サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
今年の「#文学」
www.nri-secure.co.jp
昨今、金融セクター全体で、新しいデジタルテクノロジーを活用した業務プロセスの効率化や顧客サービスの向上等が進んでいます。 その一方で、国家間の対立や新たなデジタルサービスを狙った攻撃等により、サイバー攻撃がより一層高度化・多様化しています。 一企業が国家レベルのサイバー攻撃能力を持つハッカー組織からの攻撃を完全に防御することは困難であるため、金融機関等は今まで以上に金融庁や中央機関、業界団体等と連携しながら、サイバーセキュリティ対策レベルの底上げを行う必要があります。 そのような状況下で、金融庁は2024年10月4日に「主要行等向けの総合的な監督指針」等を一部改正し、新たに各監督指針・事務ガイドライン(以下、監督指針等)の別紙となる「金融分野におけるサイバーセキュリティに関するガイドライン(以下、本ガイドライン)」を金融機関等向けに公表しました。 金融庁は引き続き、金融機関等の規模・特性に
昨今、ビジネス環境の急激な変化に対応するために、ビジネスを支えるシステムの開発・リリースを短期間で実施することが求められています。多くの企業がDevOpsの概念やアジャイル開発などの開発手法を取り入れてリリーススピードの向上に取り組んでいます。 一方、従来のセキュリティ診断やセキュリティ機能・運用のテストで発見された脆弱性の修正を実施する場合、多くの手戻りが発生するため、ビジネスに求められるリリーススピードの向上と相容れなくなってきています。 そのため、システムのリリースを優先した結果、脆弱性を見逃してしまうことや、発見された脆弱性の修正が不十分になってしまうことが多く、従来のセキュリティ対策のプロセスではセキュリティ対策が十分にできない可能性が高まっています。 また、昨今のWebサービスはSNSのIDなど外部のサービスと連携し、インターネットに公開されることが増えており、外部からの攻撃を
近年、内部不正に起因するセキュリティインシデントが繰り返し報道され、世間を騒がせています。中でも、昨年、大手通信子会社の元派遣社員がシステム管理者のアカウントを悪用して個人情報を持ち出した事件は、記憶に新しいのではないでしょうか。 システムの保守・運用業務に使用する管理者用のアカウント(特権ID)は、機密情報へのアクセスやシステムの設定変更が可能です。高い権限を持つため、悪用された場合、大規模な情報漏えいやサービスの停止など、事業の存続を揺るがす甚大な損失を招く可能性があります。 では、このような事態を防ぐには、どのようなセキュリティ対策を行えば良いのでしょうか。 本ブログでは、内部不正による事件が後を絶たない理由について、システム管理者の権限を悪用した事件を分析しながら、発生した理由と効果的な対策について解説します。 サイバー攻撃・内部不正による情報漏えいを効果的に防ぐ手段とは? インシ
クラウドネイティブ環境においてセキュリティを確保するための包括的なアプローチとして、GartnerはCNAPP(Cloud Native Application Protection Platforms)を提唱しました。本稿では、クラウドネイティブセキュリティ対策として多くの機能を兼ね備えたCNAPPについての近年の動向をお伝えしていきます。 はじめに 皆さん、SANS[i]はご存知でしょうか。SANSは情報セキュリティ分野に特化した世界トップレベルのセキュリティ研究・教育機関で、ニュースダイジェストや脆弱性情報の発信、トレーニングコースの提供などを世界各国で行っています。このSANSがクラウドセキュリティに関するホワイトペーパーとして、「Cloud Security Foundations, Frameworks, and Beyond」[ii]を2023年8月にリリースしています。 2
DMARCは大手企業で潤沢に予算がなければできないというものではなく、設定だけであれば簡単なところから始められます。 DMARCの導入についてはSPFまたはDKIMが導入されていることが必要になります。DKIMの導入は容易ではないため普及率はまだ低く、上記東証上場企業の調査では1割に満たないことがわかりました。一方でSPFは導入は簡単で9割を超えています。繰り返しになりますが、SPFまたはDKIMが導入されていればDMARCを設定できるため、9割を超える企業ドメインでDMARCを設定できる状況にあるということになります。誤遮断のリスクなど難しい話をしてしまうと導入障壁が高くなってしまいますが、noneの設定であればそういった懸念はないため、まずはnoneから設定していくのが良いと思われます。 受信側の対策 次に受信側の対策、すなわち上記のSPF・DKIM・DMARCのチェックを行い、不審な
2023年12月19日、NSA(National Security Agency:アメリカ国家安全保障局)が「NSA 2023 Cybersecurity Year in Review[i]」を公開しました。この資料では、NSAの2023年のサイバーセキュリティに関連する取り組みや成果を紹介しています。 NSA自身の1年の成果報告書のような位置づけの資料ですが、この内容を読み取ることで、世界でも最先端のサイバーセキュリティ技術を有するアメリカが、現在どこで戦っていて、どのような未来に注目しているのかなどの貴重な情報が得られます。本ブログでは、このレポートの内容から気になるポイントをいくつかピックアップしてご紹介しつつ、個人的な感想も交えながら、そこから読み取れるサイバーセキュリティ業界の動向について解説します。
