App Serviceに証明書を追加する

AzureのApp Serviceでお気軽にカスタムドメインを使用してSSL通信をしたい場合、証明書を取得する必要がありますよね。

そんな時は、無料で提供している Let’s Encrypt 証明書を取得して使用することができますが、なぜか証明書の読み込みエラーでトラブってしまったので備忘録として記載しておきます。

まず、証明書を取得するには下記の情報を参考にしました。(いや~このような情報助かります)

Let’s Encrypt 証明書を Azure Web Apps へインポートする

カスタムドメインの追加や証明書の取得はこちらの情報を使用して何とかなりましたが、なぜか証明書をApp Serviceで取り込むと下記のようなエラーがでました。

At least one certificate is not valid (Certificate failed validation because it could not be loaded).

しかしながら自分のPCへこの証明書をインストールしてみたのですが特に問題はなかったのですよね~

色々調べてみるとこんな情報が・・・・

要するに証明書を自分の端末から抜き出して再作成することで対応するでした。

手順

1.作成した証明書ファイル(~.pfx)ファイルをダブルクリックして「ローカルコンピューター」の「信頼されたルート証明機関」にインストールします。この際に証明書のインポートウィザードで秘密キーのエクスポートを可能にすることを忘れないでください。

2.インストールした証明書を証明書管理ツール(MMC)からダブルクリックして開き、「詳細」タブから「ファイルにコピー」をクリックします。証明書のエクスポートウィザードが開きますので進めます。秘密キーのエクスポートではいを選択します。ここで「はい」がグレーアウトしている場合は、秘密キーのエクスポートが許可されていないので手順1を再度実行してみてください。

3.そしてウィザードをデフォルトで進めていきます。ここでパスワードを入力して再度「TripreDES-SHA1」を使用して証明書ファイル(~.pfx)を再作成します。

こちらの証明書ファイルを使用すれば、問題なくApp Serviceに追加できました。

Windows10の名前解決(Ver1803)

Windows10 の名前解決

お久しぶりです、阿部です。

今回はWindows10(Ver1803)における名前解決の順番を調べてみたので備忘録として記載します。そもそも何故この課題を調べたかというと「.local」のドメインはいろいろと問題があるよ!から来ています。

また、ネットを調べていると「mDNS」周りでトラブルが発生しているようでした。「mDNS」は名前解決の方法の一つになります。Apple製品などは「Bonjour」、Linuxは「Avahi」で実現しているようです。

Windows 10 April 2018 Update(バージョン 1803)の RDP 関連の残念なバグ(続き)

そもそも、名前解決とはホスト名⇒IPアドレスに変換することを指します。前提としてWindows は HOST 名と Netbios 名を持っています。現在はあまり気にしないと思いますが、この名前解決を理解するにはこの情報を知っておく必要があります。

Windows7 の頃の名前解決は以下のようになっていました。

  1. DNSキャッシュ
  2. HOSTSファイル
  3. DNS
  4. NetBIOSキャッシュ
  5. Netbiosブロードキャスト
  6. LLMNR

ちなみに、これはレジストリに記載されています。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ServiceProvider

パラメータ 意味 デフォルト値
LocalPriority DNSキャッシュ 0x1f3(499)
HostsPriority HOSTSファイル 0x1f4(500)
DNSPriority DNSサーバー 0x7d0(2000)
NetbtPriority NBTによる名前解決 0x7d1(2001)

値の低いものから順に使用する。そしてヒットしたらそこで終わり。しかしながら、Windows10 の名前解決で使用される LLMNR と mDNS はこのレジストリには記載がありません。こんな時はパケットキャプチャすればわかりますね!

Windows10(Ver1803)では「mDNS」をサポートしているので、果たしてどのようになるのか?

結果は以下のようになりました。

  1. DNSキャッシュ
  2. HOSTSファイル
  3. DNS
  4. NetBIOSキャッシュ
  5. Netbiosブロードキャスト
  6. mDNS
  7. LLMNR

このことから、Windows 間の名前解決では DNS を使用していない場合、「5」の Netbios ブロードキャストで名前解決できるので、「mDNS」は使用されないのでは。よって、mDNS はWindows、Mac、linux 、NASデバイスなどとの異機種間通信で、DNS を使用していない場合の手段として使われることがわかりますね。

.local ドメインってどうなの?

