さて、今回は「小さな中小企業とNPO向け情報セキュリティハンドブック」の第1章「まずは情報セキュリティの基礎8項目を理解しよう」について、私がポイントと考える項目に絞ってお話しします。
まず、ハンドブックに記載された基礎8項目とは、以下の通りです。
- OSやソフトウェアは常に最新にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
- 常にバックアップを取ろう!
- 人間にもセキュリティホールがあることを知ろう!
- 困ったら各種相談窓口にすぐ相談しよう
OSやソフトウェアは常に最新に
ポイントはパソコンだけではなく、コンピュータ機器全般についてです。「コンピュータ機器全般」とは、具体的にはタブレット・スマホなどのモバイル端末はもちろん、ルータや無線アクセスポイントなどのネットワーク機器、ネットワーク対応プリンタなどです。
なぜOSやソフトウェアを最新にするかというと、OSやアプリでセキュリティ上の弱点が発見された場合に、メーカーは、セキュリティパッチと呼ばれる、弱点(これをセキュリティの世界では「脆弱性」「セキュリティホール」などと言います)を修正するプログラムを提供するからです。
ですから、基本的には(※1)、コンピュータ機器については、OSやアプリのプログラム更新が出た際には自動的に適用する「自動更新」設定にしておくことをお勧めします。
<※1 実は、修正プログラムにはバグ(不具合)を含む可能性があるため、自動更新とせず、その都度判断して適用するという方法もあります。しかし、そのためには判断する専門知識や検証環境等を必要とするため、中小・中堅企業様においては、現実的な運用とは言えません>
また、ネットワーク機器などは、忘れがちになるものです。しかしこれら機器こそ、インターネットをつなぐ入口/出口となっている部分ですから、サイバーセキュリティの観点では重要な機器です。実際、ルータを標的にしたサイバー攻撃は多いです。
自社で使用しているネットワーク機器のメーカー、型番などを確認し、ファームウェア(ネットワーク機器のOS)が最新の状態であるかを確認されることをお勧めします。
あと、モバイル端末について、Apple社のiPhone/iPadは、OSのアップデートも頻繁なのですが、AndroidOSについては、OSライセンス仕様上、メーカーによってアップデートはバラバラで、アップデート自体を行わないものもあります。
(だから、セキュリティに注目すれば、iPhone/iPadの方がメーカーサポートがしっかりしている分安心ですが、まあ、お高いですよね><) 。
とは言え、Androidを業務でお使いの場合には、せめてGooglePlayから通知があるアプリケーションのアップデートは「自動」に設定しておいてください。
特にスマホやタブレットのアプリはその傾向が顕著で、実際に「無料のアンチウイルスソフト」を語って、実は端末内の情報を盗み出すマルウェアであった、なんてことも過去にありました。
従って、まずは業務で使うパソコンやスマホ/タブレットでは、業務で使わないアプリを入れないようにすべきです。
もし、自社に(肩書はどうあれ)ITの管理者がいる場合には、パソコンに関しては、管理者以外は一般ユーザにして、管理者以外はパソコンに勝手にソフトを入れられない仕組みを最低限設定しましょう。
問題はスマホ/タブレットです。これらには管理者という概念がないため、利用者は好きなアプリを入れることができますから、とりあえずは、決められたアプリ以外はインストールしてはならない、というルールを作り、守らせましょう。
(それなりの仕組みを入れれば、勝手にユーザがアプリをインストールできない、などのセキュリティ制御が可能ですが、お金がかかります)
また、前にも申し上げましたが、便利だからと言って無償のLINEを、業務で使うのは避けるべきです。
過去の「アカウントの乗っ取り」や「なりすまし」によるセキュリティ事故などを考えると、プライベートのチャットツールと、仕事のチャットツールは、完全に分けて運用すべきです。
※私は、業務の生産性向上のための「コミュニケーション活性化」でも書いたように、仕事でもチャットツールを活用すべき、と言っていますが、プライベートとの併用は、お勧めしません。
あと・・・これはやや難しいかもしれませんが、androidにおいてはアプリの権限・iPhone/iPadにおいては「プライバシー」を確認しておいたほうがよいです。