2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威
独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の最新版が2024年1月24日に公開されました。 情報セキュリティ10大脅威では「個人編」と「組織編」がありますが、本記事では、組織編のTOP10に選出された脅威について、特に注目したいポイントと対策をまとめ、解説していきます。 ▶「経営層が納得するセキュリティ報告」を読む 「情報セキュリティ10大脅威」とは? 毎年、注目を集める「情報セキュリティ10大脅威」ですが、そもそもどのようなランキングなのでしょうか? 以下は、IPAのWEBサイトに記載された説明文です。来年度のセキュリティ対策を計画するうえでも、ぜひチェックしておきたい情報が詰まっています。 「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選
昨今、実在する人物や組織を偽り、電子メールを送付する「なりすましメール」による被害が増加・拡大しています。IPA(Information technology Promotion Agency, Japan)から発表されている「情報セキュリティ10大脅威 2023」では、「ビジネスメール詐欺による金銭被害」が第7位に位置付けられています[1]。 受信者(被害者)が、なりすましメールを本物のメールとして扱うことで、最終的にはマルウェアに感染したり、金銭を要求されたり、重要情報が漏洩したり、被害を受けたりする恐れがあります。また、これらのサイバー犯罪は詐称された企業のブランドイメージや信頼性を脅かすだけでなく、顧客やパートナーとの信頼関係にも影響を及ぼします。 こういった被害の予防や対策として、「DMARC」と呼ばれる技術の活用が推奨されています。DMARCは、送信者ドメインがSPFやDKIM
発見されている脆弱性の数が年々増えていることを皆様ご存じでしょうか。以下のグラフをご覧ください。 このグラフは、「CVSS v2」という評価手法を使って、脆弱性の重大度合いを分類したグラフです。現在は、CVSS v2の改良版である「CVSS v3」が主流になっているため、2022年7月を境にNVDではCVSS v2の集計を中止しており、2022年の脆弱性の数が低くなっています。しかし、近年の傾向を考慮すると、非常に多くの脆弱性が発見されていると推測できます。 多くの脆弱性を正確に判断し対応することが求められている一方で、CVSSを用いた対応に課題があることもわかってきています。 本稿では、CVSSに代わる脆弱性の評価手法「SSVC」についてご紹介します。 図1.2013年から2022年までの脆弱性数の推移[1] 出所)NVD[2]のCVSS Severity Distribution Ov
生成AIには様々なリスクがあります。大まかに分けると、「利用者としてのリスク」「生成AIサービス提供者のリスク」「社会のリスク」という3つのカテゴリに分類できます。これらのリスクは相互に関連しているものの、それぞれが独自の対象を抱えています。しかし、これらのリスクは時に混同され、理解が妨げられてしまうことがあります。本稿では、生成AIのリスクをそれぞれの所有者ごとに整理し、解説していきます。 <関連記事> AIと人を融合させたチームビルディング|AIエージェントで作るチーム・組織のデザインパターン リスクの所有者 「利用者としてのリスク」「生成AIサービス提供者のリスク」「社会のリスク」は相互に関連しています。例えば、利用者がリスクを引き起こすと(他者の権利を侵害したり、誤った情報を広めたりするなど)、それは社会全体のリスクに繋がります(人々の権利が侵害され、誤った情報が広まるなど)。そし
昨今、企業が自社のサービスのAPIを公開し、他システムと連携することで、自社サービスの価値向上や新たなサービスを創出する動きが盛んです。しかし、APIを公開する際に課題となるのが「セキュリティの担保」です。個人情報の漏洩や攻撃者による不正操作が発生してしまった場合、企業の信用は落ちかねません。 本記事では、金融業界などの特に高いAPIセキュリティレベルを要求されるシステムへのガイドラインであるFAPI(Financial-grade API)について、その要求事項や検討のポイントをご紹介します。 ▶「大規模ユーザを管理する「顧客ID統合プロジェクト」成功の秘訣」を読む FAPI(Financial-grade API)とは Webアプリケーションやモバイルアプリケーションの普及に伴って、ユーザデータへのアクセスが異なるアプリケーション間で共有される機会が増えてきています。それを受けて、ユー