この問題の本質は何だろうかと考えました。いろんな記事が出回っていましたが、私なりに整理しました(あくまでも私見ですw)

私の記憶では、この話題がでたのは Windows Server 2008 の頃でした。いわゆる ADFS を使用して Office365 に SSO する際に Windows ドメイン情報を使う場合に問題となるでした。そもそも、AD ドメインはあくまでも Windows だけを考えており、外部との連携などは考慮していなかったのが実情です。ですので、「xxx.local」は企業内ネットワークのみで使用し、インターネットで使われないのだから、何の問題もありませんでした。しかしながら、クラウドベースのアプリケーションを企業が使用することが多くなると、そのアプリ毎にIDを発行するのはセキュリティ的にも課題となりIDフェデレーションが出てきました。その際のIDプロバイダの役割として AD を使用するという流れができてきたのを覚えています。その場合、ADのドメイン名は、正式に取得しているドメイン名+サブドメインとしたほうがいいよね~でした。

ちなみに、ADFS+Office365 では「Alternate Login」ができたことで一旦回避できました。

【ADFS+Office365】 UPNを使わないでシングルサインオン

それでは、何が問題なの?と考えてみると、マルチデバイス環境における「mDNS」の名前解決関連ではないかと・・・

例えばこんな記事がありました。

iOS で「.local」が末尾に付いたユニキャスト DNS での名前を解決できない

ただ、内容を確認すると「シングルラベル」の 「local」ドメインの場合、問題が発生するように読み取れました。そもそも、ADドメインをシングルラベルで「local」としているのはあまりありません。通常は「xxx.local」の2ラベル、もしくはそれ以上でしょう。ですので、Windows端末でホスト名のみで名前解決をする場合、ドメインのサフィックス(2ラベル)が付加されることを考慮するとこの記事の内容では「.local」は問題なしかな?

となると「.local」の課題は、mDNS が Mac、Linux、BSD を採用している NAS、プリンタ、ネットワーク機器などにも組み込まれていることではないかと。

例えばこちら

Apple 製のデバイスで社内ネットワークの ‘.local’ ドメインを開けない場合

mDNS は、ホスト名+local でマルチキャストを使って名前解決を行うので、他の端末のサフィックスに「.local」が含まれているとうまく動かないことがあるようです。要するに、ネットワーク上には Windows 端末だけではなく、マルチデバイスが存在するのでトラブルの原因となる「.local」ドメインはやめましょうということかなと思いました。

 

 

情報として残っているネットワークアダプタを削除する

情報として残っているネットワークアダプタを削除する

これは完全なる自分用の備忘録です。

久しぶりにHyper-Vをいじっていたら、ネットワークアダプタ情報が残ってしまい、うまくバインドされなくなったので削除しました。

方法

コマンドプロンプトより下記コマンドを実行する(存在しないデバイスを表示させる設定)。

set devmgr_show_nonpresent_devices=1

デバイスマネージャーを起動して、表示メニューより「非表示デバイスの表示」にチェックして、該当のネットワークアダプタを選択して削除する。

KB4041994がエラーでインストールできない

Update for Windows 10 Version 1709 for x64-based Systems (KB4041994) – エラー 0x80070643

Thinkpad X1 Carbon の Windows Update にて上記エラーがでて、何度行ってもインストールできません。調べてみると、自分のOSビルドは16299.371で、少なくともOSビルド16299.19(どこからかはわかりませんがw)以降はKB4041994は適用不要とのこと。しかしながら何らかの原因でWindows Updateに表示されてしまうそうです。さて、自分のOSビルドを確認したいときは、「winver」コマンドを実行しましょう!

ということで、KB4041994をUpdateから非表示にしてみました。

“Show or hide updates“ トラブルシューター

“Show or hide updates“ トラブルシューターはマイクロソフトが Windows 10 向けに提供しているツールで、特定の問題を起こしている更新プログラムやドライバーを Windows Update で非表示にし、自動でインストールされないようにすることができます。

ダウンロード リンク:

Show or hide updates“ トラブルシューター
Download the “Show or hide updates” troubleshooter package now.

