知っておくべきセキュリティ対策

世界各国ですでに多数の組織が被害に遭っている「ビジネスメール詐欺」、昨年末には国内で高額な被害事例が報道されるなど、日本国内でもその認知が広がりつつあります。また、「ランサムウェアビジネス」や「ネット恐喝」も衰えるどころかその手法はますます巧妙になってきています。 PCを使う人のほとんどがネットに接続しているでしょう。担当者がいる企業のネットワークと違い、家庭での使用の場合、強い不安を感じているユーザーも多いようです。そこで、知っておくべき最低限のセキュリティ対策について解説。

PCのセキュリティに「絶対安全」はありませんが、「だいたいこれくらいでいいだろう」というレベルは存在します。以前、テレビ番組で警察関係の方が「空き巣に入られないために大事なのは“両隣よりも厳しい防犯対策”」と言っていました。

両隣よりも相対的に厳しい対策を取ることで、自分の家を狙われにくくできます。両隣には申し訳ないのですが。

PCのセキュリティも同じで、「平均よりもちょっと厳しい」というのが設定のポイントです。幸か不幸か、「平均」は毎年向上していくため、セキュリティ設定も定期的に見直す必要があります。

ソフトウェアの定期的なバージョンアップが必要

セキュリティで重要になるのは「ソフトウェアのアップデート」です。多くのソフトウェアベンダーは、インターネットを通して、継続的に修正プログラムを公開しており、Windowsの場合は「Windows Update」を使って配布されています。

先に書いた通り、周りの様々な状況の変化に対応するため、ソフトウェアは日々更新されています。最新のソフトウェアにアップデートしておくことで、新たな脅威にも対応していくことが大切です。 

 Windows Defender

現在、ウイルスに代表される多くのマルウェア(悪意を持ったソフトウェア)が出回っています。マルウェアを完全に防止することは困難ですが、アンチウイルスソフトを使うことで、ほとんどのマルウェアを排除できます。

アンチウイルスソフトは、ファイルのダウンロードや保存を監視し、不正なプログラムの侵入を防ぎます。

また、最近のアンチウイルスソフトは、どの製品も実用上十分な検出率を持っています。ただ、ウイルス情報の更新頻度や、フィッシング(詐欺)の検出率などは差があるようです。

今後2020年1月14日にWindows 7、2020年10月13日にはOffice 2010の延長サポートが終了いたします。セキュリティ更新プログラム提供の終了を意味するためOSの脆弱性が発見されても修正が加えられることがなく非常にリスクが高い状態となります。最新OSへの早めの乗換えがおすすめです。ファイルのダウンロードや保存を監視して不正なプログラムの侵入を防ぐファイルダウンロードや保存を監視して不正なプログラムの侵入を防ぐ

意外に優秀なのがWindows標準の「Windows Defender」です。現在のWindows 10搭載のものでは、一般的なウイルス対策機能をはじめ、現在では、マイクロソフトが日々世界から収集・蓄積した最新の脅威情報をクラウドで迅速に反映する機能を備えているため、検知率の面でもサードパーティ製のアンチウイルス製品と遜色のないものとなっています。システムトラブルが非常に少ないという利点もあります。

Windows Defenderはシステムトラブルが非常に少ないWindows Defenderはシステムトラブルが非常に少ない

認証の種類

ここでは、広く使われている以下の方法について紹介

・パスワード
・PIN
・二段階認証/多要素認証

パスワード

パスワードは多くのWebサイトが採用しています。PCにログオンするときも、ほとんどの人がパスワードを使っているでしょう。認証にパスワード使う場合の注意は以下の通りです。

①自分だけが知っていて、他人に推測されない
パスワードは個人を特定する重要な情報なので、人に教えてはいけません。容易に推測されるような単語は不適切です。

②桁数を増やす
極端な例として、パスワードの桁数が1文字で、英数字のみの場合を考えましょう。一般には6文字から8文字が最低長ですが、安全に利用するには15文字以上の長さが必要という意見もあります。

③使い回しをしない
サービスごとに異なるパスワードを利用すべきです。インターネットで提供されるサービスには、運用管理体制がしっかりしていないところもあります。パスワードが流出した場合、芋づる式に他のサービスにも侵入されてしまいます。

④複数の人で共有しない
2人が知っている情報はどんなに気をつけても漏えいのリスクがついて回ります。やむを得ず複数の人で同じパスワードを使う場合は定期的に変更し、漏えいに備えるべきです。

⑤有効期限の設定は不要か
パスワードに有効期限を設定し、定期的に変更することがあります。セキュリティの専門家の中には、「自分だけが使うユーザーアカウントの場合はパスワードに有効期限を設定する必要はない」人もいます。確かに高いセキュリティ対策が施された信頼できる組織が運営しているサービスでのみ使用し、他で使用していないパスワードの場合は、頻繁に変更する必要性は低いかもしれません。ただし、パスワードの流出が起きた場合は、すぐに変更してください。

