<チョイ情報セキュリティ☆チョイ悪ポイントをチョイ技で対策>
桑原 泰生
1.はじめに
ここ10年のインターネットを中心としたIT(Information Technology: 情報技術)の普及により、ウェブや電子メール等のコミュニケーションツールは、電話や手紙と同様に、もはや仕事や生活において欠かせない存在になった感があります。ビジネスやプライベートでも、組織やグループ、個人間等のコミュニケーションにおいては、かなりの位置を占めているのではないでしょうか。また、そこで扱われる情報には、程度の差はあれ外部に漏洩しては困るものも多くある事でしょう。
その一方で、コンピュータウィルス感染や悪意ある第三者による行為、またはうっかりしたミス等によって、機密情報の漏洩が発生しています。ITの普及に比例して、それらによる事件や被害が目立ち始め、その危険性も多く語られるようになりました。しかし、これらの危険性から大切な情報を守る為に、実際にどうすればよいかまで理解して実行している方は、あまり多くないように見受けられます。
そこで、ちょっと知っているだけで悪い事を未然に防げる、そんなチョイ悪ポイントを、ウェブや電子メール等の身近なツールでチェックしてみましょう。
2.情報セキュリティのチョイ悪ポイント
情報セキュリティと一口に言っても、様々な切り口や内容があり、内容も複雑でその量も膨大になります。そこで今回は、その中でも重要だが意外に見落とされているポイントを、以下の3点に絞ってみます。
a.認証・アクセス権限管理
認証とは、IDとパスワードを組み合わせて、利用者を確認し特定する為の仕組みです。例えば銀行では、銀行口座番号(キャッシュカード)がID、暗証番号がパスワードに相当します。
アクセス権限とは、利用者に対して、利用できる対象や範囲を指定する為の仕組みです。新幹線の指定席を例に挙げると、指定券の購入者に対して座れる席を指定したり、喫煙の可否を指定したりする事が相当します。
b.暗号化対応
暗号化とは、データや通信経路等を、第三者に覗かれたり改竄されたりするのを防ぐ為に、一定の規則に従って第三者には判別できないように変換する仕組みです。また、変換されたデータ等を元に戻す事を復号化と呼びます。例えば、仲間内だけしか知らない合言葉等で、特定の事象を指したりする事が相当します。
c.ウィルス・スパム対策
ウィルスとは、他人のコンピュータに侵入して、歓迎されない悪事を働くプログラム(ソフトウェア)の事です。悪事の程度は様々で、何らかのメッセージや画像を表示するだけの軽微なものから、コンピュータを使えなくしたり、保管してあるデータを破壊したり消去したり、外部に漏洩したりと危険性が高いものまであります。さらに厄介な事に、ネットワークや記憶媒体等を通じて、他のコンピュータに感染したりします。
スパムとは、相手の都合や要望に関わらず、一方的にメッセージやデータを送りつける行為の事です。早い話が、嫌がらせの事ですね。電子メールに限らず、掲示板の書き込み等でも見受けられます。
以上、チョイ悪ポイントを一通り把握したところで、早速チェックしてみましょう。
3.共通のチョイ悪ポイント
まずは、ウェブや電子メール等に共通し、チョイ悪ポイントの基本中の基本である「IDとパスワードの管理」についてチェックしてみます。
IDとパスワードの管理は、基本中の基本と言いましたが、慣れると意外と意識しないものです。慣れとはこわいもので、意識しなくなって注意力が落ちる為か、セキュリティ上の穴になる事もあります。忘れた頃に時々意識するようにしてみましょう。
a.ID
IDは、一般的に利用者の名前等にちなんで付与される場合が多いかと思います。しかし、可能であれば第三者に想像されにくい内容で付与します。但し、電子メールのようにIDが宛先等も兼ねる場合は、本人の名前等とあまりに懸け離れた内容にすると、かえって不便になる場合もあります。実際に利用される状況を考慮して、適切なIDの付与ルールを決めると良いでしょう。
b.パスワード
パスワードは、まず他人に想像され難い内容にする事が基本です。また文字数も長い方がより複雑になりパスワードとしての強度が向上します。
特に一般的な単語や用語は、非常に連想し易い上、パスワード解析ツール等で試し易いので、必ず避けるようにしてください。また文字数が短い場合、文字の組み合わせを総当りされると、すぐに解読されてしまいます。文字数は、最低でも8文字以上の長いものにしましょう。
