iOS 15.5 , iPadOS 15.5 , watchOS 8.6 , macOS 12.4 等セキュリティアップデート

5/18/2022

0 コメント

iOS , iPadOS 15.5 , watchOS 8.6 , macOS 12.4 などセキュリティアップデートがリリース

今回のセキュリティアップデートはかなり対応項目が多めです。リリースされたOSは以下の通りです。既に悪用された形跡のある CVE は無さそうですが、なかなか危険そうなものが多いので、早めのアップデートをお願いします！

iOS & iPadOS 15.5
macOS Moterey 12.4
macOS Big Sur 11.6.6
macOS Catalina - Security Update 2022-004 Catalina
watchOS 8.6

iOS , iPadOS エンタープライズ機能

このタイミングで Apple Business Manager での管理対象Apple ID として、Googl Workspace とフェデレーションが行えるようになりました。
特殊文字を含む tel:// リンクが呼び出しを開始しないかった問題が修復されています。
アプリのURLスキームのリンクが、メール、メッセージ、その他のアプリで有効となりました。
Always On VPN用に構成されたデバイスが、ネットワークに参加するときにキャプティブネットワークアシスタントをロードできない問題が修復されています。

macOS Monterey エンタープライズ機能

Googl Workspace とフェデレーションした管理対象 Apple ID でサインインできるようになりました。
MDM が、[後でインストール] コマンドの後に追加の更新ステータス情報を照会できるようになりました。
複数のネットワーク拡張機能、イーサネットアダプタを備えたネットワーク拡張機能を使用すると、ネットワークが応答しなくなる問題を解決しました。
Kerberos SSO拡張機能が自動的に再接続、自動的にサインインに失敗する問題を解決しました。
Microsoft Teams へのリンクが Safari から開けなかった問題を解決しました。
パスワードのリセットを試みた後に、ログインウィンドウに戻るためにファームウェアパスワードの入力が必要だった、 IntelベースのMacコンピューターの問題を解決しました。

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

iPhone ロック解除パスコードのセルフ・リセットサービス

5/12/2022

0 コメント

iPhone ロック解除パスコードのセルフ・リセットサービス

貸与されているiPhoneや、iPadのロック解除パスコードを忘れて困った経験はどなたもお持ちかと思います。このような社給デバイスのロック解除パスコードのリセット依頼は、想像よりも多く、ヘルプデスクスタッフにとっても頭の痛い問題でした。

iPhoneのロック解除パスコードを自分で解除したい！

当社ではお客様のスマートデバイスの運用業務をお請けしているケースも多く、ユーザからは自分でリセットしたいという声が多く寄せられておりました。
　そこでお客様の要望に応えてiPhoneのロック解除パスコードをセルフ・リセットできるサービスを開発しました。まずは JamfPro ユーザの限定となりますが、今後 Ivanti Nurons for MDM (旧MobileIron）、 Intune にも拡大予定です。また、同時に Mac コンピュータのパスワードリセットも同じ仕組みでできそうなので、順次サービス内容も拡大予定です。

iPhoneのロック解除パスコードのセルフ・リセットについては･･･

本サービスには、契約最小デバイス数の制限があります。また価格などにつきましては、営業までお問い合わせください！

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

JamfPro API のユーザ認証方式の変更に備えよう

4/15/2022

0 コメント

JamfPro API のユーザ認証の変更に備えよう

2022年の8月～12月に API のユーザ認証で Basic 認証が廃止に

JamfPro ギークの皆さんこんにちは！

JamfPro ギークの管理者にとっての1つの腕の見せ所でもありますが、JamfPro API を使って今日もゴリゴリとスクリプト書いたりされていることと思います。

さて、Jamf Developer サイトによれば今年 2022年の8月～12月のどっかで、Basic 認証が廃止され、OAuth2.0 へ移行されるという記載があることはご存知の通りと思います。

https://developer.jamf.com/jamf-pro/docs/classic-api-authentication-changes

今日は、その認証方式の変更について具体的に書いていこうと思います。

JamfPro API のユーザ認証の変更とは？

気がつけばもう4月ですよね。8月～12月の間ってもう時間が無いじゃないか？！と実は焦った自分でして、そのうちやろうと思ってたらあっという間にQが終わっていたりしたわけですが、繁忙期の3月も過ぎ去りましたので、ちょっと腰を据えて新しい認証についてまとめてみました。

