[ad#ad4]
◆初心者のための情報セキュリティ3原則
情報セキュリティというのは、大切な情報がもれないようにする、ウイルスに感染してデータを破壊されないようにするなどの対策を講じることです。
自分もそういう方面のプロではないので、専門的なことはあまり知りません。ですが、初心者でも最小限知っておきたいことを書いておこうと思います。
(1)ソフトウェアをしっかり更新する
ソフトウェア(OSやブラウザ)では、脆弱性が見つかることがあります。脆弱性というのは、情報セキュリティ上の弱点みたいなものです。
これらの脆弱性が発見されると、修正プログラムなどが提供され、更新(アップデート)するように通知されます。スマホなどで通知がきても、ほったらかしにしている人もいるのではないでしょうか?
すぐに更新するのは逆にリスクがあるので、更新の通知がきたらすこし様子見して、しっかり更新しましょう。
(2)ウイルス対策ソフト(サービス)を導入
ウイルス感染を予防するのは、情報セキュリティの基本ですね。方法としてはウイルス対策ソフトを導入したり、インターネットサービスプロバイダが提供するウイルス対策サービスを利用するなどが挙げられます。
ひとまず初心者なら、こういった対策ソフトなどがいいのではないでしょうか。
(3)安全なパスワードの設定をする
2019年7月下旬、クロネコメンバーズで3000件をこえる不正ログインがありました。その手法がパスワードリスト攻撃といいます。
パスワードリスト攻撃とは、他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法とのこと。
つまり、パスワードを使いまわししていた人が被害にあったということですね。どうすればいいのか? つぎはパスワードの安全な設定について、説明しましょう。
[ad#ad7]
◆安全なパスワードの設定について
さっそく安全なパスワードの設定について説明していきましょう。
(1)安全なパスワードの設定のしかた
総務省の『安心してインターネットを使うために 国民のための情報セキュリティサイト』には、安全なパスワードを設定するためのポイントが挙げられています。
【安全なパスワード】
・名前などの個人情報からは推測できないこと
・英単語などをそのまま使用していないこと
・アルファベットと数字が混在していること
・適切な長さの文字列であること
・類推しやすい並び方やその安易な組合せにしないこと
逆に、危険なパスワードの設定についても挙げられています。
【危険なパスワード】
・自分や家族の名前、生年月日、住所、車のナンバー、ペットの名前
・辞書に載っているような一般的な英単語
・同じ文字の繰り返しやわかりやすい並びの文字列
・短すぎる文字列
・電話番号、郵便番号、社員コードなど他人から類推しやすい情報
(2)パスワードの定期変更は必要ない
パスワードの定期変更が求められることもあると思います。
しかし、それは必要ないみたいです。これは2017年に、アメリカの国立標準技術研究所(NIST)が、サービスを提供する側がパスワードの定期的な変更を要求すべきではないと発表しているくらいです(NIST SP800-63B[電子的認証に関するガイドライン])。
さきほどの総務省のサイトでも、以下のように書かれています。
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
『設定と管理のあり方』
◆Google chromeの『Password Checkup』が便利
最後に情報セキュリティをあげるための便利なツールをひとつ。Google chromeが提供している『Password Checkup』です。
これはGoogle社が2019年2月にリリースしたものです。Google Chromeブラウザで利用できる拡張機能で、ありがたいことに無料です。
公式サイトには、このように説明されています。
どこでログインする際も、Google で認識されるデータ侵害が見られるために安全に利用できなくなったユーザー名やパスワードを入力した場合は、アラートが送信されます。パスワードを再設定してください。
危険があると、下の画像のように危険を知らせてくれるようです。
公式サイトより引用
セキュリティ対策を強化したい人は、ぜひ利用してみてはどうでしょうか。
【資料】
(1)総務省『安心してインターネットを使うために 国民のための情報セキュリティサイト』
[ad#ad3]