これらは各アプリに対し、文字通りどこまでの権限を与えるか(必要としているか)の情報ですが、危険なアプリは、やたら、みなさまの連絡先や通話履歴、SMS機能など、アプリとして本来、必要のない機能を使う権限まで要求するのです。
たとえば、QRコード読み取りのアプリは、みなさまのスマホのカメラ機能を使う権限は必要としますが、連絡先にアクセスする権限の必要性は(一般的には)ないですよね。
そうした場合「変だな・・・」と思い、可能であればWeb等で調べてみる、などができれば、セキュリティに関するリテラシーも高まると思います。
パスワードだけに頼らない
ハンドブックでは「パスワードを強化する」ことの方法として
パスワードだけに頼らない
を申し上げたいと思います。具体的には、ハンドブックにも書いていますが、「パスワード+別の要素の組み合わせ」もしくは指紋認証のような生体認証と呼ばれる認証方式の採用です。
そもそも、パスワードとは何のために使うのでしょうか?それは
自分が自分であり、他人では決してないことを証明するため
要は、なりすましでないことを証明するためです。
これをITでは「認証」と言いますが、その認証の種類には、大きく以下の3つがあります。
2は免許証やパスポート、近年ではマイナンバーカードに相当します。ITではICカードやIDカードなどです。
3は自分の指紋や顔自体です。ITでは、指紋認証や顔認証です。
近年まではずっとITのログイン(Webサイトへのログイン含む)では、パスワードが使われていました。で、これまで数多くの情報漏洩があり、そこでパスワードも多く盗まれてきました。
ですので、悪い奴らは、大量のIDとパスワードの組み合わせリストを持っているのです。
そこには、もしかすると、みなさまのID/パスワードがあるかもしれません。
そうなると、もはや「自分しか知らないこと」ではないですよね。で、それを使いまわしていたとすると・・・
だからハンドブックは上に書いたようなことを言うのですが・・・私などは仕事やプライベート含め、100くらいのシステム(Webサイトなども含む)にログインする必要があるのですが、ハンドブックでいう「パスワードの使いまわしはしない」に忠実に従えば、100ものパスワード(とIDの組み合わせ)を、すべて覚えておかなければなりません。
私の脳では絶対、無理です。また、ハンドブックが言う「適切な保管のためにノートに書いておく」のも大変です。
だから、私はパスワード管理ソフト(これもハンドブックでは推奨している)というものを使っている訳なのですが、そもそも、認証でパスワードだけに頼ることが、限界があるのです。
先に挙げた3つの認証方式の中で、どれが自分を証しするための確実な方法かと言えば、3>2>1 ですよね(>は不等号記号)。
ですので、認証には極力3を使うべきです。スマホなどは既に指紋認証や顔認証が搭載されたものが普及しています。パソコンでもそうです。従って、3が使える時には、極力3を使うべきです。
あとは、1,2,3の認証方式の組み合わせです(これをITでは「多要素認証」といいます)。
たとえば、私はamazonを使っていますが、そこではIDとパスワードに加え、私のスマホに搭載しているワンタイムパスワードというものを入力して、それらが正しかった時に、初めてログインが認められます。
ワンタイムパスワード自体は、一時的な使い切り方式のパスワードですが、ポイントは、そのワンタイムパスワード表示アプリは「私しか持っていないスマホ」にあるということです。
従って、1(ログイン時に入力するパスワード)+2(私しか持っていないスマホ)の組み合わせで、私自身であることを証しする、ということです。
<この辺は、経理業務でインターネットバンキング等をお使いの方なら、ご理解いただけるかと思います>
また、どこかのサイトにログインしたら「確認のため、あなたの携帯にSMSで番号を送りますので、それを入力してください」などというのがありますが、これも、パスワード+あなたのスマホ(携帯)という、1+2の多要素認証です。
従って、システムのログインにおいても、多要素認証を導入しているシステムであれば、その機能を使うことを強く、お勧めします。
前提は、「余計なアプリや、正規でないルートのアプリは入れない。および、業務使用だから、怪しいサイトには行かない」です。