一言で言えば Basic 認証から、Bearer 認証への変更となります。

今までの Basic 認証はユーザIDとパスワードが常に全てのAPIエンドポイントつきまとうものであったのに対し、Bearer 認証は OAuth2.0 Access Token として定義された規格であり、最初の認証によって発行されたアクセストークンを、HTTPヘッダーのスキームの Authentication Bearer として指定することで、一定期間の認証と認可をトークンにまとめることができるようになります。少々大がかりなWebシステムであれば、セッション管理の中でアクセストークンを管理すれば良いので、認証・認可について思い悩む必要はなくなるメリットがある反面、JamfPro でよく使うような単機能スクリプトでは、結局ユーザID,パスワードは使う上に、Bearer アクセストークンも使わないといけないので、少々スクリプトが冗長になる可能性があります。いや、絶対なります。

Bearer アクセストークンは発行後、Basic 認証ユーザのアクセス権を持ったアクセスチケットとして json 形式（下記）で戻されます。発行されたタイイングで有効期限（30分）も設定されますが、使い終わったら必ず無効化をしなければならないことに注意してください。ロジック次第ですが、アクセストークンは何らかのタイミングで無効化＋再発行しても良いですし、使い方は作り手次第ってところもあります。




{
    "token": "eyJhbGciOiJIUzUxMiJ9...",
    "expires": "2022-01-24T21:35:20.373Z"
}

主に使われるBearer 認証APIは以下のようになります。
これから記載するサンプルコードの動作は確認してありますが、動作保証はしませんので自己責任でご利用ください。また、スペースの関係上エラー処理はしておりませんので、戻り値については下記リンクを参照の上、エラー処理を組み込んでいただければと思います。

https://developer.jamf.com/jamf-pro/docs/jamf-pro-api-overview

/api/v1/auth/token	POST	Basic認証を用いた Bearer アクセストークンの取得
/api/v1/auth	GET	Bearer アクセストークンの有効性の確認
/api/v1/auth/keep-alive	POST	Bearer アクセストークンの更新（無効＋再発行）
/api/v1/auth/invalidate-token	POST	Bearer アクセストークンの無効化

ケース1： bash スクリプトからの JamfPro API アクセス

よくお目にかかる bash スクリプトです。以下のスクリプトは自Macコンピュータの UDID の MDM Capable User を Jamf に問い合わせて、JamPro 上の拡張属性に返すスクリプトです。




#!/bin/bash
udid=$( ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/{print $3}' | tr -d '"' )
jssurl='/usr/bin/defaults read /Library/Preferences/com.jamfsoftware.jamf.plist jss_url'
apiuser=""
apipass=""
// Basic認証で MDM Capable User を取得します
user=$( curl -k -H "Accept: application/xml" -s -u ${apiuser}:${apipass} ${jssurl}JSSResource/computers/udid/${udid} | xmllint --xpath '/computer/general/mdm_capable_users/mdm_capable_user/text()' -)
if [ "$user" = "" ];
then
        echo "<result>Missing</result>"
else
        echo "<result>$user</result>"
fi
exit 0

今後スクリプトの以下のような形で Bearer アクセストークンを使って API アクセスが必要になります。
結局、スクリプトの中にユーザID、パスワード、Bearer トークンが勢揃いするので何かモヤモヤしますが・・・戻り値は json 形式ですが、パースのために Python モジュールを使っています。




#!/bin/bash
udid=$( ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/{print $3}' | tr -d '"' )
jssurl='/usr/bin/defaults read /Library/Preferences/com.jamfsoftware.jamf.plist jss_url'
apiuser=""
apipass=""

# Bearer トークンを取得します
jssapitoken=$( curl -X POST -k -u ${apiuser}:${apipass} -s ${jssurl}api/v1/auth/token -H "Accept: application/json" -H "Accept-Language:ja,en-us;q=0.7,en;q=0.3" | python3 -c "import sys, json; print(json.load(sys.stdin)['token'])" )

// Bearer トークンで MDM Capable User を取得します
user=$( curl -k -H "Accept: application/xml" -H "Authorization: Bearer ${jssapitoken}" -s ${jssurl}JSSResource/computers/udid/${udid} | xmllint --xpath '/computer/general/mdm_capable_users/mdm_capable_user/text()' -)

// Bearer トークンを無効に
res=$( curl -X POST -k -H "Accept: application/json" -H "Authorization: Bearer ${jssapitoken}" -s ${jssurl}api/v1/auth/invalidate-token )

if [ "$user" = "" ];
then
        echo "<result>Missing</result>"
else
        echo "<result>$user</result>"
fi
exit 0

bash スクリプトでは json のパースがいまいちスマートさに欠けますね。jq がインストールされてればこんな感じにシンプルに書くこともできます。




# Bearer トークンを取得します
jssapitoken=$( curl -X POST -k -u ${apiuser}:${apipass} -s ${jssurl}api/v1/auth/token -H "Accept: application/json" -H "Accept-Language:ja,en-us;q=0.7,en;q=0.3" | jq -r '.token' )

