  |
はてなキーワード: utmとは
twitterは特に深刻な影響はないが、論文執筆のために利用していた欧米サイトがアクセス拒否される。
VPN越しでもいくつかは見れない。UTMでブラックリスト入りしてるっぽい。
ロシア人は反戦争派が多いが、「デモ参加→拘束→仕事できない→給料発生しない→家族を養えない」という考えがロシアにも一部を除いて一般的なため、とても感情的なロマンチスト達がデモに参加している。
帰国は現時点では考えていない。もう何年もここに住んでいる。地方都市のためモスクワやサンクトペテルブルクのような大都市でないのがいい。この町で在露ウクライナ人のテロが起きることはないだろう。
ロシア人は日本人みたいにわざわざ他人を注意しない。「キチガイは放っておく」が平穏な生活のためのファーストステップだ。
日本人みたいにSNSで挑発的なことはを書くのは教養がない証拠であり、人間関係がうまくいっていない人に非常に多い。
ここではそこまで人を見た目で判断しないため、善人(情弱または純粋な人)がよくカモられている。
家電のシャープがIT業界に進出したってのも驚きだが、いまさら境界セキュリティってのも驚いた。
シャープ株式会社は、攻撃トラフィックを検知・遮断する機能を備えたセキュリティスイッチ「BP-X1PL01」を、1月下旬に発売する。価格はオープン。
BP-X1PL01は、社内のネットワークに侵入したマルウェアなどによる攻撃を遮断し、被害の拡大を抑制するセキュリティスイッチ。社内ネットワークの監視を常時行い、マルウェアなどによるサイバー攻撃を検知すると、発信元の端末をすばやく特定して有害な通信のみをネットワークから遮断する仕組みを備えているため、被害の拡大を抑制できるという。
また、クラウド上の統合管理システムが稼働状況を常時モニタリングしており、異常発生時にはメールによって迅速な通知を行える点も特徴。さらに、複数拠点の状況をクラウドで一元管理できるので、IT管理者の業務を効率化できるのみならず、IT管理者の配置が難しい中小企業やSOHOなどの小規模オフィスにおいても、容易に導入・運用できるとした。加えて、自動セキュリティレポート作成機能を搭載し、脅威の検出状況を数値やグラフで可視化して提示してくれるとのこと。
インターフェイスは、1000BASE-T/100BASE-TX/10BASE-T×8ポート、SFP×2スロットを備えた。スイッチのベースエンジンには、PIOLINK社製のものを採用している。
なおシャープでは、内部対策としてBP-X1PL01を用いる一方で、同社のUTMアプライアンス「BP-X1CPシリーズ」を導入し、出入口対策をあわせて行うことで、より強固なセキュリティ体制を構築可能になるとアピールしている。
192.168.3.0/24。
何の変哲もないクラスCのローカルネットワークだけど、このCIDR表記を思い出す度に懐かしい思いが込み上げる。
10年前俺は、関西の中堅企業で社内インフラの整備を任されていた。
ネットワークは、部署毎にセグメントを設け、部署間をL3スイッチで繋ぐありふれた構成であった。営業1課...192.168.1.0/24、2課...192.168.2.0/24、開発1課...192.168.3.0/24。その他いくつか。
開発職に未練を持ちながらインフラに携わっていた俺は、例えネットワーク越しであっても、開発1課のデバイスにアタッチする度にある種の一体感と高揚感を覚えていた。
俺にとって、192.168.3.254(192.168.3.0/24のゲートウェイアドレス)は、間違いなく華やかな開発職への夢の扉であった。
今、俺の職掌するインフラには、L3スイッチもUTMも存在しない。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
| 時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
|---|---|---|---|---|
| 00 | 101 | 13844 | 137.1 | 54 |
| 01 | 78 | 13546 | 173.7 | 74.5 |
| 02 | 55 | 7964 | 144.8 | 85 |
| 03 | 45 | 5450 | 121.1 | 133 |
| 04 | 20 | 1962 | 98.1 | 107 |
| 05 | 18 | 1095 | 60.8 | 41 |
| 06 | 42 | 3840 | 91.4 | 40 |
| 07 | 28 | 3615 | 129.1 | 34 |
| 08 | 54 | 10981 | 203.4 | 86.5 |
| 09 | 57 | 9371 | 164.4 | 86 |
| 10 | 81 | 9911 | 122.4 | 69 |
| 11 | 188 | 25754 | 137.0 | 52 |
| 12 | 178 | 15691 | 88.2 | 37.5 |
| 13 | 167 | 10499 | 62.9 | 36 |
| 14 | 161 | 10878 | 67.6 | 37 |
| 15 | 156 | 13634 | 87.4 | 37 |
