インシデント事例紹介とその対策~クライアント編 <パソコンでできるセキュリティ対策>~
| クライアント 事例 | パソコンでできるセキュリティ対策 |
ユーザIDとパスワードの管理
パソコンからネットワークにログオンする場合、最初にユーザIDとパスワードを入力します。情報へアクセスするためには、ユーザIDとパスワードの入力の手続きを省略することはできません。
- ユーザIDとパスワードの入力=扉の鍵を開ける動作
- 特に「鍵=パスワード」の管理は重要
推測されにくいパスワードを使う
パスワードが漏えいすると、悪意を持った他人が自分になりすまして情報にアクセスすることも可能になります。パスワード漏えいを防ぐための第一歩は、推測されにくいパスワードを用いることです。
- パスワードの内容に、生年月日や名前(家族や友人、知人の名前も含む)、電話番号など、個人情報に類する情報を使わない
- 8文字以上の長さにする
- 大文字と小文字、数字や記号を混ぜる
- 初期パスワードは必ず変更する(初期パスワードは社員番号や生年月日など、便宜的に設定されるものが多いため)
パスワードの自己管理を適切に行う
推測されにくいパスワードでも、パスワードそのものを見られてしまえば意味がありません。パスワード入力に際しては、以下の点に留意しましょう。
- パスワードを入力しているところを見られないようにする
パスワードを入力しているところを他人に見られないようにしましょう。悪意を持った第三者がパスワードを記憶し、あとで不正にログオンを試みるかもしれません。
また、他人がパスワードを入力しているところも見ないようにしましょう。 - パスワードをメモ書きして目につくところへ貼ったりしない
「パスワードを忘れてしまうから」といって、メモ書きしてディスプレイに貼ったり、机のシートの間にはさんだりするのはやめましょう。メモ書きのほか、口頭で誰かにパスワードを教えることも避けましょう。いずれも、積極的にパスワードを漏えいしているようなものです。 - パスワードの自動入力設定を行わない
パスワードをコンピュータに記憶させ、パスワード入力を省略できる機能がありますが、この機能をオンにしておくと、第三者でも自由にログオンができてしまいます。パスワードの自動入力設定はやめましょう。 - パスワードを忘れないようにする
パスワードを忘れると、パスワードの振り直しなどの作業が発生し、システム管理者に負担がかかります。パスワード漏えいには直接関係のない事柄ですが、パスワードを忘れないようにすることも重要です。
参考:パスフレーズ
「パスフレーズ」とは、長い文章(フレーズ)などから、各単語の頭文字などを抽出して作ったパスワードのことです。本人が忘れないような文章であればどのような文章でもよく、比較的長いパスワードを作ることができます。
例)国境の長いトンネルを抜けるとそこは雪国だった。 (川端康成「雪国」より)
→Kokkyo no Nagai Tonnel wo Nukeruto Sokowa Yukiguni Datta
→パスワードは、KNTNSYD
「パスフレーズ」とは、長い文章(フレーズ)などから、各単語の頭文字などを抽出して作ったパスワードのことです。本人が忘れないような文章であればどのような文章でもよく、比較的長いパスワードを作ることができます。
例)国境の長いトンネルを抜けるとそこは雪国だった。 (川端康成「雪国」より)
→Kokkyo no Nagai Tonnel wo Nukeruto Sokowa Yukiguni Datta
→パスワードは、KNTNSYD
情報漏えい対策
オフィスの中には、あちこちに情報資産が存在しています。部屋の中にあるからといって油断せず、以下の点に留意して情報資産を取り扱いましょう。
クリアデスクポリシー
常に、机の上の整理整頓を行いましょう。美観を損ねる、という理由ではなく、機密情報を印刷した書類や媒体などを目に付く場所に放置しないようにしたり、情報の紛失を防いだりするために必要な事柄です。
JIS Q 27001:2006(ISO/IEC27001:20053)より引用
A.11.3.3 クリアデスク・クリアスクリーン方針
書類及び取外し可能な記億媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用しなければならない。 注)クリアデスクは机上に書類を放置しないことである。また、クリアスクリーンは、情報をスクリーンに残したまま離席しないことである。
