タイトルと画像が不揃いな感じもしますが(^_^;)、東日本大震災から６年が経った今日、実際には昨日(^_^;)、MS Windowsで使用しているソフトウェアの二つにアップデートの必要があり、昨日から今日にかけてアップデートを試みていたのですが、ポリシーが変わったというのか時代の要求なのか、これまでとは異なる対応が見られたことに、東日本大震災から６年という節目と重ね合わせて感じることが有ったというお話です。

上の画像はパソコン用のGPU（画像処理用チップ）で有名な NVIDIA社ドライバーのアップデート途中の画像です。

実は昨日からアップデートを試みていたのですが、ログインしないとアップデートができない仕組みに変わっていました。一応、ログイン用のユーザー名は表示されるのですが、パスワードが違っているというので、ログインできずアップデートができない状態でした。パスワード変更など色々と試してみたのですが、埒があかない状態で一旦保留にしました。

自宅に帰ってプライベートPCを起動すると、同様にアップデートを促されました。（機種は違いますが、同じNVIDIAのGPUが載っています）

あっ、やっぱりやらなくちゃいけないんだ。と散々失敗していたのに、もう一度やってみようと試みたところ、あっさりと更新できてしまいました。

そして先程、仕事用PCで昨日できなかったアップデートに改めて挑戦しました。結果は失敗でした。

この時ふと気づいたのが、NVIDIAに登録したユーザーアカウントが、仕事用もプライベート用も同じにしていたのですが、「これが原因かもしれない！」と新規にユーザーアカウント登録をしてみました。すると、あっさり更新が行えます。

どうやらPC毎に別のアカウントを使ってやらないと更新ができない仕組みになったようだと気付きました。

「厳しくなったなぁ！」という思いと、「これからはこれ位やらなくちゃ守れない領域があるんだろうな」という思いが同時に湧き上がりました。それだけセキュリティ的に個別管理をして行かないと、どこでインシデントが発生するか分からないし、個別にアカウントで管理しておけば、インシデント発生時にも対処のきっかけを掴みやすいという事だと思います。これが一つのアカウントで複数のPCでの利用をされていると余分な手間をかけなくてはいけませんから、緊急時に迅速な対応をしようとするなら、こうした方がいいんだろうという事です。

それともう一つ、パスワードの在り方です。上記のアカウント登録でのパスワードに、より複雑なパスワードが要求されていました。

従来は、３～８文字の間で「アルファベット、数字、記号を使用して」という程度の決まりでしたが、今回は「９文字以上の長さで、大文字・小文字のアルファベット、数字、記号のすべてを含むこと」という、なかなかハードルの高い要求です。勝手に打ち込んでおけばよいというのでは、覚えることはできませんから、何かしら自分に関係のあるキーワードを使って、これらの要求を充たすというのは大変です。

後で書きますが、近頃の暗号化は強力なので、そう簡単に復号することはできないのですが、それでもシンプルなパスワードは、想定しやすく、辞書攻撃という「ありそうなパスワードを片っ端から試していく」という攻撃により破られる場合も考えられるわけです。弊社のサーバに対しても、こうしたアタック（サーバーを乗っ取ったり、動作を不安定にさせる）は、毎日のように発生しています。

こうした状態は、上端の画像のイメージにそっくりです。ゲームとして攻撃されているという意味でも。(=_=)

さてもう一つ、ウェブページを閲覧するソフトウェアを「ブラウザー」と言いますが、このブラウザー世界にも変化の波が押し寄せているようです。

まずは、MS Windows10 での標準ブラウザーが「インターネット・エクスプローラー」ではなく「マイクロソフト・エッジ」に変わったことです。

MS Windows10を新規にインストールしてすぐの状態では、タスクバーに e のアイコンがあって、「エクスプローラー」と「エッジ」のどちらかを選べるような風になっていました。それが、昨日お客様のPCを操作させていただいたところ、「エッジ」しか起動しなくて、「エクスプローラー」の起動アイコンが見つからなかったのです。いろいろ探っていると、なんと「アクセサリー」の中に見つけました。
「インターネット・エクスプローラー」の扱いは、標準ブウラザーから一気に「アクセサリー」に格下げされたわけですね。ちょっと驚きでした。

その驚きを感じたまま、帰社して自分のPCを起動すると、いつも使っているブラウザー「ファイアーフォックス」が自動更新されました。「おっ、ちょっと久しぶりの更新だな！」と思って、更新後いくつかのサイトを巡ったのですが、なんとログインが必要なサイトにアクセスしようとしたら「この接続は安全ではありません。ここに入力したログイン情報は漏えいする可能性があります。」と表示されたのです。

えっ？！

と一瞬たじろぎましたが、すぐ理解できました。(^_^;)

このサイトは https:// ではなくて http:// でアクセスするサイト、暗号化を施されていないサイトなので、情報が漏洩する可能性があります。という警告メッセージが表示されたと理解しました。（https:// で始まるのは暗号化されているサイトです。）

ここで簡単に説明しますと、これまでのインターネットでは暗号化というのは特別な用途でしか使われてきませんでした。例えば個人情報などを入力しなければいけない通販サイトとか、ネットバンクなどのような場合です。暗号化することによって、個人PCとサーバー間の通信から個人情報が漏洩する危険性は縮小されます。
しかし暗号化するには、そのサーバーを第三者機関により証明してもらう必要があり、証明書の利用料が発生するのです。これがなかなか高額だったんですね。だから特殊な用途でした利用されてこなかったわけです。

ところが近頃のPCは、高性能化が顕著に進み、暗号化された通信も短時間で復号できてしまうという、ちょっと危険な状態になってしまいました。そのためにPC関連のソフトウェアを作成している会社同士で協力して、暗号化の複雑化を進めました。1024bit から 2048bit への変更。そして 1024bit の廃止。という流れです。さらにオレオレ詐欺ではないですが、オレオレ証明書とも言われる、第三者機関が発行した訳ではない自分で勝手に作った証明書で暗号化している場合にも、警告を発してそのままでは接続できないようになりました。

このように暗号化自体の世界も、より安全を求めて対策されてきたのですが、ファイアーフォックスでは、ログインしようとする場合、暗号化されていないと危険だよ！という警告を表示するまでになってきたわけです。

もう、ちょっとカルチャーショックというか、そこまでするか？！という気がしないでもないですが、暗号化への誘導をするためには、これ位しなくちゃいけないのかもしれません。多くの人は、これで「暗号化しなくちゃ！」と思うでしょうからね。

しかし、ぶっちゃけ、ほとんどの通信データがグーグルに吸い取られてるというか、検索キーワードだけでなく、どんなウェブサイトを見ていたかもグーグルに把握されて、それに関連する広告が表示されてしまうのを見ると、グーグルが勝手に情報収集するのは放置していいのか？と思う今日この頃です。

※分かりやすくするために技術的な正確性を多少犠牲にして書いていますので、ご容赦ください。