情報セキュリティは大企業だけ、重要な情報を取り扱う事業者だけと思い込んでいませんか?
全くそんなことはありません。小さな企業であっても、個人であっても情報セキュリティを意識することが非常に重要です。
今回は、個人レベルで実施できる情報セキュリティ対策をお伝えしていきますが、その前に、いろいろな脅威はあるが、その「攻撃の糸口」は似通っている上、長年あまり変わりません。
下表がその内容になります。攻撃の糸口に対する対策が個人では比較的少なく、大企業では対策すべきシステムや機器、関わる部署や人が多くなるという違いがあります。しかし、考え方は全く同じであり、対策をどこまで対策するかということになります。
| 攻撃の糸口 | 基本的対策 | 対策の目的 |
|---|---|---|
| ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
| パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
| 誘導(罠にはめる) | 脅威・手口を知る | 手口から重要視するべき対策を理解する。 |
では、個人で実施できる最低限の対策を見ていきましょう!
ソフトウェアの更新(Windows Updateを含む)
対策の1つ目は、使用しているOSやソフトウェアのバージョンを常に最新になるようにしましょうということです。これは、基本的対策の1つ目の「ソフトウェアの更新」に該当します。
Windowsであれば、まずはサポート期限内(2024年現在はWindows10以降がサポート対象です。)のバージョンを使用することは最低限ですし、定期的にWindows Updateを実施しましょう。MACOSの場合も古いバージョンではサポート対象外となりますので、同様に確認しましょう。
OSのほかにも使用しているソフトウェア、例えば使用しているブラウザ(Google ChromeやMicrosoftEdgeなど)、メーラー(outlookやThunderbirdなど)、オフィス製品(WordやExcelなど)、その他使用しているソフトウェアなどについても定期的に新しいバージョンが出ていないかを確認しましょう。特にインターネットに接続して利用するソフトウェアについては定期的な確認が必須です。
多要素認証とパスワード管理
この対策は、基本的対策の3つ目の「パスワードの管理・認証の強化」と4つ目の「設定不備」に該当します。
インターネット上にはいろいろなサービスがありますが、そのすべてにおいてパスワードの管理は必要です。ここでいう管理とは、パスワードはできるだけ予測できない文字列にすることと、各サービスで同じパスワードを使用しないことです。なぜかと言えば、パスワードは漏れる前提で考える必要があるということです。年に数回は個人情報が漏えいしたというニュースが出ます。個人情報に平文のパスワードは含まれていないかもしれませんが、含まれているかもしれません。情報セキュリティを考えるとき、常に危険側に考えて対策を考える必要があります。同じパスワードを使い回していた場合、パスワードが万が一漏れた場合には、そのIDとパスワードで他のサービスに認証を試されてしまうでしょう。
また、多要素認証も重要な対策の一つです。メールで認証コードが送られてくるサービスがあると思いますが、その仕組みのことを多要素認証と言います。厳密には多要素認証とは、知識情報、所持情報、生体情報のうち、2つ以上を組み合わせて利用者を認証する仕組みの事です。それぞれの情報は下記になります。
- 知識情報:IDとパスワード、秘密の質問など
- 所持情報:スマートフォン、ハードウェアトークンなど
- 生体情報:指紋、顔認証など
これにより、例えば知識情報と所持情報の二要素認証を設定しておけば、IDとパスワードが突破されたとしても、スマートフォンを所持していないと攻撃者はログインができないわけです。また、自分のスマートフォンに認証コードが届くことから、誰かが自分のIDとパスワードを試行したことが分かります。
多要素認証は、都度のログインは手間となりますが、これは設定できるサービスでは設定することを強く推奨します。
多要素認証が設定ができるサービスではしっかりと設定しましょう。
メールにおける注意(添付ファイル、URLリンク)
この対策は、基本的対策の5つ目の「誘導(罠にはめる)」に該当します。
多くのウイルス感染はファイルやWEBサイトから感染します。特にE-メールに添付されたファイルや本文に記載されたURLなどからの感染が多いです。
メールは差出人を簡単になりすますことができますので、パッと見ただけでは正しいメールか見分けが難しくなってきています。自分に関係のないメールやウイルスを含むメールを受信しなくすることは難しいです。そういったメールが届く前提で、気を付けるしかありません。そのメールがなぜ自分に届いたのか。自分に関係のないメールであれば開かずに削除してしまいましょう。大切なメールを削除してしまうのではないかと心配する声も聞こえてきますが、大丈夫です。本当に大切なメールは再度届きます。