但し、覚え難いからといって手帳や付箋にメモ書き等すると全く意味がありません。そこでパスワードを決める際に、何かしらの法則性を持たせると良いでしょう。例えばアルファベットの「I」を、ビジュアル的に似ている数字の「1」に置き換える等といったものです。一般的に大小英文字、数字や記号を組み合わせたパスワードを設定する事が出来るので、これらの文字を組み合わせる事も重要です。このようにして、他人から見ると複雑だけと、自分では覚え易いパスワードを作るようにしましょう。
また、パスワードは一度決めたからといって、同じものをずっと使い続けると、パスワードが漏洩したり他人に見破られたりする等の危険性が時間の経過と共に増加してきます。その為、パスワードは定期的に変更するように心掛けましょう。
c.利用と保管
IDとパスワードは、基本的に他人に見られない場所に保管しましょう。最も好ましいのは、頭の中の記憶だけに留めておく事です。しかし忘れてしまうとどうにもなりませんので、どうしても必要であれば、他人の目に触れずに、そのIDとパスワードを利用する場所から離れている場所に保管しましょう。
また、パスワードを他人に教えたり、パスワードを入力しているところを他人に見られたりしないように注意してください。基本的には、銀行口座(キャッシュカード)の暗証番号の扱いと同じですね。
基本中の基本をチェックしたところで、ウェブや電子メールのポイントをチェックしてみましょう。
4.ウェブのチョイ悪ポイント
昨今のウェブは、会社案内や商品案内等の単なる情報発信のツールから、グループウェアや顧客のコンタクト窓口、商品売買等の商取引の場等と、多くの業務を扱うツールへと変貌を遂げました。そしてそこで扱われる情報は、正に機密情報そのものです。そのような状況下にあるウェブのチェックポイントは、以下の通りです。
a.認証・アクセス権限管理
IDとパスワード以外に、アクセス権限の管理を行いましょう。
それぞれの利用者毎に、アクセスする場所や使う機能が違うでしょうし、そこでの行動も違うでしょう。例えば情報発信者は、データを書き込んだり変更したりする必要がありますが、単なる情報閲覧者にはその必要がないといった具合です。
ただ、全利用者が全ての場所や全ての機能を自由に利用できるようにしても、一見問題が無いように思えます。しかし、利用者の誰かのIDから不正アクセスされたらどうなるでしょうか。たった1つの入り口から、全ての場所や機能を利用されるだけで、全ての情報が漏洩する危険にさらされます。
このような状況を未然に防ぐためにも、利用者毎に必要な場所や機能等のアクセス権限を設定しておきましょう。
b.暗号化対応
コンピュータ上のウェブブラウザとウェブサイトの間の通信は、基本的に送受信されるデータがそのままの状態でやり取りされるので、第三者が覗こうと思えば覗けますし、その為のツールも存在します。よって、IDやパスワード、プライバシーに関する情報や企業の機密情報等を送受信する際に、その通信経路が普通のままだと、覗き見される危険にさらされます。
そこで通信経路を暗号化して、第三者に覗かれたり改竄されたりしないようにします。それを実現する為にSSL(Secure Socket Layer: セキュリティ機能付き通信プロトコル)という方式があります。ウェブサイトの中には、URL(Uniform Resource Locator: ウェブサイト等のアドレス)の書き出しが「https://~」となっているものがあったり、ウェブブラウザ上に鍵が施錠された様なマークが表示されたりするものがあります。このURLやマークがあるサイトとの通信経路は、暗号化された状態となっており、機密情報等をやり取りしても安全な状態になっています。
少なくとも、IDやパスワード、機密情報等をやり取りする際は、このSSLが適用されている状態になっているか注意しましょう。
c.ウィルス・スパム対策
ウィルス対策としては、専用ソフトウェアを使うようにしましょう。ウェブブラウザを使うコンピュータ(クライアント: 様々な機能等を利用する側のコンピュータ)にインストールするのはもちろん、ウェブサイト側のコンピュータ(サーバ: 様々な機能等を提供する側のコンピュータ)にもインストールします。
このウィルス対策ソフトウェアは、インストールして終わりという訳ではありません。ウィルスは新しいものが日々作られたり改変されたりして、日々状況が変化しています。ウィルス対策ソフトウェアは、この日々変化する情報が更新されていないと、ウィルス自体を認識できなくなってしまいます。この情報は、パターンファイル等と呼ばれていますが、攻撃する者と守る者のいたちごっこは日々進行しているので、かなりの頻度で最新版が提供されています。ウィルス対策ソフトウェア内のパターンファイルの更新は、日々欠かさず行うようにしましょう。
5.電子メールのチョイ悪ポイント