実際に、アメリカの政府機関、米国立標準技術研究所(NIST)も、こうした考えのもとガイドラインを2017年に変更し、現在では総務省もこれまでの方針を覆し「定期的な変更は不要」を推奨しています。

パスワードの使い回しはリスクが大きいパスワードの使い回しはリスクが大きい

お勧めのパスワード管理手法

パスワードを安全に利用するのは難しいものです。簡単すぎるパスワードはすぐばれますし、複雑すぎると覚えられません。調査によると、日本でも米国でもヘルプデスクの問い合わせのトップは「パスワードが分からなくなった」だそうです。お勧めは、パスワードを紙に書いて安全なところに保存することです。もちろん、メモを目立つところに置いてはいけません。

PC上にファイルとして保存する方法もあります。この場合、パスワードそのものではなく、パスワードのヒントを書くようにします。これは、何らかのウイルスによってPC内のファイルが流出する可能性があるからです。

「パスワード管理ツール」を使うのもよい方法です。一部のアンチウイルスソフトはパスワード管理機能を持っており、指定したWebサイトにアクセスするとあらかじめ保存してあるユーザー名とパスワードが自動的に入力されます。Webブラウザにも簡単なパスワード管理機能があります。これも積極的に使って構いません。

Webブラウザにも簡単なパスワード管理機能があるWebブラウザにも簡単なパスワード管理機能がある

 

PIN(Personal Identification Number)

Windows PCではマイクロソフトアカウントとしてそのパスワードを使ってログインしている方も多いと思います。しかしこのほかにも、パスワードとよく似た仕組みの「PIN(Personal Identification Number)」を使用することができます。多くの方はスマートフォンでおなじみかと思いますが、多くの場合、4桁から8桁の数字でパスワードのように使います。

この認証方式では、桁数が少ないと総当たりで突破されてしまう可能性がありますし、そもそも数字だけなので、パスワードよりも安全性が低いと思う人もいるようですが、必ずしもそうではありません。

一般的なパスワードがネットワーク上に流れるのに対して、PINはその端末だけで処理されます。この点がセキュリティの強度を高めています。

例えば、あるWebサービスを利用していて、アカウントIDとパスワードを持っていたとしましょう。もしそのパスワードが誰かに知れ渡ってしまえば、第三者が自身の端末を用いてログインし簡単にアカウントを乗っ取ることができてしまいますが、一方で、端末に紐付いているPINの場合、それが流出しても第三者の端末で使用しても意味がないからです。そのためマイクロソフトもWindowsのログインにはパスワードでなくPINの使用を推奨しています。ネットワークの盗聴や、サーバへの侵入があっても盗まれる可能性が極めて少ないのが、PINの特徴の1つでしょう。


二段階認証/多要素認証

通常のパスワード以外に、ショートメッセージなどによる追加認証を行う「二段階認証」と呼ばれる仕組みが増えています。これは、例えば以下のように使います。

①パスワードを使ってログオン
②サーバは、以下の方法で認証キーを送信する
・携帯電話回線を使ったショートメッセージ
・スマートフォン専用アプリ
・電子メール
③受信した認証キー入力

 

通常のパスワード以外にスマートフォンのアプリなどで追加認証を行う通常のパスワード以外にスマートフォンのアプリなどで追加認証を行う

 

詐欺メールを「発見」する基本手順

迷惑メールの一種に、正しいメールを装った「詐欺」があります。例えば「あなたのアカウントは不正アクセスがあったので、ここをクリックして、すぐにパスワードを変更してください」といった文面の偽メールです。

この種の詐欺メールは以前から存在しますが、最近は画像や文面を本物から完全にコピーするなど巧妙になり、なかなか見破ることができません。詐欺メールを間違いなく見破るのは難しいですが、ある程度推測することは可能です。ここでは、詐欺メール発見の基本的な手順を紹介します。

リセットを求めてくるメールは詐欺の可能性があると疑う
何かと理由を付けて対応を急かせるのは、正常な判断を行わせないための典型的な詐欺テクニックです。

送信元を確認する
送信元の氏名だけではなく、メールアドレスを確認しましょう。楽天からのお知らせなのに、送信元のメールアドレスがgmail.comドメインというのは明らかに変です。

リンクをいきなりクリックしない
リンク先として画面に表示されているドメインが、クリックして接続されるドメインと同じとは限りません。リンク先文字列をいったんコピーしてメモ帳などに貼り付け、想定されるドメインかどうかを確認しましょう。アップルからのお知らせなのに、リンク先がappleではなくapp1e(“エル”ではなく数字の“1”)になっていたら、そこにアクセスすべきではありません。アンチウイルスソフトには、メジャーな詐欺サイトを自動的にブロックする機能を持っているものもありますが、詐欺サイトは毎日新しいものができているため、油断はできません。

やること

まとめとして、「そもそも何をすればよいのか」を列挙しておきます。

①セキュリティ更新は最新のものを適用する
②アンチウイルスソフトを使う
③パスワードは人に教えない
④パスワードを使い回さない
⑤暗記だけに頼るのではなく、適切なパスワード管理手法を使う