ITコンサルティング、DX/ICT相談・サイバーセキュリティ

ITコンサルティングやサイバーセキュリティ、情報漏洩対策、セキュリティ診断は、経験と知識が豊富な埼玉桶川IT経営コンサルティング事務所へご相談ください。相談しやすい雰囲気づくりを心がけ、親身になってお客様のサポートをいたします。

対応エリアは、埼玉県内全域（桶川市、上尾市、北本市、鴻巣市、さいたま市、久喜市、伊奈町、等）、東京都、群馬県、茨城県、栃木県、などです。
お気軽にお問い合わせください。

【お問合せ先】
　〒363-0024
　　埼玉県桶川市鴨川1-10-43
　　（9時～20時 日曜祝日休み）
　　048-786-2239 　メール

ITコンサルティングとは

コンサルティングの仕事は、事業者の課題や解決策を提言し、その提言を実施するための仕組みを作り、目指すべき方向に進んでゆくための風土・環境を事業者の中に醸成することです。
ITコンサルティングでは、個人や事業者のDXやICT課題を抽出し、デジタル化、業務効率の改善、付加価値の創造、業務変革、新規事業の開拓など、DXやICT環境をより高度化するためのお手伝いをいたします。現状のDXやICT環境を調査し、お客様のご要望に沿った改善策をご提案いたします。
また、情報セキュリティやサイバーセキュリティ、情報漏洩対策、セキュリティ診断に関するご相談や対応も行っています。

その他、パソコンのアップデートや高速化、機能向上のための提案、各種プログラミングもお受けいたします。SSD、CPU、メモリ、マザーボード、グラフィックボード等の追加や交換、パソコンの不具合対応、ホームページ作成、SEO対策、ツール作成、Webアプリケーション作成、スマホアプリ作成など。
プログラミング使用言語：HTML、CSS、JavaScript、PHP、C言語、Java、Oracle、SQL、Python、WordPress、Unity、など。

ITコンサルティングのパターン

事業者に何らかの問題が発生していたり、新たな課題を見出す必要がある場合、事業者の状況は次の３つのパターンに分類され、それぞれに応じたコンサルティングが求められます。

（１）問題の構造が明らかでなく、解決策もわからない場合

問題を構造化し、個別の課題に落とし込むコンサルティングが必要となります。

（２）問題の構造は明らかだが、解決策がわからない場合

問題に対する指標や目標を設定し、解決策を見出すコンサルティングが必要となります。

（３）問題の構造は明らかで、解決策もわかっている場合

仕組み作り、方針の決定、調整、連携といった支援に関するコンサルティングが必要となります。

DX/ICTを成功させるために

「とりあえず業務をデジタル化しよう」「時代に遅れないようにDX化しよう」などの掛け声や考え方では、日常業務に忙殺されて、いつのまにかDXは後回しとなってしまいます。
また従業員は、日常業務に加えDX化も行わなければならず、仕事が増えて面倒なだけだとモチベーションが下がり、結局、従業員がDX化に消極的になってしまいます。

何のためにDXに取り組むのか

・DXによって従業員が得るメリットは？
・経営課題の解決
　「人材強化」「市場開拓」「収益向上」「新規事業開拓」「従業員の満足度向上」など。
・インセンティブの設定

などをしっかりと検討しましょう。
その後に、どのようなITツールやDXツールを導入したらよいか検討をすることとなります。
（導入例）Office365、Google Workspace、など。

DX/ICTの用語

ITコンサルティングで用いられるDX（Digital Transformation）の用語として、以下があります。

営業部門のDX：セールステック...SFA（営業支援ツール）、CRM、など。
マーケティング部門のDX：マーケテック
人事労務部門のDX：HRテック
経理部門のDX：アカウンテック...ERP、クラウド会計システムfreee、マネーフォワードクラウド、会計管理システム、など。

