オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

新年度のお約束!「新社会人に送るセキュリティの心構え」って、既社会人も再確認する機会と思う

»

今日から4月ですね。新年度のお約束の1つ「新社会人」向けの話題って多いです。私はセキュリティ部分の注意点をまとめてみますが、新社会人だけでなく、既に社会人の方々も確認するべし!と強く思うのです。セキュリティでも基本部分を日常業務の中で忘れていたり、意識せずに省略していたり。。。新社会人よりもマズイだろう・・・と思う場面に遭遇する機会が多くあります。

自分のデバイスを管理する

 私たちは、外出する際に財布が安全な場所にあることを確認します。そしてこの意識は、PCやスマートフォン、タブレットなどのインターネット接続デバイスにも当てはまります。特にスマートフォンは、小型であるために、紛失や盗難に遭わないよう注意が必要です。サイバー犯罪者は、スマートフォンから、企業データや個人の連絡先、銀行口座、さらにはクレジットカード情報まで、簡単に入手します。社会人になると、会社用のデバイスも支給されると同時に、実際にデバイスを持ち歩く機会も増加します。紛失や盗難による情報漏えいに注意してください。

自分所有の端末ならば、結構大事に管理するものですが、会社支給のものだったりすると雑な扱いになっていたりします。太字にした部分が正にぴったりで、誰の所有物なのか?によって注意が変わっていたりします。

自分が管理しなければならない端末は、誰の所有かに関係なく、預かった以上、使う以上は、管理責任が自分にあることを再度確認しなければなりません。

財産と同じ、預け預かる、個人情報(個人情報編)

財布の例と同じく、もしもケータイが100万円の札束だったら・・・どう扱うでしょうか?

私だったら「持ち歩きたくない」です(笑)

パスワードを適切に運用する

 実生活でパスワードの重要性について認識していない人はいないでしょう。しかしインターネット上では、多くの人が非常に単純なパスワードを使用しています。しかも、同じパスワードを使い回しているため、パスワードが1つ判明すれば、複数のアカウントにアクセスできることになります。パスワードは、情報漏えい対策として最もセキュリティ度合が低い手法です。サイバー犯罪者は、簡単にパスワードをクラッキングしますし、パスワードを推測する自動化プログラムも多く販売されています。これらの犯罪から身を守るためには、パスワードの設定に十分に時間をかけることが必要です。重要なアカウントごとに、異なるパスワードを作成し、プライベート用とビジネス用とで使い分けて下さい。大文字と小文字、数字、記号を組み合わせた、少なくとも8文字以上のものにし、自分の名前や誕生日といった個人情報の使用は絶対に避けて下さい。

ここでも8文字以上で、個人情報を避けるようにと言われています。と言われても、いきなり英数記号で8文字以上のパスワードを作りなさい!となっても考えてしまいます。キーボードとにらめっこするか、パスワード作成ツールで作られた覚えられないような文字列を使うか?

パスワードの適切な運用は、パスワードの作り方を多数持っていることです。前回書いたパスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)を参考にして下さい。

作り方の法則さえマスターすれば、8文字以上のパスワードなんて超簡単に作ることができます。にらめっこしなくて大丈夫!

役に立たないのは、英数記号で8文字以上!としか言わないものです。本当に知りたいのは、作り方のヒントなのです。

毎日の、通勤ルートで、してること(パスワード編) 

例えば、通勤ルート上で見るものや、ルートそのもの、乗り換え駅、乗る時間・・・いくらでも組み合わせれば使えます。記号が必要ならば、¥マークをつけて電車代にしてもいいですし、定期代¥○○/3など、何ヶ月分なのかを入れてもいいですね。定期代とルートだけだと定期券を落としたらアウトなので、他のものを組み合わせれば最強です。