2023年10月に、Googleから新たな「メール送信者のガイドライン」が発表されました。本記事では、Googleの公式発表の内容をもとにガイドラインの内容を解説するとともに、DMARC対応との違いについても触れていきます。 ▶「DMARCスタートガイド」を読む 「メール送信者のガイドライン」に準拠しない場合の影響は? 詳細な内容については後述しますが、「メール送信者のガイドライン」に準拠しない場合、企業にどのような影響があるのでしょうか。まずは、ポイントをお伝えします。 2024年2月以降、SPF/DKIMによるメール認証をしていないメールは、Gmailアカウントへメールが届かなくなる可能性がある Gmailアカウントへ1日5,000件以上メールを送信する企業は、SPF/DKIM/DMARCの3つへ対応していない場合、Gmailアカウントへメールが届かなくなる可能性がある ダイレクトメー
昨今、「Googleアカウントでログイン」や「Facebookアカウントでログイン」に代表されるような、IDプロバイダに登録されたユーザーに関する情報(本稿では広義の「ID情報」と呼称)を用いてサービスを利用することが当たり前の世界になっております。このID情報を連携する仕組みの一つとして、ユーザーが自分自身のID情報をウォレットに保持し、連携したいサービスへ提供することができる「デジタルアイデンティティウォレット」という技術が注目を浴びています。 このデジタルアイデンティティウォレットはまだ世界的にも仕様検討・実証実験段階のものも多くみられます。本稿では国内外の先行事例を紹介しつつ、実際にサービス化するにあたり検討が必要になると考えられる論点を紹介します。 ▶「経営層を納得させるセキュリティ予算獲得術」をダウンロードする デジタルアイデンティティウォレットが注目される背景 現在主流のデジ
NIST SP 800-63-4のドラフトの主要な変更事項を読み解く全4回の連載、第3回目はSP 800-63B「デジタルアイデンティティの当人認証とその保証レベル」を取り上げます。NIST SP 800-63の概要については第1回全体編をご覧ください。 本連載の関連記事はこちら 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<全体編> 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<身元確認編> 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<フェデレーション編> ▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする NIST SP 800-63B 「デジタルアイデンティティの当人認証とそ
多くの企業が、機密情報の漏えい対策として、ファイル転送・共有サービスを活用しています。特に近年は、メールで暗号化ZIPファイルを送付し、復号用パスワードを別途メールで送る、いわゆる「PPAP」の代替手段として、導入する企業が増えています。 一方で、ランサムウェアをはじめ、ファイル転送・共有サービスを対象としたサイバー攻撃の被害が目立つようになってきています。機密情報の窃取だけでなく、窃取した情報と引き換えに身代金を要求し、応じなければダークウェブ上へ機密情報を公開すると脅迫される事例も確認されています。 こうした攻撃から身を守り、安全・安心なファイル転送・共有を行うには、どうしたら良いのでしょうか。 本ブログでは、ファイル転送・共有サービスへの攻撃が増加した背景と被害の実態を整理した上で、どのような基準でサービスを選定すれば良いのか、その観点や方法について解説します。 ▶ユースケースに学ぶ
サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和5年7月4日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」)」の令和5年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された複数の文書の総称である。 機関等は、統一基準群に準拠しつつ、自組織の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」)を定めなければならず、今回の統一基準群の改定により、令和3年度版の統一基準群に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく
近年、クラウド環境を利用してシステムを構築する企業が急増しています。中でもパブリッククラウドサービスとしていち早く開始されたAWS(Amazon Web Services)はトップシェアを誇っており、AWSを利用している企業や今後移行を検討している企業も多いかと思います。 クレジットカードに関するセキュリティの国際基準であるPCI DSSもそうした変化の影響を受けており、2022年3月にリリースされた最新バージョンであるv4.0では、クラウド環境に柔軟に対応することを意図した要件が多数見受けられました。 AWS環境でPCI DSSに準拠する場合、AWSの提供する各種サービスをうまく活用することで、要件への対応を効率的に実施することが可能です。一方で、デフォルト設定で運用するだけでは要件を満たせないサービスも多く、その設定値や運用方法についてはユーザ側で正しく理解しておくことが重要です。 そ