| 16 | 114 | 12630 | 110.8 | 48 |
| 17 | 133 | 13444 | 101.1 | 48 |
| 18 | 132 | 10135 | 76.8 | 37.5 |
| 19 | 103 | 11502 | 111.7 | 37 |
| 20 | 75 | 12140 | 161.9 | 43 |
| 21 | 94 | 8717 | 92.7 | 51 |
| 22 | 90 | 9397 | 104.4 | 62.5 |
| 23 | 127 | 15589 | 122.7 | 44 |
| 1日 | 2297 | 251589 | 109.5 | 46 |
人(248), 自分(196), 日本(104), 女(92), 今(84), 男(82), 話(72), 相手(70), 増田(66), 前(64), 必要(64), 人間(62), 問題(61), 好き(58), 普通(55), 低能(53), 男性(51), 気(49), 感じ(48), 新幹線(48), 女性(46), 最近(44), 安倍総理(44), ー(43), あと(42), 子供(42), 意味(41), 仕事(39), クズ(39), 理由(39), 時間(38), 気持ち(36), 場合(36), 事件(36), 存在(36), 日本人(36), html(36), 社会(35), 批判(35), 言葉(34), 自民党(33), 頭(33), ネット(33), 毎日(32), 先生(32), 金(32), 関係(32), 他(31), 結局(31), 手(30), 嫌(30), 理解(30), しよう(30), 可能性(29), 他人(29), 人生(29), 解決(28), ゴミ(28), いや(28), 国(28), 目(28), 一番(28), 自体(27), 差別(26), 犯人(26), 別(26), レベル(26), 最初(26), 誰か(26), 犯罪(26), セックス(26), 絶対(25), しない(25), まとも(25), 朝(24), 昔(24), ネトウヨ(24), www(24), 方法(24), 被害者(24), 結婚(24), お金(23), オタク(23), じゃなくて(23), 今日(23), 無理(23), 顔(23), 簡単(23), 対応(23), 完全(23), 世界(23), アニメ(23), ダメ(23), ゲーム(23), 全部(23), 幸せ(22), 自殺(22), 友達(22), 親(22), 仕方(22), 先(22)
日本(104), 増田(66), 安倍総理(44), 自民党(33), 可能性(29), 被害者(24), ネトウヨ(24), じゃなくて(23), 中国(19), いない(19), 北朝鮮(18), イケメン(18), ネット右翼(18), マンコ(17), blog(16), ヘイト(16), なんだろう(15), ネット弁慶(15), 安倍(15), いいんじゃない(14), はてブ(13), hatena(13), 元増田(13), 毎日(12), 日大(11), fc2(11), w(11), 社会的(11), スマホ(11), ブクマ(11), OK(10), わからん(10), アメリカ(10), …。(10), ブコメ(10), 殺人鬼(10), モチベーション(10), 日本軍(10), 発達障害(10), ラノベ(9), なのか(9), 20代(9), 殺害予告(9), 朝鮮半島(9), 韓国(9), 自分たち(9), twitter(9), 麻生(9), 安倍晋三(9), 何度(9), E(9), 飲み会(9), リアル(8), マジで(8), 1人(8), A(8), -1(8), 犯罪者(8), ヘイトスピーチ(8), 婦人科(8), トラバ(8), ブログ(8), 沖縄(8), ノンケ(8), 自己責任(8), LGBT(8), 米(7), 東京(7), 韓国人(7), archives(7), utm(7), 5%(7), ニート(7), あほ(7), ある意味(7), 40代(7), 出版社(7), アレ(7), キチガイ(7), 上の(7), キモ(7), 2018年(7), 笑(7), 異世界(7), 好きな人(7), おまえら(7), 集団リンチ(7), k(7), 10年(6), 1万円(6), モテ(6), nhk.or.jp(6), はてサ(6), いいね(6), ATM(6), 必要性(6), 最終的(6), 北方領土問題(6), 自衛隊(6), all(6), w3(6), Twitter(6), ごめんね(6), DNA(6), 北方領土(6), E3(6), な!(6), 基地外(6), 1000円(6), 現実世界(6), あなたに(6)
