ブログ・くまさんだ

先日も社名を出さずにチラッと書いたのですが、古参のFX業者である株式会社ジェイ・エヌ・エス（JNS）は本日付で金融庁より登録取り消しの行政処分を受けました。　これにより、FX業者としての営業の継続はできなくなり、事実上、廃業に追い込まれることになります。　もし、このブログの読者の方でJNSに口座を開いている方がいらっしゃるようであれば、早急に出金手続きを行うよう推奨します。

さて、この業者なんですが、結構多くのFX関連の有名ブログで取り上げられていて、比較的優良な業者とされてきました。　しかしながら、実態としては法令に違反する行為を行っていたわけで、決して優良な業者ではなかったわけです。　こうなると、何をもって判断するかが重要になってきます。　有名ブロガー達が取り上げてきたのは、もちろん彼等が口座を開いていたケースもあるようなのですが、実態としてはアフィリエイト広告による収入目的だったようです。　実際、彼等のブログに張られているバナーをクリックして口座を開くと、彼等にお金が入るようになっています。

有名なブロガー達が取り上げているから「安心できる」と思っている方がいらっしゃるようであれば、その考えは捨てた方が良いでしょう。　彼等の目的は広告収入でしかないのですから、安全かどうかなんて知ったこっちゃ無いのです。　彼等が実際に口座を開いて資金を投入していない限りは、その業者が破綻しようがどうしようが関係ないのです。

前回も書きましたが、今の所は健全（と思われる）な業者を選択するには、以下の基準で行うしかありません。

1. 株式を上場している業者を選ぶ。
2. 株式を上場している企業の子会社である業者を選ぶ。
3. 短資系の業者を選ぶ。

正直なところ、これとて万全ではないのですが、基準を挙げるとするとこれしかありません。　自分の場合は、基本的に株式や投資信託も取り扱っている証券会社（FX専業で「証券会社」を名乗るところもあるので注意が必要です）に口座を開いています。　いずれの証券会社も親会社が上場しているので、ある程度は安心できるかと思っています。

いずれにしても、万全を期すのならば資金は分散して投入するというのが基本だと思います。　取引が煩雑になってしまいますが、仕方のないことではないでしょうか。　投資の基本は「分散」ですから、口座も複数開設して資金を分散させるのは最低限の自己防衛だと思うしかないでしょう。

先日、北海道教育大学札幌校に設置されているウェブサーバーにフィッシングサイトが構築されていたことが発覚した。　原因は書かれていないが、基本的にはネットワーク管理者の怠慢により放置されたセキュリティホールを突かれたのではないかと思われる。　実は、ウェブサイトの改竄情報などを検索していると大学のサーバーが数多く出てくるのだ。

何故なのだろうか？

それは学内に有象無象に蔓延っているサーバーを管理しきれなくなっているという実態があるのではないかと思われる。　実際、学部毎・学科毎に公開サーバーが設置されている大学を発見するのは容易なことだ。　大企業のサイトなんかは情報システム部門がしっかりしている為なのか、有象無象の公開サーバーという事例を見つけることが難しい。　公開すべきサーバーと、そうでないサーバーをしっかり管理していれば、そして公開すべきサーバーのセキュリティレベルを高めておけば、基本的に不正アクセスに遭遇することなど希である。　大学の場合は私立大学であっても、そういった「民間企業的思考」になっていないために、むやみやたらと公開エリアにサーバーが設置され放置されているのではないだろうか。

あと、比較的多く改竄情報で引っかかるのは中小企業のサーバーである。　これは、少人数で会社の運営をしているために情報システム部門に人を割くことができず、一度設置したら放置されているのが実態だからではないだろうか。　しかも、専門的知識を持った人材がいないために、事後の対応を適切にとることができず、何度も改竄されるのも特徴的である。

改竄などを受けた場合には、基本的には「迅速にネットワークからサーバーを切り離す」事が重要であるのだが、それを行わずに改竄されたページの修復のみを行う中小企業が数多く見られる。　これでは「真っ裸で街を歩く」様なものであり、「どうぞ攻撃して下さい」と言っているようなものだ。　だから、何度も何度もやられるし、本質的な問題になかなか気が付かないのである。