Show or hide updates“ トラブルシューターをダウンロードして実行します。

Hide update をクリックします。

今回隠したい更新プログラムを選択して、次へをクリックします。

これで完了。

うんうん。この状態ですよね~

お名前.COMのドメインをOffice365に設定する

ドメイン名の変更

毎年のことですが、Office365のドメインを購入しています。このテナントは検証用なので決まったドメインではなく、その時々に安く購入して使い捨てドメインとしているのです。ということで、今年もOffice365のドメインを変更してみます。再起のUIも変更されているので確認もかねての備忘録です。

ちなみに今回取得したドメインは、「mctjp.xyz」になります。1年間で30円。

Office365の画面

管理センターから>セットアップ>ドメインをクリックします。

設定するドメイン名を入力します。

ドメインの確認では、TXTレコードの追加で対応しますので、「代わりにTXTレコードを追加する」にチェックして、[次へ]をクリックします。

指定されたレコードをお名前.COMのDNSに追加します。

 

お名前.COMの画面

お名前.COMにログインしてドメイン設定を開きます。そこで、ネームサーバーの設定欄にある、「DNS関連機能の設定」をクリックし、設定するドメインをチェックして、[次へ]をクリックします。

「DNSレコード設定を利用する」の[設定する]をクリックします。

TYPEをTXTにして登録します。ここで注意しなくてはならないのは、ホスト名は空で大丈夫です。入力が終えたら [追加] ボタンをクリックします。

画面したの「確認画面へ進む」をクリックし、[設定する]をクリックします。これで、TXTレコード設定が完了しました。

Office365の画面

DNSの設定が終えたら、先ほどドメインの確認画面で、[確認]ボタンをクリックします。この確認には時間がかかる時があります。とはいっても、たいてい5分程度で反映されることが多いです。

確認されると、オンラインサービスの設定画面に遷移します。そこで、「自分で独自のDNSレコードを管理する」にチェックして、[次へ]をクリックします。

*自分の代わりにオンラインサービスを設定するという項目もありますが、今回は今まで通り自分で設定します。

ここで、登録するレコードの一覧がでますので、それをDNSに登録します。

お名前.COMの画面

ということで、DNSレコードを入力します。

ここでSRVレコードの入力エラーがでました。その際の対処方法として、SRVレコードを削除して、SRVレコードのみ再作成したら問題なく追加できました。

Office365の画面

DNS設定の更新画面にて、「確認」をクリックします。この確認ですが、DNSを設定を間違えて登録すると、レコード修正後、一旦登録されたレコードを修正したものが伝搬するまで時間がかかりますので注意が必要です。

問題なければ終了です。

これで、このドメインを規定に設定すればOKです。

 

 

 

Fitbit 生活開始

Fitbit 生活始めます

さて、これからは Microsoft 関連の情報だけではなく様々な情報を書いていこうと思います。

実は、今まで オムロン の機器を使用した健康管理を行っていました。しかし、手首につけるだけで毎日の歩数などの活動量や睡眠状態がわかるウェアラブル活動量計であるムーヴバンド3をなくしてしまったのです。

まあ、これを機会にフィットネスリストバンドを Fitbit に鞍替えします。実は、オムロンはヘルスケア事業に関して今後撤退するみたいなのです。アプリである「ウェルネスリンク」も今年で閉鎖予定とあり先行きは・・・という感じ。また、体重計も壊れるし・・・この体重計はネットに自動接続して記録してくれるもので、アプリから見れるものでした。

ということで、オムロンからは卒業します。そして、アプリは Fitbit に集約することにしました。

Fitbit(フィットビット)心拍計+フィットネスリストバンド Alta HR Large Black FB408SBKL-CJK

Fitbit(フィットビット) Aria Wi-Fi Smart Scale 多機能体重計 Black

こちらの商品を購入しました。これで、活動記録及び体重が Fitbit アプリで管理できます。しかし、最初の投資が大きいのが玉に瑕です。でも、モチベーションを保つには Fitbit アプリはいい感じです。