まず、パソコンについて。
Windows10であれば、Windowsに標準搭載されたWindows Defenderでよいと考えます。理由は、マルウェア含むウイルスの検知が市販のウイルス対策ソフトとそん色ないからです。逆にWin10以外であれば、有料の大手のウイルス対策ソフトを導入すべきです。
また、Macであれば私は不要と考えますが、心配であればこれも有料の大手のウイルス対策ソフトを導入すればよいか、と。
次に、スマホ/タブレットです。
iPhone/iPadは不要と考えます。理由は、やや小難しくなりますが、構造上、基本ソフトであるOSとは隔離された領域でアプリが稼働する仕組みになっているため、OS等がマルウェアに害されるリスクが低いこと、および、アプリ自体も【余計なことをしなければ】App Storeというアップル社が厳重な審査や管理を行っているストアからしかインストールできないため、マルウェア感染のリスクが低いと考えるからです。
さて、Androidについてです。
Androidも、iPhone/iPad同様の考え方で作られているのですが、iPhone/iPadほど、管理は厳正ではありません。実際、いろんなバージョンのAndroidが巷に溢れていますし、Androidを狙ったマルウェアはかなり種類が多いので。
私の結論は「ちゃんと前提を守るなら、アンチウイルスは不要、でも、私的利用も兼ねていろんなアプリを入れて、かつ、いろんなサイトにアクセスするなら、有料で大手のウイルス対策ソフトを入れなさい」です。
Androidの無料ウイルス対策ソフトは、先にも書いたように信用なりません。
また、これは本当に個人的見解ですが、大手であっても無料のものは、よく分からない通信をしていることも多く、結構バッテリーを消耗したりもするので、イマイチ、信用がおけないのです。
いずれにせよ、ここで述べたウイルス対策ソフトに対する見解の前提は、改めて申し上げますが
「余計なアプリや、正規でないルートのアプリは入れない。および、業務使用だから、怪しいサイトには行かない」
です。
ということで、次回はハンドブックの第2章「パソコン・スマホ・IoT機器のより進んだ使い方やトラブルの対処の仕方を知ろう」について、ご説明いたします。
では、次回もよろしくお願い申し上げます。
なぜOSやソフトウェアを最新にするかというと、OSやアプリでセキュリティ上の弱点が発見された場合に、メーカーは、セキュリティパッチと呼ばれる、弱点(これをセキュリティの世界では「脆弱性」「セキュリティホール」などと言います)を修正するプログラムを提供するからです。
ですから、基本的には(※1)、コンピュータ機器については、OSやアプリのプログラム更新が出た際には自動的に適用する「自動更新」設定にしておくことをお勧めします。
<※1 実は、修正プログラムにはバグ(不具合)を含む可能性があるため、自動更新とせず、その都度判断して適用するという方法もあります。しかし、そのためには判断する専門知識や検証環境等を必要とするため、中小・中堅企業様においては、現実的な運用とは言えません>
また、ネットワーク機器などは、忘れがちになるものです。しかしこれら機器こそ、インターネットをつなぐ入口/出口となっている部分ですから、サイバーセキュリティの観点では重要な機器です。実際、ルータを標的にしたサイバー攻撃は多いです。
自社で使用しているネットワーク機器のメーカー、型番などを確認し、ファームウェア(ネットワーク機器のOS)が最新の状態であるかを確認されることをお勧めします。
あと、モバイル端末について、Apple社のiPhone/iPadは、OSのアップデートも頻繁なのですが、AndroidOSについては、OSライセンス仕様上、メーカーによってアップデートはバラバラで、アップデート自体を行わないものもあります。
(だから、セキュリティに注目すれば、iPhone/iPadの方がメーカーサポートがしっかりしている分安心ですが、まあ、お高いですよね><) 。
とは言え、Androidを業務でお使いの場合には、せめてGooglePlayから通知があるアプリケーションのアップデートは「自動」に設定しておいてください。
パソコンやスマホ/タブレットに不要なアプリ、怪しそうなアプリは入れない
