【利用シーン別】情報セキュリティのリスクと対策
先日、自営業で店舗を持っている友人から「店舗の業務用Wifi回線をお客様に開放して問題ないか」「セキュリティソフトは必要か」と質問されました。その場では教科書的な答えを返しましたが、そもそも生活や仕事でコンピューター(PCやスマホなど)を使う場合、利用するシーンごとに漠然とリスクがあると知りつつ、それがどのようなものか、どう対策すればいいのか、学んでいない方が多いのではないでしょうか。
そこで、利用シーン別に情報セキュリティ的なリスクと対策がまとまった書籍やWebサイトがないか探しましたが、よさそうなものは見つかりませんでした。唯一、総務省の「国民のためのサイバーセキュリティサイト」が目的に合ってましたが、ちょっとわかりにくい…
そこで、総務省のサイトを参考にしつつ、整理してみようと思います。
最も基本的な情報セキュリティ
総務省のサイトでは『サイバーセキュリティ初心者のための三原則』として、
- 原則1 ソフトウェアの更新
- 原則2 IDとパスワードの適切な管理
- 原則3 ウイルス対策ソフト(ウイルス対策サービス)の導入
が紹介されています。ここでは、さらに『バックアップ』を加えておきます。
原則1:ソフトウェアの更新(最新化)
すべてのソフトウェアには、脆弱性と呼ばれる問題(弱点)が発見される可能性があります。脆弱性が放置されると、悪意のあるハッカーやウイルスがその弱点を突いて侵入し、個人情報の盗難やウイルス感染、不正アクセスなどのリスクが高まります。また、脆弱性が悪用されると、システムが破壊されたり、データが改ざんされたりする恐れもあります。
ソフトウェアの更新(最新化)を行うことで、ソフトウェアの既知の脆弱性を修正し、パフォーマンスを向上する修正が適用されます。定期的にソフトウェアやアプリケーションの更新を確認し、新しいバージョンがリリースされた際には速やかなアップデートがおすすめです。自動アップデート設定を使うと、手間を省くことができます。
なお、ソフトウェアの最新化の方法はソフトウェアごとに違うので、調べてみてください。
原則2:IDとパスワードの適切な管理
IDやパスワードによる認証は、建物の鍵に相当する重要なものです。IDやパスワードを他人に知られると、Webサービスに不正ログインされ、”なりすまし”や情報の不正取得に悪用されます。パスワードは、『他人に推測されにくく』、『ソフトウェアやサービスごとに違うものを作成すべき』とされています。とはいえ、めんどくさい…
そこで、パスワードマネージャーをおすすめします。パスワードマネージャーは、さまざまなアカウントのパスワードを一元管理できるツールで、1PasswordやLastPassなどがあります。パスワードマネージャーを利用することで多くのパスワードを安全に管理でき、自動的にログイン情報を入力してくれるため、手間も省けます。
さらに、利用するサービスやソフトウェアに二要素認証があれば積極的に使います。二要素認証は、パスワード以外に別の認証手段(例えば、スマートフォンに送られる認証コードや指紋認証)を設定することで、セキュリティをより強化する方法です。不正アクセス者がパスワードを知っていたとしても、二要素認証が設定されていれば、ログインが難しくなります。特にネットバンキングなど、セキュリティが重要なサービスやアプリケーションでは利用が必須です。
原則3:セキュリティソフトの導入
総務省のサイトは『ウイルス対策ソフト』ですが、あえて『セキュリティソフト』としました。市販されているウイルス対策ソフトの多くはには、ウイルス以外の様々な脅威にも対応する機能が含まれることが一般的だからです。
セキュリティソフトは、コンピューターやスマートフォンのセキュリティを維持するために設計されたソフトウェアです。市販のセキュリティソフトには、ウイルスやマルウェアの検出・駆除、ファイアウォール、スパムフィルター、広告ブロッカーなどの機能が含まれています。