■毎日自炊してる人々はどうやってモチベーション維持してるの? /20180609214605(28), ■34歳処女だけど経膣エコー受けてきた /20180609174609(15), ■子連れ母「ほら後ろ自転車来るよ!自転車!」 /20180609051754(12), ■お客様は神様意識って /20180610075334(10), ■1万円札以外のお札を持ち歩かない人ってなんなの /20180610093430(10), ■セックスレスの私が彼の下で喘ぐことになった理由/20180610123136(8), (タイトル不明)/20180610141425(7), ■イクときに映像が見える /20180610192256(7), ■カップ麺の美味しい食べ方 /20180610080707(7), ■anond:20180610080707/20180610081758(7), ■なぜ日本を愛さないといけないの? /20180609114041(6), ■通り魔的なやつに遭遇した時に後頭部をバールのようなものでぶん殴っ /20180610194006(6), ■歯学部みたいに産科学部を医学部から独立させるのは? /20180610144850(6), ■カレーとラーメン/20180610112456(6), ■信仰を持つ人は神オタクなんです。 /20180610030820(6), ■誕生日だからマック食べたい /20180610110236(6), ■コスパが最も良い趣味ってなに? /20180610211442(6), ■「機動戦士ガンダム」を異世界転生モノ風のタイトルで /20180610104906(5), ■通り魔事件を無差別殺傷事件などと言うな /20180610124607(5), ■クソフェミ「女性が駅前から200㍍も引きずられてたのに誰も助けない!これだから日本の男は!」 /20180610113450(5), ■[犯罪] 基地外が野放しになってしまった日本/20180610101129(5), ■補正無しで後攻が有利なゲームってあるん? /20180609210219(5)
はてなのホッテントリでカツマーこと勝間和代がこんな記事を上げているのを見たんだけど
最近、家のネットを、IPv4からIPv6へ変更したら、倍くらい速くなりました
http://katsumakazuyo.hatenablog.com/entry/2017/12/27/185233
こういう記事を知ってライトユーザーがIPv6に興味を持ってくれるのはうれしいんだけど、
IPv6(と、IPv4 over IPv6)のセキュリティのリスクがあんまり認識されていない気がする。
例えば、JPNICがIPv6への移行に関してこんな記事を書いているんだけど
https://www.nic.ad.jp/ja/newsletter/No54/0800.html
MAP-E(NiftyやBiglobe)や、はてなーに人気のDS-Lite(IIJやSo-net)だとIPv4の通信をIPv6(IPoE)
を通して通信するんだよね。こういうパケットって、ルーターでフィルタリングできるの?
IPv4 over IPv6対応のルーター(バッファロー、アイ・オー・データ、NEC<レンタル限定>)を
の機能を調べても、MAP-EやDS-Lite経由の通信をどうフィルタしているのかよく分からんなかった。
もし、IPv4 over IPv6の通信はIPv4のようにルーターでコントロールできないんだったら、ルーターの
例えば日本でワナクライが流行しなかったのはルーターが普及していたおかげだし、これからIoT機器が
広まって適切に管理されていないデバイスが広まったらルーターのセキュリティ機能を頼んないと
いけないんだけど大丈夫なのかな。
IPv6だとネットワークに繋がっている機器それぞれにIPアドレスが振られるんだよね。
だとすると、こんなリスクって考えられない?
http://dotsukareta.blogspot.jp/2017/06/ipv6pass.html
この記事だとパソコンのファイアフォールやセキュリティソフトも無効にしているから、
普段こんなことはありえないと思うけど、ルーターが機能していないからパソコン側で
対策しないとネットワークから丸見えなのはどうなんだろうなあ。
で、こんなことにならないようにバッファローのルーターには「NDプロキシ」が
ついているんだけど、バッファローのルーターって管理画面にアクセスするパスワードが
アイ・オー・データのルーターだとユーザー名もパスワードも12文字まで設定できるけど、
デフォルトで「IPv6パススルー」なんだよね。それに追加して「IPv6 SPI」がついているみたい。
NECのIPv4 over IPv6ルーターの機能は説明書を読んでみたけどよく分からなかった。
ヤマハだったら確実かもしれないけど、セキュリティの機能はどうなんだろう。業務用だから
UTMとかと組み合わせて使うものじゃない?(TP-Linkは分からない)
ルーターのパスワードがそれなりに強固で、機能もそれなりに充実しているんだったら
買うんだけどなあ。
実は、auひかりやnuro光だとデフォルトでIPv6が有効になっていることを知ったんだけど、
ルーターの設定が勝手にIPv6パススルーになってたりはしないよね。あと、フレッツ光でも
IPv4 over IPv6の場合と違ってユーザーが知らない間にIPv6対応になっていて、IPv6経由で
ネットワークから機器が丸見えってのは怖いなあ。脆弱性があった時にルーターが機能
しないってのは気になる。