ケース2： PHP からの JamfPro API アクセス





<?php

// $bPost -- TRUE:POST  FALSE:GET
function curlsession($url,$headers,$bPost,&$res)
{
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_POST, $bPost);
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
        $res =  curl_exec($ch);
        var_dump($res);
        curl_close($ch);
}

// Barer トークンを取得(POST)
$jssurl="https://COPORATE.jamfcloud.com/";
$apiuserpass="apiuser:apipass";
$encodedCredentials = base64_encode($apiuserpass);
$headers = array(
    "Accept: application/json",
    "Accept-Language:ja,en-us;q=0.7,en;q=0.3",
    "Authorization: Basic ${encodedCredentials}"
    );
$url = "${jssurl}api/v1/auth/token";
curlsession($url,$headers,TRUE,$rres);
unset($headers);

// json を連想配列にセット
$tokenarray = json_decode($rres,true);
$jamftoken= $tokenarray['token'];

// モバイルデバイスの一覧を取得(GET)
$headers = array(
    "Accept: application/json",
    "Authorization: Bearer ${jamftoken}"
    );
$url = "${jssurl}JSSResource/mobiledevices";
curlsession($url,$headers,FALSE,$rres);
unset($headers);

// Bearer トークンを無効に(POST)
$headers = array(
    "Accept: application/json",
    "Accept-Language:ja,en-us;q=0.7,en;q=0.3",
    "Authorization: Bearer ${jamftoken}"
    );
$url = "${jssurl}api/v1/auth/invalidate-token";
curlsession($url,$headers,TRUE,$rres);
unset($headers);


?>

まとめ

いかがでしたでしょうか？2022年の8月～12月って何か範囲広って思ってますが、JNUC 2022 でここらへんも明らかになるのかもしれないですね。

なんとなくですが、今後の単機能スクリプトはスクリプト単位に認証するのではなく、認証するためのユーザID,パスワードは base64 エンコードしたものを Mac のどっかの plist にでも入れておいて、それを定期的に別スクリプトでメンテナンスしつつ、その plist から Basic 認証情報をとって Bearer アクセストークンを取得するみたいな流れになるのが綺麗な気がするなぁ。

ま、そんなわけで、皆さんも来る Basic認証廃止の日まで、新しい認証方式へ対応いただけますと幸いです。

c u !!

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

JamfPro 緊急メンテナンス中です

4/4/2022

0 コメント

JamfPro 緊急メンテナンス中です

Spring Framework のゼロデイ脆弱性対応と、クリティカルな不具合の修正で緊急メンテナンスが行われています。日本のお客様には影響ない時間帯で既に実施されておりますが、一部、初期のお客様に関しては US East の AWS 環境であるため、本日 4日の 8時から 13 時間の間メンテナンス中でログインできない可能性がございます。（4日の21時まで）

お手数ですが、このようなお客様に関しましては、当社までご連絡ください。

社会的に不安定な情勢が続く中、サーバやコンピュータ、ITインフラへの攻撃が増加しております。Jamf 社も、当社もお客様に安心してご利用いただける環境の維持に努めております。何卒ご理解のほどよろしくお願い申し上げます。

0 コメント

iOS & iPadOS 15.4.1 , macOS , tvOS , watchOS もリリース、バグ Fix と重要セキュリティアップデート有

4/1/2022

0 コメント

iOS & iPadOS 15.4.1 , macOS , tvOS , watchOS もリリース、バグ Fix と重要セキュリティアップデート有

iOS15.4.1 , iPadOS 15.4.1 , macOS Monterey には重要なゼロデイ脆弱性セキュリティアップデートが含まれています。なるべく早くアップデートいただくことをお勧めいたします。（watchOS , tvOS にはセキュリティアップデートはありません）

iOS 15.3.1 , iPadOS 15.4.1 , macPS Monterey リリースに重要セキュリティアップデート有りです

以下の通りアップデートがリリースされました。バッテリーが早く減るバグと、ゼロデイ脆弱性の修正２件を含むアップデートになっています。ご存知の通り、ロシアのウクライナ侵攻の背後で、デバイスのっとりや、PCランサムウェア攻撃が増加中です。セキュリティアップデート、OSアップデートは小まめに確認・インストールをお願いいたします。

iOS 15.4.1 と iPadOS 15.4.1
macOS Monterey 12.3.1
watchOS 8.5.1
tvOS 15.4.1

バグ Fix

iOS 15.4にアップデートしたあと、バッテリーが予想よりも早く消耗する可能性がある問題
テキストナビゲートまたは通知表示中に点字デバイスが反応しなくなる可能性がある問題
“Made for iPhone”補聴器で一部の他社製Appとの接続が解除される可能性がある問題