公開サーバーのセキュリティレベルを高レベルに保つのは非常に費用もかかるし、専門的知識を持った人材を確保するのも大変なことである。　たぶん、年商100億未満の中小企業では、対応するのは困難ではないかと思うのである。　前の会社でも「不正侵入検知システム（IDS）」を設置していたが、これの情報を分析するのは非常に難しいものだった。

ただ、簡単にセキュリティレベルを（多少ではあるが）高めることができる方法がある。　それは公開エリア（いわゆる非武装地帯（DMZ））をファイアウォールで保護することと、各サーバーに不要なサービスを起動しないことである。　詳しい話を書くと長くなるので省くが、「裸で街を歩かない」ことが重要なのだと言うことである。　例え透けて見えそうな服（重要な部分は見えてはいけない）であっても丸裸とは違い猥褻物陳列罪に該当しないのと同様の考え方である。　攻撃者が「攻撃しよう」という気が起きないようにしておけば良いだけなのだ。

こんな簡単なことなのだが、それすら行っていないから「容易に攻撃を受け」て「容易に改竄される」のである。　もちろん、日頃からサーバー（OS含む）やネットワーク機器のセキュリティ情報に目を光らせるのは必要なことであるが、「いつ襲ってくるかも判らない攻撃者」に目を光らせるよりは容易であり、対応も簡単なことである。

最後に最も重要なことを書いておくと、先に「改竄などを受けた場合には、基本的には『迅速にネットワークからサーバーを切り離す』事が重要」と書いたが、お客さんに対して公開しているサーバーを長時間ネットワークから切り離すのは心が痛いであろう。　公開サーバーについては予備機を用意しておくのが望ましい。　もちろん、予備機の方は常に最新のセキュリティ対応をしておく等の対策をしていることが重要であるし、コンテンツの同期もとっておく必要があるが、心を痛めることなく攻撃を受けたサーバーを切り離すことができる。　そして、もし警察に届け出るのならば攻撃を受けたサーバーは、そのまま捜査資料として提供すべきであるということだ。

これが本当の最後になるが、専門的知識を持った人材を正社員として確保しておくことが難しいのならば、インディペンデントコントラクターを利用するという手もある。　だいたい、毎日出勤する必要がないのだから、週に一日でも出勤してもらって、サーバーなどの状態の確認をしてもらえれば最低限の安全は確保できるだろう。　実際に安全レベルを高めるには夜間などにサーバーを停止してセキュリティ対応をする必要があるのだが、それは別途予算を組んでサーバーを設置した業者さんに御願いするなどすれば良い話である。　日常の運用には常勤で対応する必要はないのである。

セキュリティというのは大変重要である。　特に情報セキュリティは一層の専門的知識が必要なため、世の中にも人材は不足しているし、対策費用の方も鰻登りである。　そんな状態であっても、中小企業だからといって何もしなくて許されるものではない世の中になっている。　最低限のセキュリティを確保するということは企業としては必須事項になっているのである以上、事業規模に応じた対応を考える必要があるのではないだろうか。

自分では変わり者だとは思っていないんだけど、前の会社では良く言われました。　っていうか、「変人」まで言われたこともありましたよ。　「お前の方が変人だろ」っていうような先輩になんですけどねぇ...言われたのは。

何故、変わり者・変人と言われたのか自分なりに分析をしてみましたが、思い当たるのはこれしかないんですよね。

それは、「常に人と違うことを考える」と言うことなのです。　何か障害が起こったときも、みんなの見ている方向とは逆の方を見ていたりします。　そうすると、不思議なことに解決がスムーズにできるんですよ。　みんなと同じ目線で見ていては解は見つからないんですね。

自分としては、「何か新しいことをやりたい」という志向が入社当初からありました。　今までにないものを作り上げて、「物作りの感動を味わいたい」と常に思っていました。　だから、仕事上で壁にぶつかったりすると、良くトイレに駆け込んだものです。　便座に腰をかけて、誰かが忘れていったスポーツ新聞やマンガ雑誌なんかを見ていると、パッとひらめくことがあったりするんです。　自宅でもそう。　だから、自宅のトイレには本がいっぱい置いてあります。

ひらめきって言うのが大変大事なんですよね。　でも、それは普通の人から見たときには「変」に感じるようで、そこから変わり者だの変人だのと呼ばれるようになったんですね。　とても悲しいことなのですが、それが前の会社の現実でした。　出る釘は打たれるという諺の通り、何か今までにない目立ったことをすると「すぐに異動」になるのです。

