毎幎2月に行われおいる「サむバヌセキュリティ月間」。官民協働で行われおいるこの取り組みだが、Googleが公開したブログが話題を呌んでいる。

ブログは、米Googleが2015幎7月に公開した「セキュリティの゚キスパヌトずそうでない人のセキュリティ察策比范」ずいう論文に基づいたもので、セキュリティ専門家231名ず、䞀般のネットナヌザヌ294名に調査を行った結果をたずめおいる。

䞀般ナヌザヌずセキュリティ専門家の"セキュリティ察策"の違い(Googleブログより)

これによるず、䞀般ナヌザヌずセキュリティ専門家がそれぞれ考える"優先するセキュリティ察策"に差が生たれおいる。そもそも、PCなどで攻撃を受ける堎合に倧きな問題ずなるケヌスの1぀が「れロデむ攻撃」などの゜フトりェアの脆匱性を突く攻撃だ。

゜フトりェアの脆匱性は、開発者が意図しおいなかった゜フトの"ç©Ž"だが、ここを狙っお攻撃者は攻撃しおくる。こうした穎は、䞀般的に「アンチりむルス゜フトを䜿えばOK」ず思われがちだが、セキュリティ専門家が1番重芁芖しおいる「゜フトりェアアップデヌト」が勘所ずなる。

れロデむ攻撃は、攻撃が行われおから開発者が気付き、修正するケヌスだが、それ以倖にも開発者が自ら気付き、修正を斜すケヌスも倚い。毎月の定䟋アップデヌトがあるAdobe Flash PlayerやWindows OSなどは、れロデむ攻撃を受けおからのアップデヌトもあるが、脆匱性を自ら公衚しお察策するからこそ、毎月のようにアップデヌトが行われるわけだ。れロデむ攻撃に぀いおは、被害が拡倧しおいる堎合、緊急察応しなければならないため、定䟋倖での配信が行われるケヌスもあるが、だからこそ「゜フトりェアアップデヌトが䞀番重芁」ず捉えおいるセキュリティ専門家が倚い理由にも繋がる。

このアップデヌトが提䟛されないこずで危険に぀ながる最たる䟋はWindows XPだろう。2014幎4月にサポヌトが終了した同OSだが、「ただ䜿える」ず考えお利甚を継続しおいるナヌザヌが䞀定芏暡存圚する。しかし、サポヌトが終了しおしたったOSは、脆匱性が修正されずにそのたた攟眮されおいる状態にある。

䞀郚の法人に向けおは、特別察応ずしおMicrosoftがサポヌトを継続しおいるものの、あくたで䟋倖的措眮であり、基本的に䞀般ナヌザヌが継続しお利甚するこずは危険な状態ずいえる。これは、アンチりむルス゜フトを提䟛しおいるカスペルスキヌ 代衚取締圹瀟長の川合林倪郎氏でさえ「カスペルスキヌなどのセキュリティベンダヌは家を犯眪者から守るこずはできるけど、シロアリ察策や雚挏り、台颚ずいった根本的な家の脆匱性には察凊できない」ず䟋え話を亀えお説明しおいるこずからもわかるこずだ。

もちろん、䌁業ナヌスにおいおは、䜿甚しおいる業務アプリケヌションが動䜜しない可胜性があるため、IT担圓者が動䜜確認を終えるたでアップデヌトを実行させないケヌスもある。こうした負担が増えれば、今埌は「アップデヌトできない芁因」ずなるアプリケヌションが、セキュリティをより担保しおいるスマヌトデバむス向けアプリケヌションやSaaSに取っお代わられる可胜性もある。䌁業のIT担圓者は、セキュリティの芳点から導入するアプリケヌションを怜蚎しおみるのも1぀の策ずいえるだろう。

パスワヌドはセキュリティ管理のキモ

話をGoogleの論文に戻すず、セキュリティ専門家が遞んだ䞊䜍のセキュリティ察策は以䞋の通りだ。

  1. ゜フトりェアアップデヌトの適甚

  2. サヌビスごずにナニヌクなパスワヌドを蚭定

  3. 二段階認蚌を掻甚する

  4. 匷固なパスワヌドの蚭定

  5. パスワヌド管理ツヌルの利甚

4䜍の匷固なパスワヌド蚭定は、䞀般ナヌザヌでもランクむンしおいるものの、䞀般ナヌザヌの「頻繁にパスワヌドを倉える」はセキュリティ専門家は掚奚しおおらず、パスワヌド管理ツヌルやサヌビスごずのナニヌクなパスワヌド蚭定が掚奚されおいる。

特集ずしお行っおいた「STOP! パスワヌド䜿い回し」でも指摘しおいた通り、パスワヌドを䜿い回すこずは、䞇が䞀パスワヌドが挏えいした堎合に、ほかのサヌビスでもログむンされる危険性がある「パスワヌドリスト攻撃」によっお個人情報が挏えいするリスクが高たっおしたう。

それぞれのサヌビスにナニヌクなパスワヌドを蚭定するからこそ、パスワヌド管理ツヌルが必芁になるし、JPCERT/CCやIPAなども利甚を掚奚しおいる。匷固なパスワヌドに぀いおも、パスワヌド管理ツヌルの䞀郚ではゞェネレヌタヌ機胜が付いおいるため、それを利甚するず良いだろう。

二段階認蚌も重芁な芁玠

最埌に、二段階認蚌に぀いお。二段階認蚌は、二芁玠認蚌や倚芁玠認蚌ずも呌ばれ、耇数経路によっお正圓な人物がログむンしようずしおいるかを刀断する認蚌のこずだ。Googleが自瀟サヌビスぞログむンする際に提䟛しおいる「Google認蚌システム」のように、デバむスに玐付けおアプリが生成するワンタむムパスワヌドなどを、本人のログむン時に認蚌芁玠ずしお利甚できる。

最近は、Appleの指王認蚌センサヌなど、生䜓認蚌にも泚目が集たっおおり、二芁玠目ずしおさらにサヌビスの利掻甚が進むよう、FIDOのような仕組みも登堎しおいる。銀行でもトヌクン発行の専甚デバむスを提䟛するケヌスや、䞉菱東京UFJ銀行のようにアプリケヌションによるワンタむムパスワヌドの提䟛を行うケヌスもある。

これらを組み合わせお利甚するこずで、より安党にネットの利掻甚を進め、そしお楜しめるようにしおもらうのが「サむバヌセキュリティ月間」の取り組みの狙いだ。今䞀床、自身のセキュリティ察策を振り返り、芋盎しおほしい。