エンタープライズ機能のアップデート

macOS Monterey 12.3.1 でバグFix 1件

ソフトウェアアップデートがAppleロゴとプログレスバーで動かなくなる可能性がある問題を解決します。

セキュリティアップデート

iOS 15.4.1 , iPadOS 15.4.1

Appleが実際のエクスプロイトを確認したゼロデイ脆弱性に対応：CVE-2022-22675

macOS Monterey 12.3.1

Appleが実際のエクスプロイトを確認したゼロデイ脆弱性に対応：CVE-2022-22675 , CVE-2022-22674

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

iOS15.4 リリース！マスクしたままロック解除OKに！でも iPhone12 以降だよ！

3/15/2022

0 コメント

iOS15.4 リリース！マスクしたままロック解除OKに！でも iPhone12 以降だよ！

iOS , iPadOS , watchOS , tvOS , macOS Monterey,Big Sur,Catalina 他が一気にアップデートリリース！

っていうわけで、割とシンナリしちゃうユーザさんもいるかもしれませんが、iPhone12 以降のユーザさんにとっては朗報ですね。今までの Apple Watch でロック解除と何が違うの？と言いますと、以前のは iPhone のロック解除を Apple Watch で行える、すなわち Mac コンピュータのロック解除を Apple Watch で行えるというのと同じ位置づけで、Face ID そのものがマスクしたままOKという話しとは別ものでした。今回の「マスクしたまま」は Face ID そのものの改良となるので、Apple Pay での支払時や、Okta や Microsoft Authenticator アプリ利用時などなど、マスクをペロっと下げる必要がなくなったわけで、これはとても便利になったのは間違いありません。

マスクしたまま Face ID の解除を行えるようにするには、顔の再登録処理が必要になりますよ。

また、エンタープライズ機能にも特筆すべきアップデートがあります。後述します。

今回のリリースでは、36項目に及ぶセキュリティアップデートも多く含まれており、こちらもまたアップデート推奨となっております。

iOS 15.4 and iPadOS 15.4

iPhone 6s 以降、iPad Pro (全て)、 iPad Air 2 以降、 iPad 第５世代以降、iPad mini 4 以降、iPod touch 第７世代

watchOS 8.5

Apple Watch Series 3 以降

tvOS 15.4

Apple TV 4K and Apple TV HD

その他のリリース

macOS Monterey 12.3
macOS Big Sur 11.6.5
macOS Catalina - Security Update 2022-003 Catalina
Xcode 13.3
Logic Pro X 10.7 - macOS Big Sur 11.5 and later
GarageBand 10.4.6 - macOS Big Sur 11.5 and later
Apple TV Software 7.9 - Apple TV (第３世代)

iOS15.4 の一般リリース内容

Face ID

iPhone 12以降で、マスクを着用したままFace IDを使用できるオプション
Apple Pay、およびSafariとApp内のパスワード自動入力で、マスクを着用したままFace IDを使用可能

絵文字

絵文字キーボードで、顔の表情、手のジェスチャー、調度品などの新しい絵文字を使用可能
握手の絵文字で、それぞれの手に別々のスキントーンを選択可能

FaceTime

SharePlayのセッションを対応Appから直接開始可能

Siri

iPhone XS、iPhone XR、iPhone 11以降では、オフラインの間もSiriが日付と時刻の情報を応答可能

ワクチン接種カード

“ヘルスケア”がEUデジタルCOVID証明書に対応し、新型コロナウイルス感染症（COVID-19）ワクチン接種、検査結果、および回復状況の検証可能な記録をダウンロードして保存可能
Appleウォレットの新型コロナウイルス感染症（COVID-19）ワクチン接種カードがEUデジタルCOVID証明書の書式に対応

このリリースにはiPhone用の以下の機能向上も含まれます:

SafariのWebページ翻訳機能がイタリア語と中国語（繁体字）に対応
Podcast Appにエピソードフィルタが追加され、シーズンや再生済み、未再生、保存済み、またはダウンロード済みのエピソードを絞り込み可能
iCloudのカスタムメールドメインを“設定”から管理可能
“ショートカット”が“リマインダー”とのタグの追加/削除/検索に対応
“緊急SOS”の設定をすべてのユーザを対象に“長押しして通報”を使用するように変更。“5回押して通報”は“緊急SOS”の設定のオプションとして今後も利用可能
“拡大鏡”のクローズアップ機能で、iPhone 13 ProとiPhone 13 Pro Maxの超広角カメラを使用して小さなものを見やすくすることが可能
“設定”で保存済みのパスワードに自分用のメモを追加可能

このリリースにはiPhone用のバグ修正も含まれます:

キーボードで入力した数字の間にピリオドが挿入される場合がある問題
写真とビデオがiCloud写真ライブラリに同期されない場合がある問題
“ブック” App内で“画面の読み上げ”のアクセシビリティ機能が予期せず終了する場合がある問題
コントロールセンターでライブリスニングをオフに切り替えてもオフにならないことがある問題

iOS15.4 のエンタープライズ機能

iOS 15.4デバイス

管理管理対象アカウントに保存されているメモを、管理対象外の宛先に共有することは、管理対象オープンイン制限によって防止できるようになりました。
- このアップデートはとても重要な意味があります。今迄Apppleデバイスに標準搭載されていたアプリの位置づけは割とエンタープライズ界隈では曖昧でしたが、メモにおいても管理ソース制御が行えるようになることは、Appleデバイスのセキュリティと可用性を料理湯させるためにも重要な変更だといえます。
「ユーザー登録」されたデバイスにインストールされているアプリをMDMで更新できるようになりました。
- こちらもBTOD機能としては重要なアップデートですが、やはり Android のように、この際だから個人用、企業用に同じアプリがインストールできるようになることを望みます。
登録プロファイルの再インストールが成功しない問題を解決します。

バグ修正およびその他の改善

ユーザーが政府のアラートを無効にできない問題を解決します。（日本未対応）
一部のデバイスで新しいテキスト置換を追加できなかった問題を解決します。
認証に証明書を必要とするWebページをロードするときにユーザーが複数のプロンプトを受け取る問題を解決します。

iOS15.4 / iPadOS15.4 のセキュリティアップデート

今回対応されたCVEと対応ライブラリは以下の通りです。詳細は以下のリンクをご参照ください。
https://support.apple.com/ja-jp/HT213182

CVE-2022-22633(Accelerate Framework)
CVE-2022-22666(AppleAVD)
CVE-2022-22634(AVEVideoEncoder)
CVE-2022-22635(AVEVideoEncoder)
CVE-2022-22636(AVEVideoEncoder)
CVE-2022-22652(Cellular)
CVE-2022-22598(CoreMedia)
CVE-2022-22642(FaceTime)
CVE-2022-22643(FaceTime)
CVE-2022-22667(GPU Drivers)
CVE-2022-22611(ImageIO)
CVE-2022-22612(ImageIO)
CVE-2022-22641(IOGPUFamily)
CVE-2022-22653(iTunes)
CVE-2022-22596(Kernel)
CVE-2022-22640(Kernel)
CVE-2022-22613(Kernel)
CVE-2022-22614Kernel
CVE-2022-22615(Kernel)
CVE-2022-22632(Kernel)
CVE-2022-22638(Kernel)
CVE-2021-36976(libarchive)
CVE-2022-22622(Markup)
CVE-2022-22670(MediaRemote)
CVE-2022-22659(NetworkExtension)
CVE-2022-22618(Phone)
CVE-2022-22609(Preferences)
CVE-2022-22600(Sandbox)
CVE-2022-22599(Siri)
CVE-2022-22639(SoftwareUpdate)
CVE-2022-22621(UIKit)
CVE-2022-22671(VoiceOver)
CVE-2022-22662(WebKit)
CVE-2022-22610(WebKit)
CVE-2022-22624(WebKit)
CVE-2022-22628(WebKit)
CVE-2022-22629(WebKit)
CVE-2022-22637(WebKit)
CVE-2022-22668(Wi-Fi)

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

Box を活用してメールの暗号化Zipファイル PPAP をいかに廃止するか？

3/6/2022

0 コメント

Box を活用してメールの暗号化Zipファイル PPAP をいかに廃止するか？

当社では emotet による企業へのマルウェア攻撃の活性化を受け、それによって当社の社員が意図せず加害者になってしまうことを防ぐために、メールによる暗号化 Zip ファイルを使う運用を一気に廃止いたしました。

　昨今のロシアとウクライナの戦争も、このようなランサムウェアをはじめとした情報戦が水面下で激しく行われており、それが直接各国の企業への被害にも繋がっています。大企業ほど運用を変えるのが難しいという言葉を聞きますが、大企業ほどいっきに運用を変更するタイミングであり、それはすなわち自社だけならず取引先の安全性を護ることにつながります。取引先には政府機関も含まれるのですから自国を護ることに繋がるという考え方も大げさではないのです。

　もちろん、お客様や取引先様の協力が欠かせないのですが、お客様や取引先様にも大きなメリットがあります。では当社がどのように暗号化Zipファイルの廃止に取り組んでいるのか少し紹介していきたいと思います。