個人情報をできるだけ公開しない

 見ず知らずの人に、自分の個人情報を教える人はいないと思いますが、インターネット上でも同様です。新生活と同時にFacebookなどのソーシャルメディアを活用し始める人も多くなるため、サイバー犯罪者にとって、このようなWebサイトは情報の宝庫です。個人情報を盗み出す「Koobfaceワーム」や、メッセージをターゲットの友人やフォロワーに送信するソーシャルエンジニアリングの手法を悪用した犯罪は、数多く存在します。個人情報を守るためには、公開する個人情報をできるだけ最小限にすることです。何かを投稿したり公開したりすれば、誰かに見つけ出される可能性があることを認識しておく必要があるでしょう。

ソーシャルメディアは便利です。が、便利な裏側に危険が存在することも忘れてはなりません。個人情報を公開する!と書けば「おそらくほとんどの人はしない」と答えるでしょうが、そんなのが個人情報なの?と思うようなことが十分なネタやヒントに繋がっているケースが多くあります。

Facebookの書き込みから情報を入手しTwitterで相手の行動を読む「最近の泥棒」はハイテクだ!と実際に起きています。

物事には必ず「光と影」が存在することを覚えておけば、逆側の視点で考えるクセがつくようになります。これはリスクマネジメントの第一歩でもあります。自分の身を守るのは自分自身だからです。

SNSには、書かれているし、書いている(個人情報編)

安全なインターネット生活をスタートするために

 多くの人は、窃盗、自動車事故、暴行などの被害に遭わないために、自分の身を守るよう気をつけていることでしょう。しかし、インターネットに存在する多くの危険についても、同様に用心しているでしょうか。安全なインターネット生活を送るためには、実生活での振る舞いと同じように行動する必要があります。自分自身やデータを守りたければ、実生活で自分の身や貴重品を守るように行動しなければなりません。これらの原則に代表される行動パターンを熟知すれば、リスクや起こり得る多くの問題に遭遇する可能性を最小限に抑え、安全なインターネット生活をスタートすることができるでしょう。

インターネットの場合、パジャマ姿でもネット回線とPCさえあれば繋がることが出来ます。スマートフォンならば、そんなことすら意識しなくとも普通に繋がります。そもそも繋げるって感覚は、昔のダイアルアップ回線を使っていた人以外にはないと思います。

パンツ一枚でもネットを見ることが出来るのは言うまでもありませんが、接続先がインターネット空間と思ってはいても、意識はパンツ一枚と同じだったりします。海外に行った時、夜間にパンツ一枚で外を歩けるでしょうか?日本でもないと思いますが(爆)

格好の話をしているのではなく、意識の話をしているのです。危険だからと思えば「構えて行動」するでしょう。コンピュータウィルスの話をすれば、ワクチン接種の必要な地域へ渡航するのに必ず打ってから行きますよね。しかし、PCの場合ウィルス対策ソフトの更新もせずにインターネットに出ているのです。実際の渡航時は打ってなければ入国出来なかったり、自分の身体に直接影響するので注意するものです。

一方で、インターネットの場合はウィルス対策をしなくとも見ることが出来ます。ネットのサービスを受けることも出来ます。両者の違いは、人体に影響するものか、PCに影響するものかの違いだけです。

持っているものは紛失盗難の危険性が常につきまといます。なくすことを前提に考えることで多少の危険を予測出来ます。仮になくしたとしたら・・・とシミュレートすることで、事前に何が必要なのかを考えることも出来ます。それでもなくすし、間違いや、うっかり・・・事故が最も多いのです。

はずやつもり、たらればとあまり変わらない(意識行動編)

セキュリティしたはず、セキュリティは大丈夫なつもり。。。などと、ちょっとした間違いがあります。これはセキュリティしたら。。。セキュリティすれば。。。と変わりません。責任所在をどこに向けるか?の違いだけです。

責任所在の場所が明確になっても、事故が起きてしまうことには変わりありませんし、自らも巻き込まれてしまいます。最終的には自己管理の問題に繋がっていきます。自分で背負える範囲のことならば、自己責任で済むかも知れませんが、そうでないケースのが多いはずです。

新社会人の方々はもちろんのこと、私たちもこの機会に再度確認をしておきたいものです。新年度って「そんな気づき」の時期かもしれません。

Comment(0)