毎年2月に行われている「サイバーセキュリティ月間」。官民協働で行われているこの取り組みだが、Googleが公開したブログが話題を呼んでいる。

ブログは、米Googleが2015年7月に公開した「セキュリティのエキスパートとそうでない人のセキュリティ対策比較」という論文に基づいたもので、セキュリティ専門家231名と、一般のネットユーザー294名に調査を行った結果をまとめている。

一般ユーザーとセキュリティ専門家の"セキュリティ対策"の違い(Googleブログより)

これによると、一般ユーザーとセキュリティ専門家がそれぞれ考える"優先するセキュリティ対策"に差が生まれている。そもそも、PCなどで攻撃を受ける場合に大きな問題となるケースの1つが「ゼロデイ攻撃」などのソフトウェアの脆弱性を突く攻撃だ。

ソフトウェアの脆弱性は、開発者が意図していなかったソフトの"穴"だが、ここを狙って攻撃者は攻撃してくる。こうした穴は、一般的に「アンチウイルスソフトを使えばOK」と思われがちだが、セキュリティ専門家が1番重要視している「ソフトウェアアップデート」が勘所となる。

ゼロデイ攻撃は、攻撃が行われてから開発者が気付き、修正するケースだが、それ以外にも開発者が自ら気付き、修正を施すケースも多い。毎月の定例アップデートがあるAdobe Flash PlayerやWindows OSなどは、ゼロデイ攻撃を受けてからのアップデートもあるが、脆弱性を自ら公表して対策するからこそ、毎月のようにアップデートが行われるわけだ。ゼロデイ攻撃については、被害が拡大している場合、緊急対応しなければならないため、定例外での配信が行われるケースもあるが、だからこそ「ソフトウェアアップデートが一番重要」と捉えているセキュリティ専門家が多い理由にも繋がる。

このアップデートが提供されないことで危険につながる最たる例はWindows XPだろう。2014年4月にサポートが終了した同OSだが、「まだ使える」と考えて利用を継続しているユーザーが一定規模存在する。しかし、サポートが終了してしまったOSは、脆弱性が修正されずにそのまま放置されている状態にある。

一部の法人に向けては、特別対応としてMicrosoftがサポートを継続しているものの、あくまで例外的措置であり、基本的に一般ユーザーが継続して利用することは危険な状態といえる。これは、アンチウイルスソフトを提供しているカスペルスキー 代表取締役社長の川合林太郎氏でさえ「カスペルスキーなどのセキュリティベンダーは家を犯罪者から守ることはできるけど、シロアリ対策や雨漏り、台風といった根本的な家の脆弱性には対処できない」と例え話を交えて説明していることからもわかることだ。

もちろん、企業ユースにおいては、使用している業務アプリケーションが動作しない可能性があるため、IT担当者が動作確認を終えるまでアップデートを実行させないケースもある。こうした負担が増えれば、今後は「アップデートできない要因」となるアプリケーションが、セキュリティをより担保しているスマートデバイス向けアプリケーションやSaaSに取って代わられる可能性もある。企業のIT担当者は、セキュリティの観点から導入するアプリケーションを検討してみるのも1つの策といえるだろう。

パスワードはセキュリティ管理のキモ

話をGoogleの論文に戻すと、セキュリティ専門家が選んだ上位のセキュリティ対策は以下の通りだ。

  1. ソフトウェアアップデートの適用

  2. サービスごとにユニークなパスワードを設定

  3. 二段階認証を活用する

  4. 強固なパスワードの設定

  5. パスワード管理ツールの利用

4位の強固なパスワード設定は、一般ユーザーでもランクインしているものの、一般ユーザーの「頻繁にパスワードを変える」はセキュリティ専門家は推奨しておらず、パスワード管理ツールやサービスごとのユニークなパスワード設定が推奨されている。

特集として行っていた「STOP! パスワード使い回し」でも指摘していた通り、パスワードを使い回すことは、万が一パスワードが漏えいした場合に、ほかのサービスでもログインされる危険性がある「パスワードリスト攻撃」によって個人情報が漏えいするリスクが高まってしまう。

それぞれのサービスにユニークなパスワードを設定するからこそ、パスワード管理ツールが必要になるし、JPCERT/CCやIPAなども利用を推奨している。強固なパスワードについても、パスワード管理ツールの一部ではジェネレーター機能が付いているため、それを利用すると良いだろう。

二段階認証も重要な要素

最後に、二段階認証について。二段階認証は、二要素認証や多要素認証とも呼ばれ、複数経路によって正当な人物がログインしようとしているかを判断する認証のことだ。Googleが自社サービスへログインする際に提供している「Google認証システム」のように、デバイスに紐付けてアプリが生成するワンタイムパスワードなどを、本人のログイン時に認証要素として利用できる。

最近は、Appleの指紋認証センサーなど、生体認証にも注目が集まっており、二要素目としてさらにサービスの利活用が進むよう、FIDOのような仕組みも登場している。銀行でもトークン発行の専用デバイスを提供するケースや、三菱東京UFJ銀行のようにアプリケーションによるワンタイムパスワードの提供を行うケースもある。

これらを組み合わせて利用することで、より安全にネットの利活用を進め、そして楽しめるようにしてもらうのが「サイバーセキュリティ月間」の取り組みの狙いだ。今一度、自身のセキュリティ対策を振り返り、見直してほしい。