金融機関や大手ECサイトになりすましたメールが多くなってきているようです。内容的に重要なことが書かれているメールが届いた場合には、メール内のURLをクリックするのではなく、その金融機関や大手ECサイトをgoogleなどで検索して確認しましょう。メールに書いて個別にお知らせするような重要なことは必ずその企業のわかりやすい場所(トップページかもしくはログインした後のマイページ)に掲載されているはずです。もし、掲載されていなければそのメールは悪意のある危険性が高いです。
メールの添付ファイルやURLをクリックする前に、以下を確認しましょう。
- 差出人のメールアドレスが変わっていないか(@以降が変わったドメインになっていないか)
- メール本文の日本語が不自然でないか
- 差出人の公式HPを検索サイトから確認
- メール本文に記載されたURL(ドメインを確認、短縮URLは要注意)
- メールに添付されたファイル
最近では、メールではなくLINEなどSNSによる情報連絡も多くなってきましたが、ビジネスの世界ではまだまだメールが主流です。メールはその仕組み上、攻撃者が攻撃しやすいツールです。そのため、受信者側でとても気を付ける必要があります。
このメールは大丈夫かというメールがありましたら、ご連絡してください。
データのバックアップ
この対策は、基本的対策のいずれにも当てはまりません(あえて言うと2つ目の「ウイルス感染」と5つ目の「誘導(罠にはめる)」に該当します。)が、データの消失に備えて日ごろからバックアップを取得しておくことが重要です。
さまざまな攻撃にによる脅威によって、金銭的な費用が発生することはありますが、所詮はお金で何とでもなります。しかし、情報(大切な写真や動画、文書データなど)が無くなった場合は、復旧が出来なくなります。いくらお金をかけても戻すことができないことになりかねません。そうならないためにも、万が一のことを考えて大切なデータは定期的にバックアップするようにしておきましょう。
ここで注意ですが、バックアップをUSBメモリやUSBハードディスクに取得される方も多いと思います。バックアップに使用したUSBメモリやUSBハードディスクはパソコンに接続しっぱなしにしないでください。ランサムウェアというパソコン内のデータを暗号化するマルウェアがありますが、接続しっぱなしの場合、そのバックアップデータまでもが暗号化されてしまう危険性があります。ですので、バックアップに使用するUSBメモリやUSBハードディスクは、パソコンに接続せずに別の場所で保管するようにしましょう。
近年では、クラウドストレージ(OneDriveやDropBOXなど)もありますので、そちらで保管されたほうが火災や地震などによる消失も防ぐことができますので、お勧めです。
情報を守るという意識
この対策は、基本的対策の2つ目「ウイルス感染」と5つ目の「誘導(罠にはめる)」に該当します。
実は情報セキュリティの対策については、この意識が一番重要だと思っています。
情報セキュリティ事故の件数は外部からの犯行よりも内部の犯行のほうが間違いなく多いです。事故として件数にしていないか気が付いていないだけだと思っています。(ただし、一つ一つの影響度は外部からの犯行のほうが大きいです。)
つまりは、仕組みやルールをどれだけ整えても、それをないがしろにする人間の意識があるとセキュリティの担保はできません。
人間はミスをする生き物です。ミスをする前提で対策を考える必要があります。その一つがウイルス対策ソフトの活用です。最近のパソコンではある程度の防御システムがあらかじめ備わっています。メールにおける注意点でも述べた通り、添付ファイルをうっかり開いた。URLをうっかりクリックした。など万が一危険な状態になったときにチェックしてくれるソフトウェアがウイルス対策ソフトになります。
また、外出先ではパソコンの覗き見に気を付けることや、フリーWiFiに接続しないことなどちょっとした意識によって防げることも多いです。
まとめ
情報セキュリティにおいてできる対策は、技術的対策、物理的対策、人的対策に分けられます。
技術的対策や物理的対策は、一般的に企業における対策となり、ある程度の費用も掛かりますが、人的対策は意識だけで大きな対策となります。
個人でできる情報セキュリティは本内容で取り上げたように、ほとんどが人的対策で意識すればできることばかりです。パソコンやスマホには情報が入っている。それを盗みにくる攻撃者がいるということ、その脅威を常に意識し、迷ったら危険側に倒して、その対策を考えていきましょう。
一時の過ちが、大きな失墜につながります。