メールでの暗号化Zipファイル PPAP を止めるための軸となる考え方

IT企業の多くがそうであるように、業務をサポートするツールは1つや2つではありません。当社はソフトブレーングループとして採用されている Google Workplace の gmailを利用し、ファイル共有は Box 環境をグループ個社別インスタンスを構築しています。くわえて、当社のヘルプデスクは Microsoft365 で Exchange と Office ソフトを利用しており、Slack や Asana 、一部では Adoibe 製品も利用されています。導入可能なツールは、グループのIT統制で規制されていても、これだけあります。

　こうしたマルチツール環境の中で業務を行っているのは当社だけではないと思いますが、各スタッフの仕事ぶりを一定期間分析した結果、情報のライフサイクル管理が一定化されていないことに気づきました。

　メールの暗号化Zipファイルという運用は、そもそも論で言えば枝葉に過ぎません。某会社は暗号化ZIPを送らなければ良いので、暗号付きエクセルや、暗号付きPDFをメールで添付して送っても良いというルールだったり、Zipファイルの拡張子を一文字変更すれば良いというルールを見ましたが、何故暗号化ZIPが危険なのか全く分かってない本末転倒な運用だと思えます。アクセスロックされたファイルを送ることが危険なのだということが理解できてない証拠です。

　私たちが考えなければならないのは、大局的に俯瞰すれば、

　ファイルがどこで生まれ、そのファイルがどう加工され、そのファイルの改変されないことをどう担保し、どういう経路で安全に相手に送られるかが把握できれば良いのです。

　そこで、”ファイルを作ったらそこから動かすな！”というルールをまず定めました。

　どこかで、誰かがファイルを作ります。エクセルだとしましょう。そのエクセルはあちこちのツールを経由して、あちこちに移動し始めます。当社では Slack 経由で送られたり、内容の承認や押印をもらうためにメール添付されたり、電子サインシステムに入れられたり、色々理由はありますが、とにかく作られたファイルは実に自由に移動しそのファイルの複製はあちこちに残っていきます。その結果、以下のような非生産的であったり、セキュリティ的な問題を抱えることに繋がっています。

どれが最新か分からない⇒また作り直す
どこからかファイルが漏洩する⇒事故
知らん間にウィルスついたファイルに化けてそのファイルが攻撃する武器になっている

　当社 SBI は Box の代理店でもありますので、この際だから徹底的に Box を活用してファイルが動かない運用を作ることにしました。

Box ファイルリクエスト、Box Relay , Box Sign を活用する

さて、ファイルを動かさないためには今までやっていた社内の運用を見直す必要がありましたが、そこは後述するとして、メールの暗号化ZIPファイルだけ先にお話ししてしまいますと、メールの送信については、メールの送信サーバ側で暗号化ZIP添付にしていた機能を、Webダウンロード形式に変更しました。暗号化ZIPファイルは添付ファイルとして検疫をすり抜けてしまいますが、Webダウンロードであれば生データをダウンロードするので検疫をすり抜けることはできません。メール送信時にも送ろうとしている添付ファイルの検疫ができるため安全性が高まります。重要なのはこのタイミングから、当社は誰に対しても絶対に暗号化ZIPファイルを送らないという方針を全取引先に伝えることが重要です。また、暗号化ZIPファイルも絶対に受け取らないことを全取引先に理解していただく必要があります。

お客様や取引先様から送ってもらう添付ファイルについては、可能な限り Box ファイルリクエストを利用します。当社の Box 環境は当社のネットワークからしかアクセスできない安全なオンラインストレージですが、Box ファイルリクエスト機能を使うと、お客様は Box アカウント不要でファイルを当社の定められたフォルダーに直接アップロードすることができます。この機能はワンウェイなので、この Box ファイルリクエストを通じて、ファイルを外に持ち出したりアップロードしたファイルを削除したりすることは、当社スタッフであれ、お客様であれ出来ません。

当社は全取引先別のフォルダーを作り、上記画面のようにファイルリクエストを作成し、取引先の方はここにファイルをアップロードするだけで、メールを書く必要もありません。

Box ファイルリクエストでアップロードがあったことを通知する

お客様は当社に発注書や納品書を送っていただく際に、メールを書く必要がありません。当社は Box Relay を使って、各お客様毎のフォルダーにファイルがアップロードされると、担当者はメールまたはBox上で通知を受け取ることができます。もしお客様が Box へのアクセスが制限されている場合、対象フォルダーに対してメールを通じてアップロードをしてもらうこともできます。

Box Relay を使うと、送られたファイルを管理者に通知しながら、同時に承認フローをまわすことや、しかるべきフォルダーに自動でファイルを移動することもできます。