それって、企業としては「せっかくの芽を潰す」事になるんですけど、全然気が付いていなかったみたいです。　若い連中は、僕らがそうやって潰されていくのを見て、何もしない連中になってしまったんですよね。　結局、企業としての成長を止めることになってしまったのです。

前の会社を辞めた理由は、技術畑一筋でやってきたのにも関わらず大きなプロジェクトを取り纏めることになって、あまりにも目立ってしまったために、事務系へ異動させられてしまったことがあります。　単に異動させられてしまっただけでなくて、膨大な引き継ぎ事項をまとめるために内示から異動の日まで連日、実質的な徹夜状態になってしまって精神的に参ってしまい、病気になってしまったのです。　病気になっていろいろ考えたときに、企業としての成長性に疑問を持ったというのもあります。

今は体調も良くなって、やる気満々になっています。　新しいことに挑戦したいという四十代の希望を叶えてくれるような企業様が現れてくれるのを待っています。　インディペンデントコントラクターとして、今までの知識のみならず中小企業にとって大変大事なひらめきを提供したいと思っています。　年齢にこだわらずに、その専門性とか発想力（とは言ってもひらめきですから、発想を大量生産できる力は持ち合わせていませんけど...）を大事にしてくれる企業様をお待ちしております。

ハッキリ言います。　一般の会社では「変わり者」として扱われる部類の人間です。　でも、年単位のスパンで考えていただければ、決して損はさせない自信があります。　じっと、ひらめきを待ってくれる企業様がありましたら、お問い合せフォームから御連絡下さい。　御説明にお伺いいたします。

ネットワーク機器・サーバー機器というのは大量の熱を放出するものだ。　従って、それなりの空調を考えないと冷却不足となって、熱暴走などの原因になってしまう。　基本的には空調設計というものが大事という事なのだが、サーバー室の空調設計のみを考えて、サーバーラック内の空調設計を忘れがちなのが結構目に付く。

有名な大学のサーバー室とか、有名な企業のサーバー室とか、データセンターのサーバー室とか...　結構、写真で見かける事があるのだが、本当にラック内の空調設計は忘れ去られているのが殆どである。　いったい、誰（どのような会社）が設計したのか大変気になるのだが、空調設計は基本中の基本であるから忘れないで欲しいものだと思う。

何を言いたいのか？

ラックマウント型サーバーが多数実装されているラックを想像してみて下さい。　ところどころに、機器が実装されていない空間があるとしましょう。　皆さんは、この空間をどう処理されますか？

有名な大学のサーバー室とか、有名な企業のサーバー室とか、データセンターのサーバー室とかの写真を良く見て下さい。　何も処理されていないのが非常に多い事に気が付きませんか？　隙間が空きっぱなしになっているというか、ラックの後ろまで何も実装されていない、本当の空間が空いている事に気が付くと思います。

これ、エコロジー的にはアウトなんです。　サーバーの背面から放出された熱が、サーバーラックの背面板に当たって前面に戻ってきてしまうのです。　そうなると、空間的に設計した空調の冷却量では不足してしまい、より強力に冷風を当てる必要が出てきてしまうのです。　そして、一般のSI業者やメーカーなどに設計をさせると、まず間違いなく空間を空けてきてしまうのです。

実は、前の会社で自分が担当する前のサーバーラックが、そんな感じでした。　何も考えずに実装するから隙間だらけで、空調もへったくれもないという状態だったのです。　自分が担当してサーバー室を設計したときには、ラック内の実装に関しても全て自分の手で設計をして、機器間の隙間にはブランクパネルを実装するようにしました。　42Uのフルラックで3本分くらいのブランクパネルを購入して実装したのです。（ちなみにラック本数は12本）　そうする事で、後方から折り返されてきた排熱が前面の吸気口に回ることなく、効率的に冷却されるので空調も当初設計（といっても、ここの部分は空調担当者に設計してもらった）通りの冷却量で充分冷却する事が可能になりました。