残るは、血圧の記録があるのですが、これはオムロンを使い続けるしかなさそうです。 Fitbit では血圧は管理できないようです。

Microsoft MVP 卒業となりました

Microsoft MVP卒業となりました

この2017年7月にMicrosoft MVP を卒業となりました。

2010年4月よりMVPを受賞させていただき7年間連続で受賞させていただいておりましたが、今回は卒業という結果がでたことで一つの節目なのかなと思っています。

自分自身の環境の変化に伴いMVPとしての活動が少なくなってきていたのはよくわかっておりましたので、ある程度予想できていました。よって、今後はできる範囲で活動していこうと考えています。今までMVPとして活動させていただきとてもよかったのは、MVPメンバーとの横のつながりが構築できたことになります。これは、MVPを卒業しても継続できるので・・・

現在は活動の場を別のところに移しているので、そちらも頑張らなくては。

ということで、Microsoft の方にはお世話になりました。また MVP を新規、再受賞の方も今後の活躍をお祈りしております。

 

Windowsキー+Xで表示されるPowerShellをコマンドプロンプトに変更する

コマンドプロンプトはどこ行った

Windows10 を Creators Update にしたところ、Windowsキー+X のメニューが「コマンドプロンプト」から「PowerShell」に変更されているんですが・・・

これって、「コマンドプロンプト」に戻すことができます。タスクバーを右クリックして、「タスクバーの設定」をクリックすると、設定できます。

画面中央に表示されるIMEモードが気になる

あと、Creators Update にして気になったのは、IME入力モード切替の通知が画面中央に表示されることです。

これを非表示にするには・・・

IME プロパティを開いて、IME入力モード切替の通知のチェックを外せばOKです。

とうことで、備忘録でした。

 

ESRV.EXE の起動エラーを修復する

ESRV.EXEって何もの

皆さん、Creators Update にしました?とりあえず、私も Windows10 はすべからくアップデートしてみました。しかし、一部の端末では [ESRV.EXE]の起動エラーが発生しているのでちょっと調査。

これが毎回は煩わしいですよね~

Autoruns で調べてみると直接このプログラムが起動されている形跡はなし。なので、フィルターで調べてみると・・・

「Intel® Energy Checker」が怪しいですね。「Intel® Energy Checker」とはなんぞやと調べてみるとアプリの省電力をサポートする?ようなもの見たい。

解決方法は

インテル ドライバー・アップデート・ユーティリティーをアンインストールするか、アップデートするかになります。現在は、このエラーに対応済みとなっているのでアップデートをサクッとしましょう!

 

CISSP meets Microsoft に参加しました

ご無沙汰しております、阿部です。

久しぶりにBlogを書いてみます。ということで、CISSP meets Microsoft に参加しましたので備忘録としてメモを記載しておきます。

アジェンダ

14:00 – 14:15
セキュリティプロフェッショナル資格とは:
(ISC)2 Director of Business Development, Japan 小熊 慶一郎, CISSP
14:15 – 15:15
CISSPが社長に話したいセキュリティ対策
マイクロソフト 蔵本 雄一, CISSP
15:15 – 16:15
休憩
16:15 – 17:00
CISSPならこう考えるOfiice365の安全な運用方法
マイクロソフト 小町 紘之, CISSP
17:00 – 17:30
クラウド専門家からみたCISSPのセキュリティ知識
マイクロソフト 吉田 雄哉

このようになっていました。

セキュリティプロフェッショナル資格とは:

CISSPとしての考え方についてお話されていました。

・その業務のリスクが許容範囲内であると合理的に説明できるか
→技術志向の考え方においては、あらゆるセキュリティ対策を考える

・組織の目標達成をサポートするセキュリティ
→CISSPはゴールとなる目標を達成する視点をもって活動する

特に面白かったのはブレーキを例えに使ったセキュリティについてのお話でした。ブレーキとは車を止めるための仕組みになります。レースにおいてはストレートでよく効く必要もありますし、カーブで速度をなるべく落とさないブレーキの利き方を考えなくてはなりません。ここでプロフェッショナルとしてはレースに勝つためのブレーキを考える必要があるのです。これをセキュリティに置き換えると、目的・目標を明確にして手段であるセキュリティ対策を適用するになりますね。

CISSPが社長に話したいセキュリティ対策

本日のポイントとして

・正しく怖がる

・正しく伝える

ことをお話しされました。

講師の蔵本 雄一氏の書籍紹介がありました。

もしも社長がセキュリティ対策を聞いてきたら 入門編

もしも社長がセキュリティ対策を聞いてきたら

費用対効果でセキュリティ対策を考えてみると標的型メール訓練があるが・・・これってユーザーはメールを開かないようにすればよい?