〔出典:JIS Q 27001(ISO/IEC27001)情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 (日本規格協会)〕
A.11.3.3 クリアデスク・クリアスクリーン方針
書類及び取外し可能な記億媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用しなければならない。 注)クリアデスクは机上に書類を放置しないことである。また、クリアスクリーンは、情報をスクリーンに残したまま離席しないことである。
〔出典:JIS Q 27001(ISO/IEC27001)情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 (日本規格協会)〕
クリアスクリーンポリシー
クリアスクリーンポリシーとは、パソコンなどの情報機器から離れる場合に、ディスプレイに情報が表示されないようにして、他人が容易に操作できない処置を行うことです。
- システムからログオフする
- 画面のロックを行う(パスワード付きスクリーンセイバーなど)
機密情報を保存した媒体、機器などの取り扱い
機密情報を保存しているものは、どのような形態のものであっても、情報漏えいのないよう、厳重に取り扱いましょう。
パソコンなどの情報機器
- クリアスクリーンポリシーを遵守する
- 管理者の許可なく、自宅へ持ち帰るなど社外に持ち出さない
- メンテナンスや修理などで社外の業者へ一時的に情報機器を預ける場合、機密情報は別途保存して完全消去しておくなどの対策を実行する
CDやUSBメモリ、SDカードなどの記録媒体
- クリアデスクポリシーを遵守する
- 廃棄の必要がある場合、媒体を初期化した上で可能であれば破砕してから捨てる
機密情報を印刷した用紙
- 機密情報を印刷した用紙を、プリンタ、FAX、コピーなどで、裏紙として再利用しない
- 機密情報を印刷した場合、印刷の終了を確認し、すみやかに文書を自席に持ち帰り管理し、必要がなくなり次第廃棄する
モバイルパソコンの取り扱い
社外でノートパソコンなどを持ち歩き、文書作成をしたり、スケジュール管理をしたり、お客様にプレゼンテーションを行ったりするなど、モバイルパソコンはさまざまな用途に利用できます。
しかし、モバイルパソコンは、「携帯に容易な、小型、軽量の機器である」という特性のため、携帯中に紛失、盗難の被害にあう可能性が高いのです。モバイルパソコンに会社の機密情報が保存されていた場合、機密情報の漏えいにつながります。モバイルパソコンの取り扱いには十分注意しましょう。
しかし、モバイルパソコンは、「携帯に容易な、小型、軽量の機器である」という特性のため、携帯中に紛失、盗難の被害にあう可能性が高いのです。モバイルパソコンに会社の機密情報が保存されていた場合、機密情報の漏えいにつながります。モバイルパソコンの取り扱いには十分注意しましょう。
- 機密情報をむやみに保存しない
- 外出先でモバイルパソコンを放置しない
- 航空機、列車などでの移動中は、モバイルパソコンを手荷物として携帯する
- 飲酒及びうたた寝をしない
- バックアップを外部メディア(可搬型HDDを含む)に行う場合には、メディアの盗難対策を行うこと
バックアップ
情報の取り扱いにおいて、情報漏えいのないよう機密性を確保することは重要ですが、同時に、万一情報が壊れてしまっても、容易に復旧できるよう、自席のパソコンについて、データのバックアップを習慣づけましょう。
ウイルス対策(スパイウェア・ボット対策も含む)
ウイルス対策として最も効果的かつ必要不可欠なのは、ウイルス対策ソフトを使用することです。ウイルス対策ソフトは、ワクチンソフトなどとも呼ばれ、さまざまなソフトメーカーより開発・販売されています。
最近のウイルス対策ソフトは、スパイウェアやボットへの対策も機能に含んだ「統合セキュリティ対策ソフト」にシフトしようとしています。スパイウェアやボットへの対策も、ウイルス対策とほぼ同様ですので、ウイルス対策ソフトを選ぶ際は、それらへの対応を考慮すべきです。
特に企業においては、外部より持ち込まれたウイルスが、社内ネットワークを介して広がる危険性が大きいため、社員のパソコンだけでなく、ファイルサーバ、メールサーバなどネットワークの重要なポイントごとにウイルス対策ソフトを常駐させることにより、より強固なウイルス対策が行えます。