アプリの中には、一見、問題なさそうに見えて、実は悪意を持ったマルウェアである、というものがあります。特にスマホやタブレットのアプリはその傾向が顕著で、実際に「無料のアンチウイルスソフト」を語って、実は端末内の情報を盗み出すマルウェアであった、なんてことも過去にありました。
従って、まずは業務で使うパソコンやスマホ/タブレットでは、業務で使わないアプリを入れないようにすべきです。
もし、自社に(肩書はどうあれ)ITの管理者がいる場合には、パソコンに関しては、管理者以外は一般ユーザにして、管理者以外はパソコンに勝手にソフトを入れられない仕組みを最低限設定しましょう。
問題はスマホ/タブレットです。これらには管理者という概念がないため、利用者は好きなアプリを入れることができますから、とりあえずは、決められたアプリ以外はインストールしてはならない、というルールを作り、守らせましょう。
(それなりの仕組みを入れれば、勝手にユーザがアプリをインストールできない、などのセキュリティ制御が可能ですが、お金がかかります)
また、前にも申し上げましたが、便利だからと言って無償のLINEを、業務で使うのは避けるべきです。
過去の「アカウントの乗っ取り」や「なりすまし」によるセキュリティ事故などを考えると、プライベートのチャットツールと、仕事のチャットツールは、完全に分けて運用すべきです。
※私は、業務の生産性向上のための「コミュニケーション活性化」でも書いたように、仕事でもチャットツールを活用すべき、と言っていますが、プライベートとの併用は、お勧めしません。
あと・・・これはやや難しいかもしれませんが、androidにおいてはアプリの権限・iPhone/iPadにおいては「プライバシー」を確認しておいたほうがよいです。
これらは各アプリに対し、文字通りどこまでの権限を与えるか(必要としているか)の情報ですが、危険なアプリは、やたら、みなさまの連絡先や通話履歴、SMS機能など、アプリとして本来、必要のない機能を使う権限まで要求するのです。
たとえば、QRコード読み取りのアプリは、みなさまのスマホのカメラ機能を使う権限は必要としますが、連絡先にアクセスする権限の必要性は(一般的には)ないですよね。
そうした場合「変だな・・・」と思い、可能であればWeb等で調べてみる、などができれば、セキュリティに関するリテラシーも高まると思います。
パスワードだけに頼らない
ハンドブックでは「パスワードを強化する」ことの方法として
- パスワードの文字数を増やし、かつ、英数字+記号を使い複雑にする
- パスワードの使いまわしはしない
- パスワードの適切な保管
パスワードだけに頼らない
を申し上げたいと思います。具体的には、ハンドブックにも書いていますが、「パスワード+別の要素の組み合わせ」もしくは指紋認証のような生体認証と呼ばれる認証方式の採用です。
そもそも、パスワードとは何のために使うのでしょうか?それは
自分が自分であり、他人では決してないことを証明するため
要は、なりすましでないことを証明するためです。
これをITでは「認証」と言いますが、その認証の種類には、大きく以下の3つがあります。
- 自分しか知らないことを伝えることによって認証する
- 自分しか持っていないものを見せることによって認証する
- 自分自身の(唯一の)特徴によって認証する
2は免許証やパスポート、近年ではマイナンバーカードに相当します。ITではICカードやIDカードなどです。
3は自分の指紋や顔自体です。ITでは、指紋認証や顔認証です。
近年まではずっとITのログイン(Webサイトへのログイン含む)では、パスワードが使われていました。で、これまで数多くの情報漏洩があり、そこでパスワードも多く盗まれてきました。
ですので、悪い奴らは、大量のIDとパスワードの組み合わせリストを持っているのです。
そこには、もしかすると、みなさまのID/パスワードがあるかもしれません。
そうなると、もはや「自分しか知らないこと」ではないですよね。で、それを使いまわしていたとすると・・・
だからハンドブックは上に書いたようなことを言うのですが・・・私などは仕事やプライベート含め、100くらいのシステム(Webサイトなども含む)にログインする必要があるのですが、ハンドブックでいう「パスワードの使いまわしはしない」に忠実に従えば、100ものパスワード(とIDの組み合わせ)を、すべて覚えておかなければなりません。