なお、セキュリティソフトは以下の理由から不要論もありますが、個人的には保険的な意図で導入をすすめます。
- OSやブラウザのセキュリティ機能向上
- セキュリティソフトの信頼性が疑問(役に立ってないのでは?という意見があります)
- パフォーマンスへの影響(PCが重くなることを嫌う人もいます)
また、セキュリティソフトはあくまで保険と考え、ソフトウェアの更新やパスワード管理、バックアップなどの基本的な対策がより重要です。
バックアップ
総務省のサイトにはありませんが、バックアップも重要なので加えておきます。
定期的なバックアップは、データの喪失や不正アクセスによるデータ改ざんなどのリスクから自分を守るために重要です。バックアップは、外付けハードディスクやUSBメモリを使うことが主流でしたが、現在ではクラウドサービスを利用するのが簡単でおすすめです。例えば、Googleドライブ、Dropbox、Microsoft OneDriveなどが、よく利用されます。
バックアップの頻度は、データの重要度や変更頻度に応じて調整します。重要なデータや頻繁に更新されるデータは、週に1回程度のバックアップが望ましいです。一方で、あまり変更されないデータは、月に1回程度でも十分です。
一般的な利用シーン別のリスクと対策
Webサイト閲覧
Webサイト閲覧中に悪意のある広告やリンクをクリックすることで、ウイルスに感染したり、フィッシング詐欺に遭遇したりする可能性があります。まずは、信頼性のあるサイトのみに利用を限定します。また、セキュリティソフトで悪意のある広告やリンクをブロックできます。
メール使用
スパムメールやフィッシング詐欺のメールが送られてくることがあり、添付ファイルやリンクを開くことでウイルス感染や個人情報の漏洩が起こり得ます。 送信者のアドレスやメールの内容をよく確認し、怪しいメールは開かないようにします。また、メールソフトに搭載されているスパムフィルター機能を利用して、迷惑メールを自動的に分類します。
SNS利用
SNSでのプライバシー漏洩や、偽アカウントからのフィッシング詐欺、悪意のあるリンクが共有されることがあります。 プライバシー設定を適切に設定し、個人情報の公開範囲を限定します。また、友人やフォロワーからの怪しいリンクはクリックしないように注意します。
ダウンロード&インストール
信頼性の低いサイトからのソフトウェアやアプリのダウンロードにより、ウイルス感染や個人情報の漏洩が発生する可能性があります。 ソフトウェアやアプリは、公式サイトや信頼性のあるストアに限定します。また、セキュリティソフトを利用してダウンロード前にファイルをスキャンすることも効果的です。
オンラインショッピング
不正なオンラインショップでの買い物により、クレジットカード情報の漏洩や詐欺被害に遭遇するリスクがあります。オンラインショッピングを行う際は、信頼性のあるショップを選び、URLやサイトのセキュリティ証明書を確認します。Amazonや楽天市場などの大手サイトは管理が徹底しているので、問題が起きることはまれだと思います。
Wi-Fi接続
公共のWi-Fiネットワークを利用すると、ハッカーによる中間者攻撃や、個人情報の傍受が発生する可能性があります。 公共のWi-Fiを利用する際は、個人情報を入力するようなサイトやアプリの利用を避けます。また、VPNを利用して通信を暗号化して安全にインターネットを利用することができます。逆に自宅や職場のWi-Fiは、強固なパスワードを設定して不正アクセスを防ぎます。
まとめ
インターネットの利用にはリスクがあることを認識し、まずは以下3つ+1の基本的な対策を確実に行うことが重要です。
- ソフトウェアの更新
- IDとパスワードの適切な管理
- ウイルス対策ソフト(ウイルス対策サービス)の導入
- バックアップ
リスクがあるから使わないのではなく、情報セキュリティに関して学びつつ、少しずつ利用範囲を広げるのが賢い使い方だと思います。