最強のセキュリティは暴力
はい、どうも僕です。昨今はセキュリティ人材が不足しているなんて言われています。そうなんですね。どうしよう……ALSOKいかなきゃ……。えー、てなわけ(?)であの内閣サイバーセキュリティセンター(NISC)が上級国民向けでなく僕たち "一般国民" 向けにITセキュリティについて分かりやすく説明しているとのことなので読んでみることにしました。
青本読んでみた
「情報セキュリティハンドブック」読んでみた。
www.nisc.go.jp
ざっくりした内容は以下の 6章 構成です。
- サイバー攻撃って?(プロローグ)
- 情報セキュリティについて
- パソコン・スマホ・IoT機器の使い方、トラブル対処について
- 被害にあわないため、加害者にならないために
- 会社を守る、災害に備える、海外での心構え
- IT効率化によるセキュリティコスト捻出
- セキュリティについてより深く理解しよう
こんな感じです。
この中から適当に参考になったぽい情報とかかいつまんでまとまめると以下のような感じ。詳しく知りたい場合はちゃんと中身読もうね…。PDFファイル開きたくない僕が僕用にまとめているメモみたいなものだから……*1。
■ サイバー攻撃って?
ソーシャルエンジニアリングやマルウェアで攻撃してきます。
「攻撃者がどういう目的でサイバー攻撃を行うか」とか「ソーシャルエンジニアリング」の事例に丸々一ページ割いて解説したりしていて思っていたよりも中身があった。
■ 情報セキュリティについて
情報セキュリティ対策のために
- OSやソフトウェアを最新に
- ウィルス対策を導入
- パスワードを強化
- 共有設定を見直そう
- 脅威や攻撃の手口を知ろう
- 常にバックアップをとろう
- 人間にもセキュリティホールがあることを知ろう
- 困ったら各種相談窓口に相談しよう
とりあえず上記9項目をクリアできたらOKらしいね。それでも「ゼロデイ攻撃」やなんかには対応できないよなんてコラムもあって念押しが強い。
■ パソコン・スマホ・IoT機器の使い方、トラブル対処について
各種機器で行うセキュリティ対策
| パソコン | スマホ | IoT機器 |
|---|---|---|
| 確実な復旧のための初期設定 | ロックをかけて席を離れる | 購入後の確実な初期設定 |
| 盗まれた時のための暗号化機能 | 盗難・紛失も視野に入れて情報漏れを防ぐ | |
| マルウェア感染のためのバックアップ | スムーズな機種変更のために移行サービス利用 | |
| 廃棄の際は確実なデータ消去 |
ざっくりまとめると上のような感じ。スマホに関しては初期設定がサービスベースで出来ているせいか、個々のアプリに注意を払おう的なことも書いてある。
■ 被害にあわないため、加害者にならないために
例えば第三者による攻撃でも「踏み台」として乗っ取られたら加害者にもなりえます。
例えば個人情報などを盗まれればそれを利用されて犯罪に使われます。
⇒ これらの問題に遭遇したら社会的信用を失うことにもつながります
⇒ そのためにもよくある手口を知って対策しておこう
よくある手口は以下の通り*2。
⇒ もし、被害にあったら情報関係機関への相談や届け出しよう
まとめると大体こんな感じ攻撃方法の説明で終わらず、「なぜ・どうして攻撃するのか?」や事後対策についての説明があっていいですね。
■ 会社を守る、災害に備える、海外での心構え
ヒト・モノ・カネの動きをちゃんとマネジメントしましょう
・災害時のために事業計画(BCP)をつくろう
・大災害やテロに備えよう
・海外でスマホを活用しよう
台風でも出社が是とされる我が日本国と思えない意識高いこと書いてあった。僕はBCP取り組んでいる会社を知らない……。海外でのスマホの使い方とか、言語の問題だけでなく現地ならではのサービスの違いとかも考えなきゃいけないよみたいなのは参考になった。
■ IT効率化によるセキュリティコスト捻出
・セキュリティ思想を取り入れよう
・個人情報の取り扱いを徹底
・取引先の監督を徹底
・テレワークとアウトソーシングを活用しよう
・フリー素材を "しっかり" 利用しよう
・情報発信とプロモーションを
コストをかけずにセキュリティを高めよう的な話。僕はこの辺りの話きな臭く感じてしまう……。ある程度の費用削減効果は見込める気がするけど、こういうのでゼロにしていこうって目論見の会社しか僕は知らない。人間の業だ……。――と、余計なこと書きましたが内容としては上記項目についての説明とかで人間の業とか書かれてないです。どこまで削減できるか削減していいかはモラルにまかされているのだ……。
■ セキュリティについてより深く理解しよう
① パスワードについて
パスワードには「PINコード」「ログインパスワード」「暗号キー」などがあるよ
パスワード攻撃には「総当たり攻撃」「リスト型攻撃」「辞書攻撃」などがあるよ
パスワードの定期変更は意味ないよ、でも流出したら速やかに変更しよう
② 無線LANの安全利用について
無線LAN通信の構成要素は主に「SSID(Service Set Identifier)」「暗号化方式」「暗号キー」
暗号がないもの、暗号キーが漏れたものは安全ではないよ
③ ウェブサイトの安全利用について
無線LANの暗号化とVPNを活用しよう
EV-SSL証明書について知り、活用しよう
ウェブサービスのログインは多要素認証などを使う
④ メールの安全利用について
メールも暗号化しよう
怪しいメールの見分け方とその対策について
⑤ データを守る
ファイルを暗号化しよう、ただし過信は禁物
「暗号キー」を適切に運用してデータを守ろう
「暗号キー」の運用には「共通鍵暗号方式」「公開鍵暗号方式」があるよ
大体こんな感じ、この章はかなり細かいんでちゃんとまとめてたらキリがない。『公開鍵は公開しない』という哲学に対しての正しい回答があったりするので必要ならばちゃんと読む必要あるかもね。
とまあ、まとめるとこんな内容。思ってたよりも網羅的にセキュリティについて書いてあった。「用語をまとめてみました」覚えてくださいっていうのが苦手な僕にはちょうどいい読み心地でした。まあそのすじの人には足りないんでしょうけどね……。
おわり