金銭を奪い取ることを目的に、言わば“プロ化”が進行する近年のサイバー犯罪。被害に遭わないために企業はサイバーセキュリティにいかに取り組むべきでしょうか。同時に、生産性を下げることなく、安心して業務を遂行できる環境を実現するために、企業の経営者、セキュリティ部門、一般社員に求められる行動原理とはどのようなものでしょうか。サイバーセキュリティに対するリテラシーが企業にもたらす付加価値について、株式会社圓窓の代表取締役である澤円氏と、NRIセキュアでセキュリティ教育サービス部長を務める時田剛が対談しました。 確実に金銭を奪い取るためにオンラインサポートまで提供!? 近年のサイバー犯罪の傾向 時田:澤さん、本日はどうぞよろしくお願いします。まず、近年のサイバー犯罪の傾向についてお話しさせてください。私としては、攻撃者が自分の技術をアピールするような「自己顕示欲の主張」を目的とした犯罪が減り、明確に
ニュース NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施CISOの設置が約4割にとどまる日本。新規セキュリティ予算は増加傾向 NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:柿木 彰、以下「NRIセキュア」)は、2022年7月から9月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,877社を対象に、情報セキュリティに関する実態調査を実施しました。この調査は、2002年度から毎年実施しており、今回で20回目となります。調査で明らかになったのは、おもに以下の3点です。 CISOの設置割合が約4割にとどまる日本企業(米・豪は9割以上) サイバーセキュリティへの対策は企業が果たすべき社会的責任であり、経営者としての責務です。セキュリティ対策の整備が十分に進んでいる組織において、重要な役割を果たしているのが、経営とセキュリティ担
ランサムウェア被害を筆頭に毎週のように工場や各種制御システムに対するサイバー攻撃が報道されている。 本稿では、工場を中心に制御システムのセキュリティに関する昨今の動向や攻撃の流れ、制御システムにおけるサイバーセキュリティ対策の進め方と効果的に対策を進めるためのポイントについて、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0*1」(以下、「工場ガイドライン」)にも触れながら解説する。 *1 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html 工場におけるサイバー攻撃の事例と一般的な攻撃の流れ 最近のトレンドとインシデント事例 サイバー攻撃により工場が被害を
ISO 20022とは、金融サービス(資金決済取引、証券決済取引、デリバティブ取引等)で利用される通信メッセージに関する電文フォーマットのルールや手続きを規定した国際規格であり、欧州・日本等の主要決済インフラにおいて検討・導入が進んでいる。 本記事では、ISO 20022に関する基礎事項や金融分野での動向、さらに事業者がISO 20022に準拠した金融システムを実装・導入する上で気をつけるべきセキュリティ上の留意事項をご紹介する。 ISO 20022の概要 そもそもなぜルールや手続きを定める必要があるのか? あるデータを2つの情報システム間で送受信することを考える。その際、事前に送受信に関するルールや手続きを定めておかなければ、データを送受信することができない、送受信したデータの情報が欠落している等、様々な問題が生じることになる。これらの問題を回避するためにも情報システム間でやり取りを行う
この度、筆者は世界有数のサイバーセキュリティカンファレンスであるBlack Hat USA 2022に現地参加する機会を得た。 サンフランシスコで開催される「RSA Conference」に並び、世界最大級のセキュリティに関する国際イベントとして位置づけられている「Black Hat USA 2022」も、新型コロナウィルス流行の影響を受け、2020年度はオンラインのみでの開催となっていた。翌2021年にはオンサイトでの開催が復活し、2022年も引き続きオンサイトでの開催が実現した。 当社は、セキュリティ動向に関する調査や、最新の製品・ソリューションの情報取集のために例年Black Hat USAに参加してきた。本ブログでは、普段セキュリティ診断に従事しているセキュリティコンサルタントの視点から見た、Black Hatのポイントや、コロナ禍でのオンサイト参加で感じた会場の様子、筆者が聴講し