当社はこの Box Relay の機能をフルに活用して、今まであちこちに送られまくっていたファイルの移動を禁止し、紙でサインするような行為もこれを機に無くしました。

作成した提案書の内容確認や、見積の内容確認、見積書への押印や、支払申請書など、全て Box 上で作成されたファイルに対して、Box Relay を使ったワークフローへ変更するようにしました。

紙の押印は廃止して見積書も社内申請も Box Sign で電子保管法に対応

前述の Box Relay を用いたワークフローを使って、今まで紙に押印していたものも全て PDF に電子サインするように一気に変更しました。

見積書も今までのフローは、以下のようなものでしたが、このファイルを動かさないというルールをベースに以下のように変更しました。以下のワークフローでは、どのエクセルファイルに対して押印したいのかという申請は紙でしか来ておらず、押印するときに内容が変更されているかどうか判別しづらいという問題もあります。

今までの見積書：

エクセルで作成
文書の共有リンクをSlackにはって内容を確認依頼
印刷
押印申請
管理者の承認
担当者の上長が押印
コピー機で押印文書をスキャン
押印文書をファイリング
PDFを保管

この煩雑なワークフローは Box Relay と Box Sign を使うだけでこんなにシンプルにすることができます。作成したファイルは Box から移動することなく、確認・承認・押印というワークフローを実現できるだけではなく、画像のように押印ファイルに対する証跡も残るため電子保管法に向けた取り組みにもなります。お客様にこのファイルを送付した場合でも、内容は署名されているため改変されていないことが保証されます。

Box Relay と Sign を利用：

エクセルで作成
Box Relay で確認依頼
PDF化
PDF を Box Relay で管理者に押印依頼
管理者が内容確認 Box Sign で押印して承認

Box 機能のまとめ

メールの添付ファイル運用を見直すことは、実は業務フローの見直しであること、使っているツールを最大限に活用することを Box 製品を通じて書いてみました。もし、自社でも Box を使って改善されたいという場合は、是非当社までご連絡ください。お問い合わせはこちら＞ box@sbi.co.jp

今回利用した Box 機能は以下の通りです。

Box ファイルリクエスト --- 特定フォルダーへのファイルアップロード機能
Box メールアップロード --- 特定フォルダーへのファイルアップロード機能
Box Relay --- Box ファイルを利用したワークフロー
Box Sign --- Box ファイルに対する電子押印と署名

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

iOS15.3.1 , iPadOS15.3.1 , macOS Monterey12.2.1 , Safari15.3 リリース、すぐにアップデートを！

2/11/2022

0 コメント

iOS15.3.1 , iPadOS15.3.1 , macOS Monterey12.2.1 , Safari15.3 がリリース、1件のゼロデイ脆弱性に対応、すぐにアップデートを！

Appleは、iPhone、iPad、およびMacをハッキングするために攻撃者によって実際に悪用された新しいゼロデイ脆弱性を修正するための緊急セキュリティアップデートを公開しました。

再びですが、Apple が実際に標的型攻撃に悪用されたことを認めているもので、iPhone6s以降、Pad Pro（全モデル）、iPad Air 2以降、iPad 5世代以降、iPad mini 4以降、iPod touch（第7世代）、macOS Monterey と旧macOS に Safari15 がインストールされた Macが対象になります。

多くのユーザが対象となると思いますので、早めのアップデートをお願いいたします。

CVE-2022-22620 は既に標的型攻撃に利用されたゼロデイ脆弱性

2022年になってから、iOS 15.2.1 , 15.3 , 15.3.1 と3度目のセキュリティアップデートとなりますが、今やスマートフォンもPCと同じく、生活や企業活動を支える重要な情報の塊となっており、PCの世界においてもランサムウェアの脅威が増加の一歩を辿っています。

今回の問題も、悪意を持って作成されたWebコンテンツにアクセスすると、脆弱なバージョンのiOSおよびiPadOSを実行しているiPhoneおよびiPadで任意のコードが実行されるというゼロデイ脆弱性となっており、この脆弱性が積極的に悪用された事実があることを Apple は認めいます。

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

iOS15.3 , iPadOS15.3 , macOS , watchOS , tvOS , Safari すぐにアップデートを！

1/28/2022

0 コメント

iOS15.3 , iPadOS15.3 , macOS , watchOS , tvOS , Safari すぐにアップデートを！

iOS15.3 , iPadOS15.3 , macOS , watchOS , tvOS , Safari アップデートはゼロデイ脆弱性2件の修正が含まれます。