情報セキュリティ・サイバーセキュリティ・セキュリティ診断

ソフトウェアの開発には、要件定義、設計、実装、テストなどの各段階があり、それぞれにおいて何らかの脆弱性が生じてしまいます。ソフトウェアの脆弱性とは、プログラムの不具合やバグ、設計上のミスによって発生するセキュリティ上の欠陥のことです。
ソフトウェアに脆弱性があると、悪意のある第三者に情報を読み取られて重要な情報が漏洩してしまったり、システムがダウンさせられてしまいます。
そのため、情報セキュリティ・サイバーセキュリティ・情報漏洩対策はとても重要となります。

※以下は、
「サイバー攻撃　ネット世界の裏側で起きていること」　中島明日香　講談社
「脆弱性診断スタートガイド」　上野宣　翔泳社
安全なウェブサイトの作り方（情報処理推進機構セキュリティセンター）
安全なSQLの呼び出し方（情報処理推進機構セキュリティセンター）
より引用しています。

ソフトウェアの脆弱性

ソフトウェアの脆弱性には、以下のようなものがあります。

バッファオーバーフロー

コンピュータのメモリ上に確保されたバッファに対して、その大きさ以上のデータを第三者が書き込み可能な状態にすることによる脆弱性。

整数オーバーフロー

プログラム中の数値演算や数値処理において、意図しない数値処理が行なわれてしまうことによる脆弱性。

書式指定文字列の脆弱性

printf関数などの書式指定文字列を利用する関数において、使用する書式指定文字列が外部から指定可能になっている状態による脆弱性。

解放済みメモリ使用

プログラム中で、必要に応じて確保されたメモリ上の領域に対応するポインタが、該当のメモリ領域が解放された後も利用可能である状態による脆弱性。

二重解放

プログラム中で、必要に応じて確保されていたメモリ上の領域が、不要になったために開放された後、誤って再度解放処理が行なわれてしまうことによる脆弱性。

ヌルポインタ参照

どのアドレスも指定していないヌルポインタが、意図せぬ場所で発生することによる脆弱性。

競合状態

実行中の特定のプログラムが利用しているリソースが、他のプログラムからの干渉を受けて予期せぬ動作を起こしてしまうことによる脆弱性。

脆弱性を緩和する技術

脆弱性を緩和する技術として、さまざまな研究がされています。例えば、

データ実行防止：プログラムで扱うデータを保存する領域で、シェルコードなどの実行を禁止する技術。
アドレス空間配置のランダム化：メモリ上に配置されるプログラムやデータのアドレスを、ランダムに変更する技術。
サンドボックス：保護された領域や限定された権限でプログラムを実行する技術。

などがあります。

サイバー攻撃の種類

ランサムウェア

ランサムウェアとは、パソコンやサーバのデータを攻撃者しか読めないように暗号化し、その暗号の解除と引き換えに身代金を要求するプログラムです。
Ransom（ランサム/身代金）要求するソフトウェアなので、ランサムウェアと呼ばれています。
ランサムウェアには、CryptoWall、Locky、などがあります。
ランサムウェアの手口は以下の通りです。

(1)Webサイトやメールによりコンピュータウイルス配布サイトでランサムウェアのコンピュータウイルスをばら撒いたり、メールにコンピュータウイルスを添付したり、サイバー犯罪者が企業のネットワークに直接侵入してコンピュータウイルスを配布します。
サイバー犯罪者が直接侵入する場合は、侵入のためセキュリティーホール探し、情報取得にはフィッシングが組み合わせて利用されている事例もあります。

　　　　

(2)コンピュータウイルスに感染したパソコンやサーバのデータを暗号化したり、動作するアプリケーションが利用停止状態になります。
パソコンやサーバの持ち主は、暗号化を解除しない限りデータが読めない状態になります。
停止中に発生するべき利益が得られなくなるとともに、復旧対応などの無駄なコストが発生し、経営そのものへの悪影響へとつながります。

　　　　

