セキュリティ雑感

Outlook　Expressのプレビューについて 　を書いていて

「ActiveX をオフ→ http://www.ipa.go.jp/security/ciadr/browser.html を参照」

と言う昔のログを久しぶりに見ました。

ブラウザのセキュリティを設定をする　って個人のサイトじゃなくて情報処理推進機構 セキュリティセンター　とか　独立行政法人 情報処理推進機構　なんてとこなんですが、書き直さないんでしょうか？　このIEの画面って6.0じゃ無い・・・なんて突っ込みは後回しにして、

”「インターネットゾーン」の「セキュリティレベル」を「高」に って”のは良いのですが、
”よく訪れる実績のあるサイトに関しては「信頼済みサイト」に登録”てのも良いのですが・・
この参考画面、「信頼済みサイト」のセキュリティレベルは「低」のままですね～。
当時・・・ってのは2001年9月のNIMDA.Aの頃ですが、私はこのページを見ながらマイクロソフトのサイトを登録しようとしてはねられてしまいました。httpsのチェック項目ですね。それにしても低ではちょっと躊躇します。ところがここでもそうなんです。

IEのセキュリティ設定を変更してセキュリティ機能を強化する（３）　
［インターネット］ゾーンは［高］にし、信頼できるサイトだけを［信頼済みサイト］ゾーンに追加する

ファイルを勝手に実行するホールがIEに，“お勧め”設定の見直しを
増える使用上の制限，ただし安易な「信頼済みサイト」登録は禁物
今週のSecurity Check [Windows編]　（第60回，2002年3月27日）

いや、この３つとも、私がＰＣ音痴で有名でありながら前任者からＰＣセキュリティまで押しつけられちゃって苦心惨憺勉強をしていた「恩師」みたいなとこなんですがね。
でもね～、「［インターネット］ゾーンは［高］にしなさい、でも安易な「信頼済みサイト」登録はダメ！」なんて全社員に言ったら誰も従わない、つまり［インターネット］ゾーンは［高］なんて誰もしないですよ。そこで

ゾーンは全部格上げ！　　インターネットゾーンは「高」、イントラは「中」、信頼済みも「中」、制限付きは最初から「高」だからそのまま。

としました。

変更後の「信頼済み」はデフォルトのインターネットゾーンと同じレベルになります。大体「中」で問題なんか起こさないし、普通は「信頼済みサイト」なんて何も登録していないんですからこれで大丈夫。検討委員会では「登録してもいい認定サイトを選別して示した方が良いだろうか？」なんて意見も出ましたが、
「んなこたやらない！　普段から参照している会社関係、公共機関ならどんどん登録していいです」。

前任者のセキュリティオタクは
「でも地銀なんかでもセキュリティダメダメのサイトもあるよ～」。
私：
「だからなんだってんだい、低じゃないんだから、デフォルトのインターネットゾーンと同じだよ。うっかり少しぐらい危ないサイトが紛れ込んだって今よりは危険度何百分の１じゃん。その変わり全員確実に設定を変えさせること！　リンク踏んでらとんでっちゃった先でセキュリティ高で守ることを徹底させる方が先！」

まあ、デフォルトが「中」で特定のものだけそれより「高」、それより「低」ってのは自然と言えば自然なんですが、だけど最初から危ないと思って「制限付きサイト」に登録して見に行くサイトってなんだい？
そんなとこ見に行くんじゃないよ！　と思いましたけどね。初めて行くから「機能制限付きサイト（セキュリティレベル高）」って方が正しい！

でもデフォルトサイトのインターネットゾーンを「高」にすると、「制限付きサイト」なんて使い道ないじゃない。んじゃ～、「信頼済みサイト」を「中」に上げてしまったから、どうんしてもガードを下げたいところ用に「制限付きサイト」のセキュリティレベルは「低」にしちゃおうか。
なんてホントにに考えたんですが、ふと気が付くと「Outlook 2000 SR-1 電子メール セキュリティアップデート」がHTMLメールを「制限付きサイト」で実行していたんですね。
危ないところでした。（笑）　
こいつは今ではOutlookExpress　でもOutlook　でもデフォルトでそうです。確かにメールのHTMLは機能を制限と言うのは妥当です。最初っからそうすりゃ良かったんですがね。

しかし、「信頼済みサイト」のデフォルト「低」のあの中身はいったい何であんなにユルユルなんだろうと考えたんですが、多分あれでしょう。みんなが「信頼済みサイト」に登録しようとして最初にはねられるちっちゃい四角のデフォルト設定「httpsだけよ！」ってやつ。

要するに今だとSSL-VPNを使う様な営業マンのノートＰＣはインターネット経由でもＬＡＮ内と同じようにガードを下げるみたいな感覚ですかね。いや、私の勤務先ではそうはしていませんが。

そんなことを考えながら「ＰＣセキュリティ・テクニカルガイド」を書いていたのは2001年の年末～翌年３月ぐらいなんですが、つい最近になって
「ハッカーや攻撃者から身を守ることができる3 つのステップ」
 http://www.microsoft.com/japan/security/incident/settings.mspx
を見つけた時には　
ん？　ふっふっふ、わっはっは、　どわははは　(^o^)／
これは正しい、実に正しい、やっと認めたかマイクロソフト！
でしたね。
彼らは「中」レベルでも十分セキュアだって脳天気に言い張っていたんですから、この変身は評価してやって良いと思います。
おせえんだよてめーら！　でも御座いましたが。フキフキ "A^^;

更に先日セキュリティホールmemoで小島先生が高木浩光＠自宅の日記にふれて。

信頼済みサイトゾーンのセキュリティレベルは「中」でなくてはならない (10/17)。 というか、『信頼済みサイトゾーンのセキュリティレベルのデフォルト値が「中」になっていない』事こそがいちばん問題なんだろうなあ……。 というか、「中低」とか「低」ってもう消してもいいんじゃないのかな。

御意！m(_ _)m

ところで高木さん、何て言ってるの？　と読んでみたら。

「次の Web サイトをゾーンに追加する」に次のURLを入力し、「このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする」のチェックを外して「追加」ボタンをクリックします。
NECパーソナル商品総合情報サイト 121ware.com サポート情報番号 004532

と指示しているにもかかわらず、信頼済みサイトゾーンのセキュリティレベルを「中」にするようには指示していない（デフォルトでは「低」）。
素人にセキュリティ設定の説明を書かせるのは、いいかげんやめて頂きたいものだ。
これはスキルとか知識の問題ではない。セキュリティ設定というシビアなものについて、デフォルト設定でチェックされているもののチェックを外させるということは、それが何を意味するかを当然考えてみてしかるべきだ。考えても意味がわからないのなら、セキュリティを業務にしている人に相談してからにするべきだろう。

う～ん、いつもながら辛辣、小気味よい！（笑）
だけど「セキュリティを業務にしている人」だってそう言ってたんだって。私がどうしようかと考えていた頃に読んだものには「信頼済みサイトは中！」なんて書いたものはひとつも無かったですよ。知ってる範囲ではマイクロソフトが初めて。
おっとっと、、、、、[memo:4952]は勿論リアルタイムで見ておりましたが。フキフキ "A^^;

それにしても前述のサイトの原稿を書いた諸先生方は自分ではそういう設定にはしていても、大勢の人間にそうさせたことは無いんじゃないでしょうか？　
いや判りませんが。フキフキ "A^^;