2022/01/27 になりますが、以下のOSがアップデート発表となりました。かなり危険なゼロデイ脆弱性の対応2件が含まれております。ユーザの皆様はなるべく早いアップデートをお願いいたします、

iOS15.3
iPadOS 15.3
tvOS 15.3
watchOS 8.4
Safari 15.3
macOS Monterey 12.2
macOS Big SUr 11.6.3
macOS Catalina Security Update 2022-001

iOS , iPadOS , macOS に含まれるゼロデイ脆弱性の2件とは

以下のゼロデイ脆弱性2件のうち1件については、Apple で既に悪用されたことを確認しております。また、以下の2件以外のセキュリティアップデートも含まれておりますので、なるべく早いアップデートをお願いいたします。

CVE-2022-22587: メモリ破損の問題をついて、悪意のあるアプリがカーネル権限で任意のコードを実行できる問題です。このバグは IOMobileFrameBuffer コンポーネントにに存在し全ての Apple デバイス（iphone , ipad , mac , watch , tv）が対象で、Apple のアドバイザリの公表では既に悪性された実績があるとのことです。

CVE-2022-22594: macOS、iOS、iPadOS用のSafariが持つ脆弱性をついた攻撃で、Google のアカウント情報などが漏洩する（開いたWebページに含まれる情報）ということでネットでも話題になっていた問題です。

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

JamfPro 10.31.0〜10.34.1 オンプレミス環境の log4j 脆弱性について

12/20/2021

0 コメント

JamfPro 10.31.0〜10.34.1 オンプレミス環境における log4j 脆弱性について

サーバーパンデミックと呼ばれる史上最悪の Javs ログライブラリ log4j に関するゼロデイ脆弱性について、JamfPro の特定バージョンでも影響があることが確認されています。Jamf 社の技術資料によれば、JamfPro 10.31.0 ~ 10.34.1 までの JSS バージョンのオンプレミス環境で影響を受ける可能性があるとのこと。早めに 10.34.2 へアップグレードするよう推奨しています。

脆弱性が含まれたバージョンに該当する JamfPro バージョンで、バージョンアップが難しい場合の対処についても同ドキュメントに記載がありますので、早めに対処をいただくようお願いします。

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

<<前へ

iOS , iPadOS 15.5 , watchOS 8.6 , macOS 12.4 などセキュリティアップデートがリリース

iOS , iPadOS エンタープライズ機能

macOS Monterey エンタープライズ機能

iPhone ロック解除パスコードのセルフ・リセットサービス

iPhoneのロック解除パスコードを自分で解除したい！

iPhoneのロック解除パスコードのセルフ・リセットについては･･･

JamfPro API のユーザ認証の変更に備えよう

2022年の8月～12月に API のユーザ認証で Basic 認証が廃止に

JamfPro API のユーザ認証の変更とは？

ケース1： bash スクリプトからの JamfPro API アクセス

ケース2​： PHP からの JamfPro API アクセス

まとめ

JamfPro 緊急メンテナンス中です

iOS & iPadOS 15.4.1 , macOS , tvOS , watchOS もリリース、バグ Fix と重要セキュリティアップデート有

iOS 15.3.1 , iPadOS 15.4.1 , macPS Monterey リリースに重要セキュリティアップデート有りです

エンタープライズ機能のアップデート

セキュリティアップデート

iOS15.4 リリース！マスクしたままロック解除OKに！でも iPhone12 以降だよ！

iOS , iPadOS , watchOS , tvOS , macOS Monterey,Big Sur,Catalina 他が一気にアップデートリリース！

iOS15.4 の一般リリース内容

iOS15.4 のエンタープライズ機能

iOS15.4 / iPadOS15.4 のセキュリティアップデート

Box を活用してメールの暗号化Zipファイル PPAP をいかに廃止するか？

メールでの暗号化Zipファイル PPAP を止めるための軸となる考え方

Box ファイルリクエスト、Box Relay , Box Sign を活用する

Box ファイルリクエストでアップロードがあったことを通知する

紙の押印は廃止して見積書も社内申請も Box Sign で電子保管法に対応

Box 機能のまとめ

iOS15.3.1 , iPadOS15.3.1 , macOS Monterey12.2.1 , Safari15.3 がリリース、1件のゼロデイ脆弱性に対応、すぐにアップデートを！

CVE-2022-22620 は既に標的型攻撃に利用されたゼロデイ脆弱性

iOS15.3 , iPadOS15.3 , macOS , watchOS , tvOS , Safari すぐにアップデートを！

iOS15.3 , iPadOS15.3 , macOS , watchOS , tvOS , Safari アップデートはゼロデイ脆弱性2件の修正が含まれます。

iOS , iPadOS , macOS に含まれるゼロデイ脆弱性の2件とは

JamfPro 10.31.0〜10.34.1 オンプレミス環境における log4j 脆弱性について

Author

Archives

Categories

ケース2： PHP からの JamfPro API アクセス