(3)サイバー犯罪者はこの暗号化したデータを人質とし、暗号化の解除のキーを渡す代わりに身代金を要求します。

ランサムウェアの対策としては以下の方法があります。

セキュリティアップデートを適用する。

コンピュータウイルス対策ソフトを利用し、最新の状態にする。

ITリテラシーを高め、不審なWebサイトへのアクセスを避ける。

不審なメールを開封しない、添付ファイルを実行しない。

定期的にデータをバックアップする。

不正アクセス対策、脆弱性対策をする。

フィッシング

フィッシング（Phishing）とは、実在する企業を偽装しメールやSMSなどを個人に送付して個人情報を騙し取る攻撃です。

ブルートフォース攻撃

ブルートフォース攻撃（総当たり攻撃）とは、可能なパスワードの組み合わせを1つずつ試し、正しいパスワードを探り当てる攻撃です。
BOT（一定のタスクや処理を自動的に行うアプリケーションやプログラム）によってブルートフォース攻撃を行います。

DoS攻撃

DoS（Denial of Service Attack：サービス拒否攻撃）攻撃とは、Webサイトやサーバに対して大量の情報を送りつけることでサーバがパンクすることを利用し、悪意を持ってサーバに大量のデータを送りつけるサイバー攻撃のことです。
対策としては、事前に同一IPアドレスからのアクセス回数を制限しておけば、DoS攻撃を防ぐことができます。

DDoS攻撃

DDoS（Distributed Denial of Service：分散型サービス拒否攻撃）攻撃とは、複数のIPアドレスから一斉にDoS攻撃を仕掛けることです。
攻撃者は、マルウェアなどで不正に乗っ取った複数のコンピュータのIPを活用してDoS攻撃を行います。
DDoS攻撃の種類としては、SYNフラッド攻撃、FINフラッド攻撃、ACKフラッド攻撃、UDPフラッド攻撃、Slow HTTP DoS Attack、DNSフラッド攻撃、などがあります。
DDoS攻撃の場合、対処しきれないほどの複数のIPアドレスから一斉にDoS攻撃が仕掛けられるため、特定のIPアドレスをブロックすることが難しく、また第三者のIPアドレスを踏み台にしているため、攻撃している犯人を割り出すことが難しくなります。

DDoS攻撃の対策方法としては、
・同一IPアドレスのアクセス制限
・特定の国からのアクセス遮断（ただし、制限をかけることによって攻撃者だけでなく海外からの一般ユーザーや顧客からのアクセスもできなくなる）
・WAF（Web Application Firewall）などのDDoS攻撃対策ツールの導入
などがあります。

DDoS攻撃をする理由としては、
・単純な嫌がらせ
・妨害行為（競合サイトをアクセスしづらい状態にする、なんらかの営利目的を持った妨害行為、など）
・抗議活動
・脅迫行為（特定の組織に対して、DDoS攻撃を事前に予告し、攻撃を引き換えにして身代金を請求する、など）
などが考えられます。

クロスサイト・スクリプティング（XSS）

クロスサイト・スクリプティングとは、WebサイトやWebアプリケーションが、ユーザからの入力（HTMLやJavaScript）を、そのままブラウザに反映してしまうことによる脆弱性です。
クロスサイト・スクリプティングの脆弱性を利用したサイバー攻撃として、セッション・ハイジャックを利用したユーザのなりすまし、悪性Webサイトへの転送、などがあります。

SQLインジェクション

Webアプリケーション等のデータベース管理システムに対し、不正なSQL文となる文字列を送信し、想定外のデータをデータベースから取り出す手法です。
SQLインジェクションの脆弱性を利用したサイバー攻撃として、システムログイン時の認証回避や、ユーザＩＤやパスワード、個人情報の不正取得、などがあります。

Exploit Kitによる金銭目的マルウェア感染攻撃

Exploit Kitとは、悪性のWebサイトを構築するフレームワークの名称で、サイバー攻撃のためのツールキットです。
Exploit Kitを使って構築されたWebサイトにユーザがアクセスすると、自動的にマルウェアに感染してしまいます。

その他

・マルウェア（悪意のあるソフトウェア全般を指します）
・OSコマンドインジェクション
・改行コードインジェクション
・クロスサイトリクエストフォージェリ
・LDAPインジェクション
・ディレクトリトラバーサル
・ファイルインクルード
・URLエンコード攻撃
・Webアタック
・HTTPヘッダインジェクション
・メールヘッダインジェクション
・クリックジャッキング
などがあります。