→訓練提供者は開かせるようにする(手を変え品を変えおこなっている)

・体表的な対策としては「怪しいメールを開かない」

→なかなかうまいかない

でもこれってセキュリティ対策としては効率が悪いですよね・・・

開かれることを前提に対策をしたほうが良い

→メールを開いてしまったら報告するなど

セキュリティ対策として、マルウェア対策ソフトがあるが・・・

→マルウェアを全て防ぐことが重要なのか

攻撃者の目的

以前は自己顕示や技術力の誇示→金銭に変化

ランサムウェア

・bitcoinでの支払いを要求

→下手なシェアウェアより優秀なサイト(FAQや電話でのサポートもあり)

ZERODIUM

→ZeroDayの脆弱性を購入するサイト(IOS10では1億5000万?=$1,500,000)

CIA

・現在はDDOSが数ドルで行うことができるのでA(可用性:Availability)が心配

セキュリティエキスパートが考えるセキュリティ対策

・セキュリティアップデートをインストールする

・認証の対策

攻撃を受けることを前提に考える

一般ユーザー

・アンチウイルスなど

攻撃を受けない、感染しないことを前提に対策を考える

セキュリティ対策の考え方

  • 防御力向上 やられないようにする
  • 検知分析 やられていることをすぐに検知する
  • 被害軽減 やられても被害を小さくする
  • 事後対応 やられたあとでも、情報を保護する

偽札の偽造防止セキュリティ

・一万円を作成するのに一万円以上かかる

サイバー攻撃の流れと対策

PEST分析で最大公約集を考える

  • Political(政治的要因)
  • Economy(経済的要因)
  • Sociery(社会的要因)
  • Technology(技術的要因)

→セキュリティ対策をするためにビジネスを行っているわけではない

・セキュリティ対策がビジネスにプラスになるように説明する(HDDの暗号化をすることで働き方改革・・リモートでの働き方対策にもなる)

・サイバー攻撃の流れを考えるとさまざまなフェーズが存在するが、必ずしも特定の部分で止める必要がない。

セキュリティはフレームワークに基づいて対策する

  • 防御力向上 やられないようにする
  • 検知分析 やられていることをすぐに検知する
  • 被害軽減 やられても被害を小さくする
  • 事後対応 やられたあとでも、情報を保護する

サイバースペースの現状

  • 侵入前提の対策が必要
  • 攻撃に投資
  • 費用隊効果を下げる対策
  • IR情報化

今までは技術者に対する開示だったのが、ステークホルダーへの開示へと変わってきた

正しく伝えるには

・これって何の役に立っているのか?と問われる

間接効果を意識した見せ方をしていない

IT基盤・・・間接効果として在宅勤務、外出先からのテレワーク

盗難紛失対策・・・間接効果安全なテレワーク(機能:HDDの暗号化、直接効果:第三者からHDDの読み取り防止)

金銭的効果があれば説明は簡単

目指すべきは思考のパターン

危険だから車への乗車は禁止→シートベルトとエアバッグを装備することで安全に乗車

ドラッカー4つのコスト

  1. 生産的コスト
  2. 補助的コスト
  3. 監視的コスト
  4. 浪費的コスト

ドラッカーの4つのリスク

  1. 負うべきリスク
  2. 負えるリスク
  3. 負えないリスク:セキュリティの見える化をすることで負えるリスクに変化する可能性があり
  4. リスクを負わないリスク

セキュリティ対策の効果を見える化できていない

FMEA(交渉モードと影響解析)

影響度*発生頻度*防御困難度=リスク優先度

4点法がお勧め

なぜこの製品を選んだのか?

