういう対策をしたらよいのかわからない方もいるかと思います。
この記事では中小企業向けのマイナンバーの管理についてどの程度対策をしたらいいのかをご紹介させていただきます。全2回の予定です。

マイナンバーについての説明は内閣官房のサイトについて説明がされていますので詳細は省きます。
ざっくりと説明致しますと・・・

マイナンバー(個人番号)とは、国民一人一人が持つ12ケタの番号のことです。

マイナンバー制度を導入することによって、「行政の効率化」「国民の利便性の向上」「公平・公正な社会の実現」というメリットがあります。
主に、行政手続きの簡素化や管理の向上、それに伴ったサービスの提供ができるようになります。

平成28年10月から住民票を有するすべての人に、一人一つのマイナンバーが通知されます。
通知が始まるのは10月からですが、実際に行政手続きで必要になるのは平成29年1月からとなっています。
マイナンバーが必要な行政手続きは、下記の3つになります。

  • 年金・医療保険・雇用保険・福祉に関する社会保障
  • 税金
  • 災害対策

上記以外の手続きで使用することは原則として禁止されています。

企業内で、社会保障や税金の手続きをするために使用したマイナンバーを適切に保管する必要があります。

マイナンバーの保管について

マイナンバーの保管詳細については特定個人情報保護法のガイドラインをご確認ください。
下記の4つの安全措置を検討し実施する必要がございます。

1. 組織的安全管理措置
この項目では個人情報・マイナンバーの取り扱いを組織的にどのように運用するか定めていくことを示しています。

  • 組織体制の整備
  • 取扱規程等に基づく運用
  • 取扱状況を確認する手段の整備
  • 情報漏洩事案に対応する体制の整備
  • 取扱状況把握及び安全管理措置の見直し

具体的には情報を取り扱う担当者を決める。情報漏えいした場合の従業員から責任者への報告体制を整備します。

2. 人的安全管理措置
この項目では個人情報・マイナンバーを取り扱う担当者が適切な取り扱いをしているか監視をすることや、個人情報を取り扱いするにあたっての注意事項などを従業員に徹底させることを示しています。

  • 事務取扱担当者の監督
  • 事務取扱担当者の教育


3. 物理的安全管理措置

  • 特定個人情報等を取り扱う区域の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち出す場合の漏洩等の防止
  • 個人番号の削除、機器及び電子媒体等の廃棄

4. 技術的安全管理措置

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報漏洩等の防止

上記のなかで特に3.物理的安全管理措置と4.技術的安全措置について触れていきます。
*技術的安全措置については次回ご説明いたします。

安全措置は企業の大きさに関わらず対応する必要がありますが、大企業で講じている対策を中小企業が無理にする必要はありません。
各企業に適した対策をとることが重要ですが、どの対策を取ればいいのかわかりづらいかと思います。
そこで、ガイドラインに掲示されている例を元に中小企業向けに対していくつか対策を紹介していきます。

物理的安全管理措置について

特定個人情報等を取り扱う区域の管理

<ガイドラインによる手法の例示>
入退室管理及び管理区域へ持ち込む機器等の制限等
入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等
取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座席配置の工夫等
kuiki
セキュリティのポイント!
本来であれば専用の別室を設けて監視カメラを設置し、入退室の管理をするのが理想的ですがコストがかかります。
別室や入退室のシステムを導入することが困難な場合はパーティションを区切って区域を分けることで対応が可能です。
また、データの取り扱いのできるパソコンを分けておくことも可能です。

機器及び電子媒体等の盗難等の防止

マイナンバーや個人情報を取り扱う機器及び書類の盗難を防ぐための対策です。

<ガイドラインによる手法の例示>
取り扱う電子媒体・書類を施錠できるキャビネット・書庫に保管
情報を保管しているパソコンにセキュリティワイヤーをつけて持ち出しさせない。

セキュリティのポイント!
離席時に個人情報などの書類・電子媒体を机の上に置かないようにすることをお勧めいたします。
離席時にパソコンの画面が見られないようにパスワード付のスクリーンセーバーが起動するように設定をします。
覗き見防止用のフィルターを使用することをお勧めいたします。

電子媒体を持ち出す場合の漏洩等の防止

マイナンバーや個人情報が記録された電子媒体または書類を持ち出す場合、情報が簡単に漏れないようにすための対策です。

<ガイドラインによる手法の例示>
持ち出しデータの暗号化、パスワードによる保護、施錠できるカバンの使用
tounan
セキュリティのポイント!
プリンターにて個人情報を印刷することがあるかと思いますが、その際は共有のプリンターを使用せず専用のプリンターを用意することをお勧めいたします。
USBメモリでの持ち運びは紛失する危険があります。
USBメモリを使用する場合は下記の要件を満たしたものをお勧めいたします。
・パスワードロック機能でユーザ認証
・書き込みデータをウィルスチェック
・ハードウェアレベルの自動暗号化

個人番号の削除、機器及び電子媒体等の廃棄

<ガイドラインによる手法の例示>
特定の個人情報が記載された書類を廃棄する場合、焼却または溶解などの復元不可能な手段を採用する
特定の個人情報が記載された電子媒体を廃棄する場合、専用のデータ削除ソフトウェアの利用または破壊により復元不可能な手段を採用する。
haiki
セキュリティのポイント!
書類を廃棄する場合シュレッダーで削除をしても対応が可能です。その際はクロスカット、マイクロカットのシュレッダーをお勧めいたします。
電子媒体を削除する場合は、専用のデータ削除ソフトを使用してから改めて物理的に破壊をすることをお勧めいたします。

マイナンバーの管理対策・・どこまでやればいい?

マイナンバーのガイドラインには「安全管理措置について対策を講じる必要がある」とはありますが、具体的な対策については企業側にゆだねられています。
情報漏えいのリスクを限りなくゼロにすることが望ましいのですが、コストや運用面での手間もあります。
今回は物理的安全管理措置について紹介しましたが、あくまでも物理的安全管理措置に関してのご紹介ですのでこのままでは不十分なところもございます。
次回ご紹介する技術的安全措置と合わせて参考にしていただければ幸いです。

カレンダー

    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910