サイバー攻撃・情報漏洩の対策

サイバー攻撃や情報漏洩の対策として、以下があります。
・メールセキュリティの強化
・送信元がわからないメールは開かない
・怪しいURLや添付ファイルはクリックしない
・バックアップを頻繁に取る
・マルウェア対策ソフトの導入
・Webブラウザのセキュリティの強化
・Webブラウザを常に最新バージョンにアップデートする
・WebサイトのSSLサーバ証明書の確認
・パスワードのセキュリティの強化
・二要素認証やシングルサインオンの導入
・DDoS攻撃対策ツールの導入
など。

また、Webサイトに対する攻撃対策として、
・Webアプリケーション脆弱性診断ツールの利用：OWASP ZAP、skipfish、Nikto、sqlmap、Burp Suite、Fiddler、など。
・WAF（Web Application Firewall）の利用：ModSecurityなど
・セキュリティポリシーの設定（CSP:Content Security Policy）
などがあります。

マルウェアに感染した場合

マルウェア感染が疑われた場合、その情報端末を会社や家庭などのネットワークから隔離します。
ネットワークから隔離後、セキュリティソフトを使ってデバイスをスキャンしてマルウェアの駆除を試みます。
セキュリティソフトで駆除できない場合、情報端末のハードディスクを初期化します。
ランサムウェアに感染した場合、暗号を解くために「No More Ransom」プロジェクトで公開されている復号ツールを利用します。

不正アクセスされた場合

不正アクセスされた場合、サイバー攻撃の原因特定と情報漏洩の状況を把握することが重要です。自社での調査が難しい場合、デジタルフォレンジックサービス（情報端末の電磁的記録の調査・分析サービス）の利用が考えられます。
そして、不正アクセスへの対策を講じます。例えば、SQLインジェクションを受けた場合はエスケープ処理を行ったり、ソフトウェアやアプリケーションの脆弱性を特定してパッチの適用やアップデートを行います。
また、不正アクセスの被害拡大や再発を防ぐために、情報処理推進機構（IPA）に不正アクセスに関する届出を提出します。

情報漏洩が発覚した場合

情報漏洩が発覚した場合、情報端末を外部からアクセスできないように遮断します。そして、情報漏洩の原因を調査し、情報が流出した個人や法人に通知します。すべての関係者への個別通知が困難な場合、ホームページでの情報公開や記者会見などで公表する必要があります。問い合わせ専用窓口の設置も検討します。
そして、再発防止に向けた取り組みを検討し、サービスを復旧します。
個人情報保護法に則り、情報漏洩の事実を個人情報保護委員会に報告する義務があります。個人情報保護法違反があった場合、個人情報保護委員会は、当該個人情報取扱事業者（企業や団体など）に対し、違反行為の中止やその他違反を是正するために必要な措置をとるべき旨を「勧告」することができます。勧告命令に従わなかった場合、法人は1億円以下の罰金が科されます。また、当該役員や従業員も処罰の対象となり、1年以下の懲役もしくは100万円以下の罰金が科されます。
情報漏洩時の体制や連絡方法などを、事前に社内規定として作成しておいたほうが良いでしょう。

各種ツール

ハッキングツール

・Nmap（ポートスキャナー）
・Wireshark（パケットキャプチャー）

Webアプリケーションスキャナー（脆弱性・バグ発見ツール）

・Burp Suite
　Webアプリケーションのセキュリティや侵入テストで使用するソフトウェアです。
・OWASP Zed Attack Proxy(ZAP)
　Webアプリケーションへのリクエストのレスポンスの内容から脆弱性の有無を判定するソフトウェアです。
・OWASP Amass
　ドメインに関する情報を収集・監視するソフトで、組織情報やサブドメイン情報を収集します。
・Fiddler
　HTTPS通信の内容を解読し解析するツールです。