最近のウイルス対策ソフトは、スパイウェアやボットへの対策も機能に含んだ「統合セキュリティ対策ソフト」にシフトしようとしています。スパイウェアやボットへの対策も、ウイルス対策とほぼ同様ですので、ウイルス対策ソフトを選ぶ際は、それらへの対応を考慮すべきです。
特に企業においては、外部より持ち込まれたウイルスが、社内ネットワークを介して広がる危険性が大きいため、社員のパソコンだけでなく、ファイルサーバ、メールサーバなどネットワークの重要なポイントごとにウイルス対策ソフトを常駐させることにより、より強固なウイルス対策が行えます。
ウイルス対策ソフトの主な機能
ウイルス対策ソフトには、主にウイルスの検出、駆除・削除、予防の機能があります。
ウイルスを検出した場合には、検出したウイルスの名前や動作の特徴などを画面に表示し駆除を促します。
通常は、感染しているファイルからウイルスを駆除(ウイルスコードの部分を取り除く)しますが、トロイの木馬型の場合などは該当するファイルを削除したりする場合もあります。
ウイルスの検出
コンピュータ内にウイルスが存在するかどうかを検査し、被害を未然に防ぐための機能です。 ウイルスを検出した場合には、検出したウイルスの名前や動作の特徴などを画面に表示し駆除を促します。
ウイルスの駆除・削除
発見されたウイルスの種類によって異なりますが、ウイルスに感染したファイルに対して処置を行います。 通常は、感染しているファイルからウイルスを駆除(ウイルスコードの部分を取り除く)しますが、トロイの木馬型の場合などは該当するファイルを削除したりする場合もあります。
ウイルスの予防
ウイルスがコンピュータ内に入り込まないよう、常に監視を行い、ウイルスに感染するのを防ぎます。
ウイルス対策ソフトのしくみ
ウイルス対策ソフトは、「本体プログラム」「検索エンジン」「パターンファイル」の3つのコンポーネントによって構成されています。
なお、パターンファイルは「ウイルス定義ファイル」と呼ばれる場合もあります。
本体プログラム
コンピュータ内にインストールされたウイルス対策ソフト全体を指します。
検索エンジン
パターンファイルの情報に基づいて、コンピュータ内のウイルスを検出するプログラム。パターンファイルのアップデートに伴い、年に何度かアップデートされます。
パターンファイル
過去に検出されたウイルスコードや、そのウイルスの動作の特徴などが記録されているデータベースのファイル。新種のウイルスが発見され解析される度に、ウイルス対策ソフトメーカーで更新(アップデート)され、公開されます。なお、パターンファイルは「ウイルス定義ファイル」と呼ばれる場合もあります。
OSやソフトウェアのアップデート
OSやブラウザ、メーラーなどのソフトウェアは、メーカーによっては「セキュリティホール」を修正したり、セキュリティ上の問題を解決したり、ソフトの不具合を解消したりするための修正プログラムが、インターネット経由で提供されることがあります。インターネットに接続されたコンピュータを利用する場合には、これらの修正プログラムを定期的に適用して、できる限りソフトウェアを最新の状態に保つように心がける必要があります。
このアップデートの代表的なものに、以下に説明する「Microsoft Update」があります。また、ワープロソフトや表計算ソフトなどその他のソフトウェアについても、情報セキュリティ上の問題などで修正プログラムが提供されることがあります。これらについても、コンピュータにインストールされているソフトウェアを確認して、それぞれのメーカーのWebサイトなどで定期的にチェックしてください。
また、最近ではソフトウェアのメーカーにユーザ登録をしておくと、プログラムが更新された場合にメールで連絡がくるサービスもあります。使用しているソフトウェアについては、必ずユーザ登録をしておきましょう。
代表的なセキュリティホールに、「バッファオーバーフロー」があります。バッファオーバーフローとは、OSやソフトウェアのプログラムが処理に利用しているメモリのバッフアに入りきらない量のデータが渡されることで、予期しないような動作が実行されたり、システムが停止してしまったりすることです。
このアップデートの代表的なものに、以下に説明する「Microsoft Update」があります。また、ワープロソフトや表計算ソフトなどその他のソフトウェアについても、情報セキュリティ上の問題などで修正プログラムが提供されることがあります。これらについても、コンピュータにインストールされているソフトウェアを確認して、それぞれのメーカーのWebサイトなどで定期的にチェックしてください。