私の脳では絶対、無理です。また、ハンドブックが言う「適切な保管のためにノートに書いておく」のも大変です。
だから、私はパスワード管理ソフト(これもハンドブックでは推奨している)というものを使っている訳なのですが、そもそも、認証でパスワードだけに頼ることが、限界があるのです。
先に挙げた3つの認証方式の中で、どれが自分を証しするための確実な方法かと言えば、3>2>1 ですよね(>は不等号記号)。
ですので、認証には極力3を使うべきです。スマホなどは既に指紋認証や顔認証が搭載されたものが普及しています。パソコンでもそうです。従って、3が使える時には、極力3を使うべきです。
あとは、1,2,3の認証方式の組み合わせです(これをITでは「多要素認証」といいます)。
たとえば、私はamazonを使っていますが、そこではIDとパスワードに加え、私のスマホに搭載しているワンタイムパスワードというものを入力して、それらが正しかった時に、初めてログインが認められます。
ワンタイムパスワード自体は、一時的な使い切り方式のパスワードですが、ポイントは、そのワンタイムパスワード表示アプリは「私しか持っていないスマホ」にあるということです。
従って、1(ログイン時に入力するパスワード)+2(私しか持っていないスマホ)の組み合わせで、私自身であることを証しする、ということです。
<この辺は、経理業務でインターネットバンキング等をお使いの方なら、ご理解いただけるかと思います>
また、どこかのサイトにログインしたら「確認のため、あなたの携帯にSMSで番号を送りますので、それを入力してください」などというのがありますが、これも、パスワード+あなたのスマホ(携帯)という、1+2の多要素認証です。
従って、システムのログインにおいても、多要素認証を導入しているシステムであれば、その機能を使うことを強く、お勧めします。
ウイルス対策ソフトについて
※ここはいろんな考え方がありますが、敢えて独断も踏まえ、私の意見を書きます。前提は、「余計なアプリや、正規でないルートのアプリは入れない。および、業務使用だから、怪しいサイトには行かない」です。
まず、パソコンについて。
Windows10であれば、Windowsに標準搭載されたWindows Defenderでよいと考えます。理由は、マルウェア含むウイルスの検知が市販のウイルス対策ソフトとそん色ないからです。逆にWin10以外であれば、有料の大手のウイルス対策ソフトを導入すべきです。
また、Macであれば私は不要と考えますが、心配であればこれも有料の大手のウイルス対策ソフトを導入すればよいか、と。
次に、スマホ/タブレットです。
iPhone/iPadは不要と考えます。理由は、やや小難しくなりますが、構造上、基本ソフトであるOSとは隔離された領域でアプリが稼働する仕組みになっているため、OS等がマルウェアに害されるリスクが低いこと、および、アプリ自体も【余計なことをしなければ】App Storeというアップル社が厳重な審査や管理を行っているストアからしかインストールできないため、マルウェア感染のリスクが低いと考えるからです。
さて、Androidについてです。
Androidも、iPhone/iPad同様の考え方で作られているのですが、iPhone/iPadほど、管理は厳正ではありません。実際、いろんなバージョンのAndroidが巷に溢れていますし、Androidを狙ったマルウェアはかなり種類が多いので。
私の結論は「ちゃんと前提を守るなら、アンチウイルスは不要、でも、私的利用も兼ねていろんなアプリを入れて、かつ、いろんなサイトにアクセスするなら、有料で大手のウイルス対策ソフトを入れなさい」です。
Androidの無料ウイルス対策ソフトは、先にも書いたように信用なりません。
また、これは本当に個人的見解ですが、大手であっても無料のものは、よく分からない通信をしていることも多く、結構バッテリーを消耗したりもするので、イマイチ、信用がおけないのです。
いずれにせよ、ここで述べたウイルス対策ソフトに対する見解の前提は、改めて申し上げますが
「余計なアプリや、正規でないルートのアプリは入れない。および、業務使用だから、怪しいサイトには行かない」
です。
ということで、次回はハンドブックの第2章「パソコン・スマホ・IoT機器のより進んだ使い方やトラブルの対処の仕方を知ろう」について、ご説明いたします。
では、次回もよろしくお願い申し上げます。
