みなさん、こんにちは。ぷらっとホームのテクニカルサポートチームのKです。
もう4月ということで、新年度スタートですね。
みなさま、突然なんですけど、カメムシって……お好きですか?
……まあ、「大好き!」って方はなかなかいないと思うんですけど。おととしの冬にですね、我が家にカメムシくんが何度か不法侵入してきまして。いや、あれは本当に大騒ぎでした。
あの子たち、「1mmの隙間」があればどこからでも入ってくるらしいんですよ。1mmですよ?ほぼ隙間ないですからね。
で、外が寒いから「ちょっと暖かいおうちに入れてあげたいな」なんていう優しい気持ちも、まあ私くらいになるとゼロではないわけです。でも、歩いててうっかり踏んづけちゃったら向こうも可哀想ですし、なによりあの『強烈なにおい』ね。あれ出されちゃったら、もう我が家の平和は終わりなわけです。大惨事ですから。
それで去年の11月くらいに、100均で『網戸の隙間を防ぐテープ』を買ってきまして、家の窓という窓にビーッと仕込んだんですよね。
そしたら、これがもう効果てきめんで。12月、1月と過ぎて、2月に入ってもあの子たちの姿をパッタリ見なくなったんですよ。。。
突然セキュリティ担当になった皆様へ
さて、4月といえば人事異動の季節。
読者の方の中には、「本業(学校の先生など)があるのに、前任者がいなくなって突然EasyBlocksの管理者になっちゃったよ…」と頭を抱えている方もいらっしゃるのではないでしょうか。
カメムシの侵入ならにおいで済みますが、社内ネットワークへの侵入は洒落になりません。とはいえ、何から手をつければいいのか分からないですよね。
そこで今回は、日々システムやお客様と格闘している当社の開発・サポート陣に、
「これだけはやっておいて!
EasyBlocksの必須セキュリティ設定」
を緊急アンケートしてみました。
開発・サポート担当がガチで選んだ「最低限これだけは!」というポイントを絞ってお伝えしますので、ぜひご自身の機器の設定を見直してみてくださいね。
🥇ぶっちぎりの1位:ログインパスワードの変更
まずは基本中の基本、「ログインパスワード」についてです。
Web管理画面のパスワードは初期設定時にご自身で登録されるので、「推測されにくい複雑なもの」に設定していただければ、ひとまず安心です。
しかし今回の社内アンケートで、開発・サポート担当から一番強く警鐘を鳴らされたのが、「サポートアカウント(ebsupport)」のパスワードの変更忘れです。
私なんかちょいちょいやっちゃうんですけど。スーパー行くじゃないですか。
「よーし、今晩は肉じゃがだぞ!」って気合入れて。で、お肉コーナーで「牛か?豚か?……いや、ここはあえて鶏肉か?」なんて、めちゃくちゃ悩むわけですよ。謎にこだわっちゃって。
で、散々悩んで最高のお肉を買って、満足して家帰るじゃないですか。でも、いざ作ろうとすると、肝心の『ジャガイモ』を完全に買い忘れてるわけです。すごくないですか?
肉じゃがを作ろうとしてるのに、一番大事なジャガイモがないんですよ?ただの肉の煮込みになっちゃうわけです。(気合入れて麻婆豆腐を作ろうとしたのに、メインの豆腐買い忘れるパターンもありますよね)
実はEasyBlocksには、コンソール接続用としてこの「サポートアカウント(ebsupport)」が用意されています。
普段はWeb画面での操作がメインとなるため、新任担当者さんにとっては「コンソールから接続できるアカウントがあること自体、なかなか気づきにくい(見落としやすい)」ポイントかもしれません。
このサポートアカウントですが、皆様が初期設定やメンテナンスを行えるよう、マニュアルにはあらかじめ「初期パスワード」が明記されています。
要は、お肉選び(Web画面のパスワード)ばかりに気を取られて複雑なものを設定し、安心しているのは、一番大事なジャガイモ(サポートアカウントのパスワード変更)がスコンと抜けちゃっているのと同じ状態なわけです。
閉域網での利用の場合でも、デフォルトからの変更を強く推奨します。
サポートアカウントのパスワードは、Web管理画面から簡単に変更できます。機器を引き継いだら、あるいは新しく導入したら、何よりも最初にここの変更をお願いします!