また、最近ではソフトウェアのメーカーにユーザ登録をしておくと、プログラムが更新された場合にメールで連絡がくるサービスもあります。使用しているソフトウェアについては、必ずユーザ登録をしておきましょう。
セキュリティホールとは
セキュリティホールとは、OSやソフトウェアにおいて、セキュリティ上の欠陥となる不具合のことを指します。セキュリティホールを放置していると、たとえウイルス対策ソフトを入れて、最新版のパターンファイルに更新していたとしても、ウイルスに感染してしまったり、ウイルス付きのメールを知人に自動的に送ってしまったり、悪意のあるWebサイトを見ただけでコンピュータが破壊されてしまうことがあります。 とくに、インターネット上で公開しているサーバには誰もがアクセスすることができるため、セキュリティホールは必ずふさがなければなりません。 代表的なセキュリティホールに、「バッファオーバーフロー」があります。バッファオーバーフローとは、OSやソフトウェアのプログラムが処理に利用しているメモリのバッフアに入りきらない量のデータが渡されることで、予期しないような動作が実行されたり、システムが停止してしまったりすることです。
Microsoft Update
Windows Vista やWindows XPなどのWindows系のOSでは、修正プログラムを自動的に適用するための「Microsoft Update」という機能が導入されています。タスクバーの右下に「アップデートの準備ができました」というメッセージが表示された場合は、自動的にアップデートする機能が準備されていることを表します。その場合には、そのメッセージをクリックして、画面上の指示に従って操作してください。 Microsoft Update(マイクロソフト株式会社)
http://www.update.microsoft.com/microsoftupdate/
その他のウイルス対策
ウイルス対策ソフトを使用するだけでなく、更に以下のような対策を加えることも効果的です。
しかし、拡張子を表示しないことによって、ファイル名で見分けられるはずのウイルスをうっかり実行してしまう可能性があります。
※上記は、Internet Explorer 6の場合の設定画面です。
すべての拡張子を表示させる(Windowsの場合)
Windowsでは標準の状態で、ファイルの拡張子が表示されないようになっています。これは、初心者が誤って拡張子を変更してしまい、ファイルが使用できなくなるといった事態を防ぐためです。 しかし、拡張子を表示しないことによって、ファイル名で見分けられるはずのウイルスをうっかり実行してしまう可能性があります。
例えば、aaa.txt.exeというファイル名の場合、拡張子はexeになります。しかし、拡張子を表示していない場合、aaa.txtという名前のみが表示され、テキストファイルと誤解する可能性があります。もしもaaa.txt.exeがウイルスを含んだ実行ファイルであった場合、テキストファイルのつもりで実行したためにウイルスに感染するという事故につながります。
常に拡張子を表示するように、Windowsの設定を変更しておけば、間違ってウイルスに感染しているファイルを実行する可能性を低くすることができます。
Internet Explorerのセキュリティレベルを「中」以上に設定する
Internet Explorerにはセキュリティレベルを設定する機能があります。
- セキュリティレベルは標準の状態で「中」に設定されている
- セキュリティレベル「中」では、安全性の疑われるActive-X コントロールやJavaアプレットを含んだページへアクセスしようとすると、実行する前に警告メッセージが表示される
※上記は、Internet Explorer 6の場合の設定画面です。
〔出典: 小規模企業のための情報セキュリティ対策(IPA)〕
〔出典: IPA対策のしおりシリーズ (IPA)〕
〔出典: IPA対策のしおりシリーズ (IPA)〕
フィッシング詐欺対策
フィッシング詐欺は、ユーザを騙すことによって成り立っています。したがって、怪しいメール、リンク先、Webサイトは、まず疑ってかかることが原則です。フィッシング詐欺の被害に遭わないためには、以下の点に注意しましょう。
- メールの送信元(差出人)を安易に信用しない
- メールの内容を安易に信用しない