DEF CONは世界有数のセキュリティ国際会議であるBlack Hatとほぼ同じタイミングで開催されます。Black Hatと同じくセキュリティに関する国際会議であり、その歴史はBlack Hatよりも古く、今年で30回目の開催となります。 大規模な企業ブースや研究結果の様なしっかりとした講演があるBlack Hatと比較すると、様々なジャンルごとに小規模な展示や講演、イベント等が行われています。世界最高峰のセキュリティコンテストなども行われ、世界中からセキュリティの専門家が集まることから、ハッカーの祭典とも呼ばれています。 今年のDEF CONはラスベガスの大規模なカンファレンスセンターであるCaesars Forumや、Flamingo、Linq、Harrah'sといった大きなホテルのカンファレンスルームで行われました。 今回、NRIセキュアテクノロジーズのグループ会社であり、自動車の
AIモデルはどのようにして我々のプライバシーを侵害するのか? IT活用全般において、個人情報や企業の機密情報などの保護は、重要視されてきました。近年のITサービスの普及・グローバル化によって、各国がプライバシー関連の規制(GDPRやCCPA、改正個人情報保護法等)を相次いで打ち出していることからもわかるように、その重要性はますます大きくなっています。AI分野についても同様であり、プライバシーの保護は、AIを活用するうえでの前提として考えられるべきものです。 では、「AI活用におけるプライバシーリスク」とは具体的にどんなものなのでしょうか。 本連載の初回のブログでも述べた通り、一般にAIモデルを構成するにあたっては、大量の、多くの場合は実世界のデータ(学習データ)を使います。しかし、学習済みのAIモデルは学習に使ったデータをそのまま記憶しているわけではありません。あくまで学習によって得られた
2018年に施行された欧州一般データ保護規則(GDPR)を機に各国の個人情報保護法は厳格化の傾向にあります。図表1に示す通り、各国で個人情報保護に関する法案が策定され、続々と施行されています。各国で施行されたもしくは施行予定の法令はGDPRを参考に、個人のプライバシー保護の観点が強化されていると考えられます。 これら各国で施行されている個人情報保護法や、個人情報の取り扱いに関する考え方は、国や文化によって異なるため、上記の国で既にビジネスを行っている、または新たにビジネスを行うことを考えている企業は、これらの個人情報保護法の内容を理解し、適切に個人情報を取り扱う必要があります。 該当国の個人情報保護法への対応を適切に行っていない場合、想定していなかった制裁を受けてしまう可能性が考えられます。 本記事では、ドイツ・英国・シンガポールにおける個人情報保護法違反による制裁事例を取り上げ、これら制
クレジットカード会員情報の保護を目的とした国際統一基準であるPCI DSSに関して、新しいメジャーバージョンのPCI DSS v4.0が2022年3月にリリースされた。PCI DSS v3.0(2013年11月リリース)から約8年ぶりとなるメジャーバージョンアップである。 これまでのPCI DSSの軸となる12区分からなる要件を踏襲しつつも、これまでのベースラインの考え方に加えリスクベースの考え方も追加された点や、クラウドやマルチテナント等への昨今のシステム環境変化に対応した点が主なアップデートとなっている。 本稿では、PCI DSS v4.0準拠までのタイムラインや、主な変更要件、またそれに対する対応方針について解説する。 ▶「3Dセキュアを導入するためのセキュリティ基準」をダウンロードする PCI DSS v4.0準拠までのタイムラインについて PCI DSSを発行している、PCI S
シフトレフトとは、システム開発の工程「企画→要件定義→設計→実装→テスト→リリース」において、上流でセキュリティ対策を組み込むという考え方です。 従来のセキュリティ対策では、テスト工程などの下流で行われることが一般的でしたが、より「左側」の上流で対策を講じるという意味で、「Shift Left」と呼ばれています。 具体的には、設計工程でセキュリティを考慮した設計を行うこと、実装工程でセキュリティテストの自動化・内製化を行う取り組みなどがあります。 システム開発のライフサイクルが短期化し、迅速かつ頻繁にアプリケーションをリリースする傾向が広がる中で、早期に脆弱性を発見し、リリーススケジュールの遅延や改修コストの増加を防ぐために、「セキュリティ・バイ・デザイン」とあわせて、シフトレフトの重要性が注目されています。
あなたの会社・組織のセキュリティ予算は、毎年いつ頃作成していますか? 日本企業の多くは毎年秋から冬にかけて、来年度のセキュリティ予算を獲得するべく、セキュリティの戦略・計画・施策を検討しています。 一方で、情報セキュリティやサイバーセキュリティへの投資は、企業の売上・利益に直結せず、経営層の方には投資対効果が見えづらいことから、セキュリティ予算取りを上申する際に、どのように説明・調整すべきかを悩んでいるセキュリティ担当者が多いのも事実です。 そこで本ブログでは、セキュリティ予算の獲得に関して、経営層と対話するための「ポイント」と「具体的なセキュリティ予算取りの流れ」を解説します。 「少ない」「増えない」日本企業のセキュリティ予算 2020年4月の緊急事態宣言から急速に進んだテレワーク導入、2021年に入ってから顕著になった日系企業の海外拠点を狙うランサムウェア被害の頻発など、セキュリティ脅
次のページ
このページを最初にブックマークしてみませんか?
『情報セキュリティのNRIセキュア』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く