設定方法
サポートアカウント(ebsupport)のパスワード変更は、Web管理画面から変更してください。
Web管理画面ログイン後、①「システム」タブ内の ②「その他」タブまたは「基本」タブ内の”サポートアカウントパスワード変更”にて変更してください。
尚、項目自体が表示されない場合には、ファームウェアを対応バージョンへアップデートしていただく必要があります。
以下、マニュアルもご参考ください。
▶EasyBlocks ユーザーマニュアル:サポートアカウントパスワード変更はこちら
🥈2位:ファームウェアアップデートの実施
第2位は、「ファームウェアのアップデート実施」です。サイバー攻撃は、日々新しい隙間(脆弱性)を狙ってきます。それを塞ぐのがシステムの更新なのです。
一度設定したら終わりではなく、常に最新の防具を装備しておくことがネットワークを守る鉄則です。
EasyBlocksのアップデートには、
●「オフライン」アップデート
●「オンライン」アップデート
の2通りの方法があります。
「オンライン」アップデート実行には、事前にAirManageを利用できるようにしておく必要があります。
……「えあー・まねーじ?」って。
急にきたな~。うわ、なんかめんどくさいの来たぞ。私だって避けて通りたかった(笑)
なんか名前が横文字でいかついんで、これからは親しみを込めて『アマネ姐(ねえ)さん』って呼びますね。響き似てるし。
でも、ここでちょっと頑張ってアマネ姐さんを利用できるようにしておいてもらえると、こんな恩恵があります。
● Debianコミュニティーが公開している各パッケージも最新バージョンにできる
● リモートからアップデートを行える(緊急時にも安心)
● 複数台のEasyBlocksのアップデートが一括で出来る
もうめちゃくちゃ便利になるので、ここは是非乗り越えて頂きたい!
一応公式には「AirManage 2とは、EasyBlocksなどを遠隔管理・制御するSaaS方式のリモートマネジメントサービスです」なんて小難しく説明してるんですけどね。
アマネ姐さんは、ざっくり説明すると、私みたいなめんどくさがりにはぴったりの、いちいち現場に走らなくても「手元から一気にまとめて済ませられる」ように手配してくれる、超優秀なベテランマネージャーなんですよ。
アマネ姐さん(AirManage 2)への登録方法に関しては、以前ブログでも取り上げているので確認してくださいね!
(※AirManageのご利用には保守契約が必須となります。「うちの保守契約、どうなってたっけ…?」という方は、この機会にぜひ一度ご確認ください)
アップデート手順
WebUIの画面ログイン後、「システム」タブ内の「システムの更新」タブから実行可能です。
詳細は、下記ブログまたはマニュアルをご確認ください。
🥉3位:HTTPアクセスの無効化設定
第3位は、「HTTPアクセスの無効化設定」です。要するに、「管理画面の通信は暗号化(HTTPS)しましょうね」というお話です。パスワードを盗み見られないように、ここはサクッと対策しちゃいましょう。
ただ、ひとつだけとんでもない罠がありまして。セキュリティを高めようと勢いよく「よし、HTTPを拒否!」ってやると、自分自身が設定画面から完全に締め出されちゃうことがあるんです。
なので、HTTPを拒否にする時は、絶対に先に「HTTPS」が許可(有効)になっていることを確認してください。あの最後についてる「S」ね。
あれ何なんですかね?スペシャルの「S」なのか、っていうかこれ、HTTPがいっぱい入ってるんですかね?
いや、普通に考えたらセキュアの「S」なんでしょうけど、もう我々からしたら「凄そうな方のS」っていう覚え方でいいと思うんですよ。
でも、その「凄そうなS」を確認しないで保存ボタンを押しちゃうと、その瞬間、誰も入れない・自分も入れない、「世界で一番安全な、ただの箱」が完成しちゃうので。
……絶対に、凄そうなSがある方が許可(有効)になっているか確認してから、保存ボタンを押してくださいね!
設定方法
Web管理画面ログイン後、①「システム」タブ内の ②「その他」タブまたは「基本」タブ内の「Web UIアクセス制御」のHTTPを「拒否」にし、HTTPSを「許可」に設定変更します。
【重要な注意事項】HTTPを拒否にする際は、必ずHTTPSが「許可(有効)」になっていることを確認してから設定を保存してください。
以下、マニュアルもご参考ください。
▶マニュアル:Web UIアクセス制御についてはこちら
さいごに
こんにちは『隙間産業の社長』!
で、最後に冒頭の「あの子たち」の話にもどりますが。
2月になっても全然出ないから、もう私の『完封勝利』で幕を閉じたと思ってたんですよ。そしたら、冬も終わるっていう2月の末ですよ。……なんか、視線を感じるな、と。
ふと見たら、いるんですよ。
「いやいや、マジか」と。だって完璧に塞いだはずじゃないですか。で、どういうこと?って家中の窓を調べたら、換気でよく開け閉めする窓の隙間テープが、端っこだけペロッて剥がれてたんですよ。ほんの1ミリですよ?
いやー、恐ろしいですよね。1回対策して安心して放置してると、あの子たち、そういう「ちょっとした隙」を絶対に見逃さないんですよね。
1ミリの隙間から確実に入り込んでくるその手腕。私、(勝手にリスペクトを込めて)あの子たちのこと『隙間産業の社長』って呼びましたからね。社長、ずーっと待ってるんですよ、テープが劣化して剥がれるのを。
まぁそういうわけでみなさま!
アマネ姐さん(AirManage 2)にも頼りつつ、EasyBlocksの設定はぜひ定期的に見直してくださいね!