- リンクを安易にクリックしない
- 入力前に本物のサイトかどうか確認する
- アドレスバーに正しいURLが表示されているか確認する
- SSL接続を示す錠アイコンがないWebサイトに個人情報を入力しない
出典: 情報セキュリティ読本改訂版 (IPA)〕
その他のセキュリティ対策
ワンクリック不正請求対策
- 信頼できないWebサイトへはアクセスしない 一般サイトを閲覧中にアダルトサイト等が表示されても、好奇心や興味本位でボタン等をクリックしないで、絶対にそれ以上先に進まないようにしてください。
- 請求があっても、基本的には無視をする
- Webサイトの利用契約が成立するためには、料金が明示された上での利用の意思確認が必要です
- ワンクリックでは個人を特定する情報を、Webサイト側で把握することはできません
- 心配な場合は、最寄りの消費生活センターや国民生活センター等に問合せ、自分だけの判断で安易に入金しない
ファイル共有ソフトからの情報漏えい対策
ファイル共有ソフトからの情報漏えいを防ぐには、次のような対策が考えられ、それらを組み合わせて実施することが有効と考えられます。
- 職場のパソコンだけでなく、自宅のパソコンにもファイル共有ソフトはインストールしない
- 職場のパソコンに許可無くソフトウェアを導入しない、または、できないようにする
- 職場のネットワークに、私有パソコンを接続しない、または、できないようにする
- 自宅に業務データを持ち帰らない
- 職場のパソコンからUSBメモリやCD等の媒体に情報をコピーしない、またはできないようにする
- 漏えいして困る情報をメールで送らない、または、送れないようにする
- ウイルス対策ソフトを導入し、最新のウイルス定義ファイルで常に監視する
- 不審なファイルは開かない
USBメモリ感染型ウイルス対策
基本的な対策
- ウイルス対策ソフトのウイルス定義ファイルを常に最新の状態に更新して、リアルタイムのウイルス検知機能を有効にしておく
- パソコンだけでなく、USB メモリに対しても定期的なウイルスチェックを行う
- ぜい弱性を突かれてのウイルス感染を防ぐため、OS、アプリケーションを常に最新の状態に更新して、ぜい弱性を可能な限り解消する
USB メモリの利用における対策
- 自身が管理していない USB メモリや所有者の不明なUSBメモリは、自身のパソコンには接続しない
- 自身が管理していないパソコンや不特定多数が利用するパソコンには、自身の USB メモリを接続しない
- 自宅から職場にウイルスを持ち込んだりしないよう、個人所有の USB メモリを会社のパソコンに接続しない、また、会社所有の USB メモリを自宅のパソコンに接続しない
USB メモリの自動実行機能を停止する
USB メモリ感染型ウイルスは、Windows の自動実行機能を利用して感染することは、前述のとおりです。Windows の自動実行機能は利用者にとっては便利な機能ですが、ウイルスに悪用されると非常に危険であるため、USB メモリを接続しても自動実行しないように設定することをお勧めします。多少不便ですが、ウイルス感染の被害に遭わないためには有効な対策となります。 設定方法については、以下のホームページを参考にしてください。 【参考】 http://www.ipa.go.jp/security/txt/2008/12outline.html
〔出典: 情報セキュリティ読本改訂版 (v)〕
〔出典: IPAホームページ ウイルスの発見届出状況〕
〔出典: IPAホームページ ウイルスの発見届出状況〕
その他インターネット利用時の対策
■ 業務に関係の無いサイトにアクセスしない
企業のインターネット環境は、業務のためのものです。情報倫理の観点からも業務目的のみでの利用を行う必要がありますが、悪意によって不正な処理が組み込まれたページにうっかりアクセスしたりすることのないよう、業務に関係のないページは閲覧しないようにしましょう。
■ 不審なメールを開封前に判断する
以下のようなメールは、ウイルスや不正なコードを含んでいる可能性があります。受信しても、開封しないようにしましょう。
- メールの標題(Subject)が空白、文字化けしている、外国語である
- 差出人に覚えがない、あるいは海外からのメールである
- 本文が空白で添付ファイルがある、外国語で書かれている、不審な添付ファイルがある
| クライアント 事例 | パソコンでできるセキュリティ対策 |