コンジョイント分析の応用

マルウェアやサイバー攻撃は何が怖いの

→見たことがないから

・百聞は一見にしかず

実際にどういった被害が起こるのかを体験できる実証環境を構築

CISSPならこう考えるOfiice365の安全な運用方法

セキュリティの目的

セキュリティの3要素

  • 可用性(A)
  • 完全性(I)
  • 機密性(C)

3つの呪文

  • セキュリティはきりがない
  • セキュリティは金がかかる
  • セキュリティにはリソースをさけない

■セキュリティマネジメント

目標と範囲を決めて対策をする

  • リスクの特定、影響度
  • リスクに対する受容レベルの設定

■情報の分類

・情報資産の棚卸

1TBのファイルサーバーの情報全てを対策をするのか?費用対効果の高い形でセキュリティ対策をする必要がある

あるべき運用

  • Identify
  • Protect
  • Detect・・・対策ができていないと→事故
    • いつ、だれが、何を、どうした・・・説明責任
    • ログ管理になる
    • ログの保管だけでは、今何が起きているかの把握が難しい
  • Respond
  • Recover

■リソースの適正化

Azure Information Protection

分類を自動的に行ってくれる

→ポリシーベースで情報を分類してくれる

・運用するとユーザーが分類をする必要がある

クラウド専門家からみたCISSPのセキュリティ知識

企業におけるクラウド導入・活用を支援する場合の悩み

・文化的な変化をどう導くか

→誤解をただし、フォーカスを合わせ、実践を促すにはどうするにはよいか

クラウドはソリューションではない

  • クラウドはパーツに近いものからソリューションに近しいものまである
  • パーツを組み合わせて使用する

・結果につなげること、期間を短くすること

→結果とは利用者が得るもの

→外的要因をコントロールできない

クラウドは従量課金なので、良い製品でないとすぐに辞められる

いざ行動しようとすると

  • クラウド利用に関するポリシーの策定ってどうやるの

・・・・

よくある失敗

  • すでにクラウドが使われているが、ポリシーや規定がふるいまま
  • 後追いでポリシー・規定見直しが行われる
  • クラウドへの理解が足りておらず実施が南道
  • リスクテイクができなくて利用禁止へ
  • 利用禁止を無視して利用促進が進む

・・・

CISSPの知識を活用しアクションにつなげる

  • 事例:ベストプラクティス
  • お客様は神様:パートナーシップ
  • 社内規定:実践による文化の導入

セキュリティ対策も変化している

  • 早く「きがつけるか」が大きなポイント
  • 防御+監視(気づき)

トレーサビリティの確保

社内システム⇔ID(ログ)⇔クラウドのサービス群

サービスを選択し、デザインする

クラウドの原則は「利用者が選ぶ」こと

Design for Failure

基礎をなすクラウド・インフラストラクチャの信頼性にかかわらず、対象となるアプリケーション自身が、その可用性について責任を負う」という原則

・インシデント管理の自動化

検出 対応 提言 報告 復旧 改善

・災害復旧の実装

を利用者が主体的に行うこと

PoCによるシフトレフト

アーキテクチャ策定→コンセプトの検証→構築と自動化→監視と分析→アーキテクチャ策定・・・・

自動化を使いこなすことが重要

クラウドというアプローチを導入する

  • 見時からの実績と継続的活動
  • 変動させるシナリオ
  • 自動化による効率性
  • パートナーシップ

クラウドは水平方向への展開がイメージされるが、実際には垂直方向(マシンのパワーアップ)して再起動させることが多い

Azureの機能説明

・セキュリティに関連する説明多数

Azureセキュリティの概要

https://docs.microsoft.com/ja-jp/azure/security/azure-security-getting-started

ITサービスの活用とセキュリティ(ディスカッション)

アメリカ政府はクラウドファースト

・セキュリティのためにクラウドを使用する

→クラウドではアクセス権を管理することでベンダーが変わっても対応可能

日本では横を見て使い始めることが多い

昔からデータセンターを使用しているところでは、耐用年数がそろそろ迫ってきているところでこれからパブリッククラウドに移行する必要があるかを迫られる

データセンターの利用はシュリンクしてきている

→クラウドへの移行が進んでいるから

ITのサイクルは早い