ブランクパネルというのは放送技術者にとっては普通に使っているもので、何ら特別なものではないのでラック設計の段階から図面上にプロットしていましたが、SI業者から出てきた図面は隙間だらけの非効率的な設計図面だったんですねぇ。　一緒に作業をしたSI業者の担当者は、以前は東京の大手町にあるデータセンターでも仕事をした事のある方だったのですが、ブランクパネルを見るのは初めてだったそうです。

意外に知られていない、単なる一枚の板であるブランクパネルですが、そんな数千円のパーツにも重要な意味がある事を忘れてはいけません。

そして、驚く事に同じ放送局でありながら系列27社の中で、サーバーラックにブランクパネルを使っていたのは僕が籍を置いた局だけだったという笑えない実話もあります。　大きな放送局では放送技術を経験せず情報システム一筋という人が取り扱うからブランクパネルというものを知らない。　小さな放送局ではSI業者に丸投げするからブランクパネルというものを知らないということなんですね。

サーバー室のエコ。　僅かな金額のパーツですが、効果は絶大です。　投下費用の回収は、あっと言う間にできてしまうのではないでしょうか。　是非、使っていただきたいパーツの一つです。　見栄えも良くなりますしね。

＜参考までに写真を...＞
　　機器のないところは全てブランクパネルで閉じられています。

皆さんは「信書」というのは御存知でしょうか。　総務省のサイトによると、信書というのは郵便法と信書便法により「特定の受取人に対し、差出人の意思を表示し、又は事実を通知する文書」と定義されているそうです。　簡単に言うと「御手紙」は信書便に該当します。

実は、つい先日ある企業から、信書をクロネコヤマトのメール便で送られてきました。　ちなみにクロネコヤマトのメール便では信書を扱う事ができません。　それは信書便事業者としての許可を受けていないからで、クロネコヤマトのウェブサイトにあるメール便の説明にも、取り扱えないものとして記載されています。

さぁ、もうお判りですね？

その企業は法律を犯してまで送料をケチった（配達記録郵便よりも安い）んです。　そして、クロネコヤマトは信書でない事の確認をせずに、信書を受け取って配達を行ったんですねぇ。　正直なところ、中身を知らずに受託してしまったクロネコヤマトには同情するんですが、こちらが330円（配達記録郵便です）をかけて送った書類（信書）を法律を犯して80円で返送してくる企業には同情の余地はありません。　そもそもが法律を犯しているという以前に、失礼極まりない行為ですからね。

正直なところ、法律を守れないような企業（遵法意識の薄い企業）と仕事をする事にならなくて良かったと思っています。　そのような会社は、全体的に遵法意識が希薄であり、多くの局面で法令違反を犯す可能性があるから、大変危険極まりない企業だと思っております。　将来性についても表向きは良さそうな感じがしていたのですが、実態としてはダメなんでしょうね。

敢えて企業の名前は出しませんが、社長ブログがある企業なので社長自らが反省の弁をブログで表明していただければと思います。　そして、多くのお客さんや信頼を寄せた人たちに対して法律を犯したことについて謝罪すべきだと思います。　それが企業としての責任であると思います。

最近、運送業者のメール便を多用される企業が数多く見られます。　運送業者のメール便を利用する際には「信書便事業者であるかどうか」の確認と、信書便事業者でない場合には「信書を送らないように配慮する」事が大切でしょう。　そして、その点に関しては社員教育もキッチリと行う必要があると思います。

たかがメール便、されどメール便なのです。　企業の遵法意識はこんな些細なところから綻んでいきます。

最近、幾つかの企業のサイトを見る機会があった。　そこには当然のように「個人情報保護方針」が掲載されていたので、そちらを覗いてみた。　そうすると、何かテンプレートのようなものがあるのだろうか？　どこの企業の個人情報保護方針にも同じ事が書かれていたのである。

その中で気になる点を見つけたので書き記しておく。

多くの企業では多少文面的には違うのだが内容的には同じ事として次のような事が書かれている。　「当社は、個人情報の正確性及び安全性を確保するため、情報セキュリティ対策をはじめとする安全管理措置を講じ、個人情報への不正アクセス、または個人情報の紛失、破壊、改ざん、漏えい等の予防に努めます。」　ちょっと長いですが、キモとなる部分は「改ざんの予防に努める」という言葉である。　これは大変重要な事なのだが、多くの企業が意識していない事である。

