すぐに実践!日常のセキュリティ対策

すぐに実践!日常のセキュリティ対策

2016.02.03

セキュリティ、と聞くと何を思い浮かべますか? ウイルス対策ソフト、ファイアウォール、指紋認証、、、など様々ありますね。 このコラムでは、文系の私が入社してから半年の間に学んだ、「初心者でもすぐに実践できる」セキュリティ対策方法をお届けします!

新入社員のA君とB君が学んだセキュリティ対策について、時系列で見ていきましょう!

パスワードの設定

4月のある朝、新入社員のA君とB君が話しています。

A: おはよう!昨日初めて会社のメールの使い方を教えてもらったね。 「秘密の質問」ってもう設定してる?
B: もちろん!メールアカウントのパスワードを忘れたときに、「質問」と「答え」を使えて便利だよね。
A: それがね、アメリカ人の約20%は「好きな食べ物は何ですか?」に”pizza”を使っているらしいよ!
B: えっ!?僕のメールアカウントのパスワードはまさにそれだよ!
A: それは危ない!もっと分かりにくいものに変えないと!

パスワード設定のポイント

メールやWebサイトのパスワードから起きる情報漏えいは、誰しもが被害者になりうる身近な課題です。

対策としては次のポイントが挙げられます 。

  • パスワードはアカウントごとに異なるものにする
  • 8文字以上で、英数字・記号を組み合わせる
  • 秘密の質問も、「パスワードの一種」と考え、すぐに推測される名前や生年月日は使わない

ソーシャルエンジニアリング

5月、A君は会社にかかってくる電話対応にも慣れてきました。

プルルルルル….
A: お電話ありがとうございます。○○株式会社でございます。
?: いつもお世話になっております、××株式会社です。情報システム部の方に代わって頂けますか?
A: (うちの会社にはそういう部署はなかったはず…) 恐れ入りますが、ご用件をお伺い出来ますか?
?: 以前△△のシステムを使われていたと思うのですが、今は□□を使っていらっしゃるのでしょうか?
A: (えっ、いきなり何の話だろう!? わからないなあ…) 申し訳ございません、確認して折返ししてもよいでしょうか?
?: あー、この後外出してしまうので、大丈夫です!(ガチャ!ツーツーツー…

何だか怪しげな電話でしたね。

ケビン・ミトニック

ここで突然のクイズですが、「ケビン・ミトニック」を知っていますか?

有名なアメリカの元クラッカーで、現在は善なるホワイトハッカーに転じている人物です。FBIを盗聴したり、ミトニックを追っていた主任捜査官の机引出に「奥さん誕生日おめでとう」のメッセージと共にプレゼントを忍ばせたりしたなどの伝説的逸話が残っています。(Wikipediaより引用)

彼の言葉に次のようなものがあります。

「企業はファイアウォールや暗号化などのセキュリティ技術に莫大な費用をかけています。しかし、攻撃者が企業内の信頼の置ける人物に電話をかけて、その人物が攻撃者の言葉に応じてしまったら、そしてその攻撃者が侵入してしまったら、技術に支払ったすべての費用は本質的に無駄となります。」

それほど、電話での聞きだしは恐ろしいですね。人間の持つ脆弱性につけこむ、「ソーシャルエンジニアリング」の、代表例とも言えます。

被害にあわないために

A君のように存在しない部署宛の電話や、社内情報を聞きだそうとする電話には要注意です。その他によくある例は、権威ある人の名を語ったり、専門用語を駆使して相手を焦らせたりするのです。

対策としては次のポイントが挙げられます。

  • 慌てず、落ち着いて対処する
  • 「確認して折返し電話させて頂きますので、電話番号を教えて頂けますか?」と言う

まず、相手が番号を名乗ることはないでしょう。また、番号表示がある場合は、一度ネット検索してみると、おかしな業者だと口コミがヒットすることもあります。

画面の保護

6月、B君はプロジェクトに抜擢され、初めて「会議」に参加することになりました。
離席しようとした、その時です。

先輩から「そのままで行くの?」と声をかけられました。 次の写真を見て下さい。B君の行動の何がいけなかったのでしょうか?

 

画面のロック

対策としては次のポイントが挙げられます。

  • 不在時の画面ロック

来客対応や、休憩などで、少しの間離れるだけでも、画面ロックする習慣をつけましょう。特に、カフェや公共施設など、不特定多数の人間が出入り可能な場所では、注意が必要です。

ショルダーサーフィン

7月、A君は初の出張を任されました。羽田空港の待合席で、仕事で使う資料を確認しています。 読むのに夢中で、その画面をのぞき見されていることにまったく気づいていません…

パスワードなどの重要な情報を入力しているところに後ろから近づいて、覗き見る方法です。 肩越しに覗くことから、ショルダーサーフィンと呼ばれています。

対策としては次のポイントが上げられます。

  • 重要な情報を入力・閲覧する際には、周りに注意する
  • プライバシーフィルターをかける(約3000円~6000円)

資料・媒体の廃棄

8月、B君の引き出しにはプロジェクトで使ってきた資料が溜まってきました。一枚ずつビリビリ破るのも面倒で、そのままゴミ箱に捨ててしまいたくなります。 でも、ちょっと待って!

ダンプスターダイビング

ダンプスターダイビングという言葉を知っていますか?外部からネットワークに侵入する際に、事前の情報収集として行われます。

ゴミ箱に捨てられた資料から、サーバやルータなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザ名やパスワードといった情報を探し出します。

対策としては次のポイントが挙げられます。

  • ゴミとして捨てる前に「何か悪用されるとしたら?」と考えてみる
  • 紙はシュレッダーへ、記憶媒体は産業廃棄へ

セキュリティ的にも、資料の整理は大切

9月、入社してから約半年経ち、A君の机の上はぐちゃぐちゃです。そろそろ上司からお叱りを受けそうです。

それ以前に、大事なデータが出しっぱなしのこの状態は、悪い人から見たら宝の山ですね!

対策としては次のポイントが上げられます。

  • 今、机の上にある情報は、誰かに見られても問題ないものか?考える
  • いらないものは思い切って処分!

まとめ

最後に、ここまでのポイントをまとめておきましょう。

  1. 適切なパスワードを設定する
  2. 電話での聞きだしに気をつける
  3. 離席時はPCの画面をロックする
  4. ショルダーサーフィンに気をつける
  5. ダンプスターダイビング対策を行う
  6. 身の回りの整理整頓をする

ここまでいかがでしたでしょうか?
「なんだ~当たり前のことじゃないか!」と思う方も多いでしょう。

たしかに、A君とB君が4月から9月までの間に学んできたことは、日常生活で多く見られる場面での、セキュリティ対策の基本のキです。しかし、忙しくなるにつれて「当たり前のこと」をついつい忘れそうになってしまう、という実体験を基に今回のコラムを執筆しました。

すぐに実践できるものばかりですので、皆さまのお役に少しでも立てれば幸いです。

記事は、予告なく変更または削除される場合があります。
記載された情報は、執筆・公開された時点のものであり、予告なく変更されている場合があります。
また、社名、製品名、サービス名などは、各社の商標または登録商標の場合があります。