インターネットの普及初期の頃から、変わらず多くの人に利用され続けている電子メール。昨今社会状況が急速に変化しているにも関わらず、意外にもその基本的な仕組みや使われ方にはほとんど変化がありません。そのような状況下にある電子メールのチェックポイントは、以下の通りです。
a.認証・アクセス権限管理
意外に知られていないと思いますが、基本的に電子メールの仕組みは、暗号化を前提としていません。電子メール自体も、郵便に喩えて言うなら、封書ではなく葉書と同様の状態と言えます。つまり、電子メールの内容を読もうと思えばいくらでも読める状態です。また、多くの電子メールシステムやサービスでは、電子メールの内容はもちろんの事、メールボックスに電子メールを受け取りに行く際のIDやパスワードの受け渡しに至るまで、全てそのままの状態でやり取りされています。
昨今では、インターネットを通じて、ウェブサーバやメールサーバを貸し出すサービスが多く利用されるようになりましたが、特に何も対策していなければ、電子メールを送受信する度にあなたのIDやパスワードがインターネット上を通過する事になります。
電子メールの内容はともかく、機密情報であるIDとパスワードは、最低でも安全な状態でやりとりした方が良いでしょう。以下の機能は、自分のメールボックスとメールソフトの間だけの通信経路に限ったものですが、あれば必ず使うようにしましょう。
・POP/SMTP over SSL
電子メールを送受信する際に、前述のSSL方式で通信経路を暗号化する方式です。
・APOP
電子メールを受信する際に、暗号化されたパスワードを使う方式です。
・STARTTLS/STLS
メールの送受信プロトコルの内側でデータを暗号化する方式です。
b.暗号化対応
電子メールの内容は、基本的に葉書と同様の状態で扱われると言いましたが、PGP(Pretty Good Privacy: 暗号化ソフトウェア)等を用いて、内容そのものを暗号化する方法もあります。またデータを暗号化して、暗号化されたファイルを電子メールに添付して送付する等の方法もあります。何れも無料で提供されているものがありますので、試してみてはいかがでしょうか。但し、まだあまり一般化していませんので、これから普及が望まれる分野と言えるでしょう。
c.ウィルス・スパム対策
電子メールのウィルス対策は、ウェブと同様、専用ソフトウェア(ウィルス対策ソフトウェア)を使います。また、メールサーバを貸し出すサービスには、ウィルス対策サービスを選択できるものがありますので、それを使うようにします。
スパム対策は、スパムメールを自動判別して処理するサービス等が一般化しつつあるので、それを使うようにします。また、スパムかどうかの判断は、受信者の判断により変わってくる事もあります。自分のスパムメールの判断を学習してくれる機能がついているものであればより良いでしょう。但し、これと言った決め手があまり無いのが実情ですので、これから発展が望まれる分野と言えるでしょう。
6.チョイ情報セキュリティ
数多くある情報セキュリティのポイントの中でも、重要だが意外に見落とされているポイントをいくつかチェックしてみましたが、いかがでしたでしょうか。
一つ一つのポイントへの対策は、意外にもちょっとした内容(チョイ技)で済むものばかりでした。しかし、このようなポイントがあらゆるところに数多くある事が、インターネットを中心としたITの困ったところです。また技術の進展や社会状況の変化により、今後も新たなポイントが出てくると思われます。
そしてこれらの対策は、1つだけ実施しても効果が十分ではなく、また1回だけ実施すれば済むものでもありません。1つ1つは小さな対策でも、組み合わせたり多層的に使う事で相乗効果を発揮したり、地道に継続する事で徐々に効果を発揮したりします。
とは言え、本格的な情報セキュリティ対策は、専門家でなければなかなか実施できません。でも今回の様に、チョイ悪ポイントをチェックしてチョイ技で対策する程度であれば、ちょっと意識するだけで対応可能ではないでしょうか。
言われるまでもないと思いますが、利便性と危険性は表裏一体の存在です。今後も便利なツールを安全に使うために、ちょっとした情報セキュリティ対策、つまりチョイ情報セキュリティを実施していきましょう。
チョイ地味ですが、チョイ格好良いかもしれませんよ。
■桑原 泰生(くわはら やすお)
中小企業診断士、システムコンサルタント。フリーパワーズ 代表。
学生時代よりIT業界に携わり、卒業後に独立開業、会社役員等を経て現在に至る。
システムからネットワークまで幅広く、また戦略立案から開発・構築まで深く情報技術に通じ、主に顧客と同じ側の立場から、情報参謀役としてITを活用する支援等を手掛ける。
ちなみに本人は、チョイ悪でもオヤジでも無いと明言している(本人談)。