ところが、その様な文面を掲げている企業に限って、困った事に「改ざん対策がなされていない」のである。　多くの企業のサイトには「お問い合せ」と称してフォームによって個人情報を入力させる仕組みを持っている。　ウチの事務所のサイトも然りである。　で、「改ざんの予防に努める」と称している企業に限って、お問い合せフォームの通信が平文でインターネットの世界を流れる「http://」で始まる通常のHTTP通信なのである。　これでは通信路の途中で改ざんされてしまう可能性が高い。　既に個人情報保護方針は守られていないのである。

ウチの事務所のお問い合せフォームは改ざん対策として「https://」で始まるHTTP Over SSL（SSL通信）を採用している。　当然のことながら、正式なサーバー証明書も取得しているので「安全・安心」なのである。　もっと言えば、サーバーとメールクライアントの間（メール読みだし）の部分にもSSL通信を採用しているのである。　これは、個人情報を守る上では必須の事項だと思うのだが、多くの企業で行われていないのである。

ちなみにサーバー証明書は安価なもので年間4万円弱から入手可能であり、サーバーに関する簡単な知識さえあれば対応は可能な事なのだが、残念ながら行われていない企業が多い。　これは、企業や社内SEの情報セキュリティに対して意識が低かったり、社内SEの理解力不足・能力不足などが原因として挙げられる。

大層な個人情報保護方針を掲げている会社の問い合わせフォームを確認してみよう。　そこで個人情報保護方針が形式的なものなのか中身を伴っているものなのかが良く判る。　個人情報保護方針が形式的なものになっている企業は、正直言って企業としての信用度にも疑問符が付くと考えて良いだろう。　個人情報保護方針に記載されている内容の意味を判っていない企業には、個人情報を保護する事はできない。　そんな企業に、個人情報を提供してはいけないのだという事を、読者の皆さんには理解して欲しいと思うのである。

独自ドメインで運用している中小企業のウェブサイトって、多くが安価なレンタルサーバー（共用型）を借りて運用して居るみたいです。　確かに、ウェブサイトというのは本業になかなか直結せず、売上に貢献するものではなかったりするケースが多いため仕方のない事だと思います。

しかしながら、そのレンタルサーバーが乗っ取りの危険があるサーバーだったらどうでしょう。　あるいは、問題のある行為に荷担しているサイトが多く設置されているサーバーだったらどうでしょう。　本業に貢献しないどころか、足を引っ張る事にならないでしょうか？

乗っ取りの危険があるサーバーというのはどう言ったものを指すのかというと、レンタルサーバー業者に技術的スキルが無く、十分なセキュリティ対策が行われていないケースが相当します。　セキュリティホールが開いたまま放置されているために、クラッキングを受けてサーバーを乗っ取られ、ウェブサイトの改竄が行われます。　安価なレンタルサーバーの場合、1台のサーバー（ハードウェア）に100以上のユーザーが構築されています。　それが丸ごとやられてしまうのですから、自分の領域に問題はなくても影響を受ける可能性が多々あります。　年に数回程度ですが、レンタルサーバーが丸ごとクラッキングに遭っている事が観測されています。

問題のある行為に荷担しているサイトが多く設置されているサーバーというのはどのようなものを指すのかというと、SPAMメール業者が利用しているサーバーだったり、ブログへのコメントSPAMやトラックバックSPAMを行っている業者が利用しているサーバーだったりという事が相当します。　これ、実は札幌市内の某企業が利用しているレンタルサーバーがそれに該当して居るんですね。　そのサーバーはブログへのコメントSPAMやトラックバックSPAMで有名なサーバーなのだそうです。　その様なサーバーを借りていると、ブラックリストに掲載されてしまったりして、他社とのメールのやりとりができなくなったりという事態が発生します。　これは、業務に影響が出てしまう事になりますね。

このように、単純に価格だけでサーバーのレンタル先を決めてしまうと、思わぬ落とし穴に陥る可能性があります。　当事務所のサーバーは、価格的には若干高価なのですが、信頼できる業者を使っています。　僅か数千円で企業の信頼性を失う結果になっては本末転倒という話になります。　僅かなお金をケチることなく、多少高価でも信頼できる業者を利用する事が重要であるという事と、せっかく借りるサーバーですから有効に使わないと勿体ないですね。