脆弱性体験学習ツール

・AppGoat
　脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。

Webアプリケーション脆弱性診断手法

・ガイドライン

Webアプリケーションの脆弱性発見方法

・パラメーターにASCII文字記号の挿入（スペース記号は0x20、#は0x23、など）
・パラメーターの値の変更
　数値なら制限範囲外の値、0、マイナス値、英字、小数点の数字などを入力する。
　値を空にする、削除する、ヌルバイト（%00）を入力する。
・HTTPヘッダフィールド値の変更や削除
・Google Hacking Databaseの利用

当事務所の６つの特徴

１ ＩＴエンジニア・法律家・心理カウンセラー が、お客様の経営課題を解決します。

２ 業務歴は１５年以上 ありますので、経験・知識が豊富です。

３ お客様が話しをしやすい カウンセリング技術 があります。

４ じっくりとお話しを伺い、丁寧・誠実 に対応いたします。

５ 電子申請 や Web申請 など電子化に対応しています。

６ 閑静な住宅街にある アットホームな雰囲気 の事務所です。

料金・諸費用

お問い合わせ

○電話：048-786-2239
○Mail：hiroshi1_takahashi@orange.plala.or.jp
○営業時間：9時～20時
○休業日：日曜日及び祝日
○所在地：埼玉県桶川市鴨川1-10-43
（JR桶川駅西口より徒歩8分）
　　　　　【駐車場あり】

※お送りいただきました情報は、個人情報保護に関する諸法令及び当事務所の個人情報保護規程に基づき、厳重に管理致します。

面談によるご相談・ご依頼の流れ

お客様からのお電話・メールによる予約
　　048-786-2239
　　 メール
　　　　　
当事務所よりお客様へご相談日時のご連絡
　　　　　
ご相談当日（相談料・着手金は当日お支払いください）
　　　　　
《ご依頼後》 経営課題検討、相談継続、その他各種対応
※お客様と常に連絡をとりながら進めます

電話・メールによるご相談の流れ

お客様からのお電話・メールによる予約
　　048-786-2239
　　 メール
　　　　　
当事務所よりお客様へ銀行振込み・現金書留による入金のご案内　　
　電話相談（１時間当り）：８千円
　メール相談（１回）：２～８千円
　　　　　
お客様からの入金を確認後、ご相談・ご回答
※ご相談後、ご依頼される場合は、上記「面談によるご依頼の流れ」をご覧ください。

Zoomによるオンライン相談の流れ

お客様からのお電話・メールによる予約
　　048-786-2239
　　 メール
　　　　　
お客様のメールアドレスを当方に通知
　　 メール
　　　　　
当方よりお客様へ銀行振込みによる入金のご案内　　
【お振込み先】三井住友銀行　川崎支店　普通口座５５５９９９３　名義人：タカハシヒロシ

あらかじめ所要時間をお客様にてお見積りいただき、所要時間分の料金をお振込みください（料金を多くお振込みされたときは、残金を返却いたします）。
匿名ご希望のお客様は、お振込みのお名前をご自由にお決めください。
　オンライン相談（１時間当り）：８千円
　　　　　
当方からお客様宛に入金を確認した旨のメールを送信
　　　　　
お客様にてZoomが使用できることを確認　【Zoomの接続テストをする】
　　　　　
オンライン相談時間の少し前になりましたら、当方よりお客様宛にZoomで使用するURLをメールで送信
　　　　　
Zoomにてオンライン相談

行政書士とは

行政書士は、行政書士法（昭和26年2月22日法律第4号）に基づく国家資格者で、他人の依頼を受け報酬を得て、クーリングオフや内容証明書等の権利義務、事実証明関係書類の作成代理等を行います。

行政書士には守秘義務が課せられております。お客様の秘密は厳守いたしますので、安心してご相談ください。

［行政書士法］
（行政書士法第１条の２）
他人の依頼を受け報酬を得て、権利義務又は事実証明に関する書類を作成することを業とする。

（行政書士法第１条の３）
他人の依頼を受け報酬を得て、次に掲げる事務を業とする。
・契約その他に関する書類を代理人として作成すること
・書類の作成について相談に応ずること