テレワークを導入する企業が増えている。会社に行かなくても仕事ができることはメリットである一方で、自宅で仕事をする場合はこれまでとは違った対応が求められる。その代表的な例として、セキュリティがある。安心してインターネットを利用するために、セキュリティの基礎を学ぼう。
*少し難しい内容ですが、知っておきたい基礎知識です。ぜひご活用ください。
会社では、情報システム部門があり、社外とのネットワークを整備し、その通信を監視している。当然、攻撃を受ければすぐに状況を把握でき、コンピューターウイルスに感染すれば、すぐに対応できる。しかし、自宅では誰も監視してくれないため、それぞれがセキュリティについて意識して、対応する必要がある。
上の図のような環境で、会社の環境に自宅から接続して仕事をする「利用者」の立場で知っておきたい基礎知識と、最低限やっておくべき基本的な対策として、どんなものがあるだろうか。
知っておきたい基礎知識1:パスワードの管理
ここではWebアプリを使う時のパスワードについて考えてみよう。
パスワードを狙う攻撃として、「総当たり攻撃(ブルートフォース攻撃)」が有名だ。ログインするときのIDは固定して、パスワードを順に試す攻撃で、パスワードが数字4桁であれば、1つのIDに対して「0001」「0002」「0003」と順に試していけば、そのうち正しいパスワードと一致して、ログインできてしまうだろう。
このような総当たり攻撃に対しては、「長く複雑なパスワード」を設定することが有効だ。例えば、8文字以上で、大文字小文字、記号や数字を組み合わせて設定する方法がよく使われる。
しかし、長く複雑なパスワードを設定していても、パスワードが漏れていると意味がない。同じIDとパスワードのペアを複数のサービスで使いまわしていると、一箇所でパスワードが漏えいするだけで、他のサービスでもログインされてしまうのだ。この場合は長く複雑なパスワードを設定していても無駄で、「同じパスワードを使いまわさない」ことの方が重要。
同じパスワードを使いまわさなくても、そのサービス自体からIDとパスワードのペアが漏れてしまうと意味がない。そこで、二段階認証や二要素認証がよく使われる。
二段階認証では、IDとパスワードを入力した時に、スマートフォンなどに認証コードを送信して、それを追加で入力する。これにより、IDとパスワードのペアが漏れても、スマートフォンを持っていないと認証コードを受け取れないのでログインできないのだ。最近のWebアプリは二段階認証に対応しているものが増えているので、必ず設定しておきたい。
二要素認証は、記憶情報と生体情報、所持情報から2つを組み合わせる認証方法のこと。銀行で暗証番号が数字4桁で問題ないのは、通帳やカードを持っているからだ。この通帳やカード、パソコンや携帯電話、といった「持っているもの」を「所持情報」という。
また、IDやパスワード、秘密の質問といった「覚えているもの」を「記憶情報」、指紋や静脈、虹彩といった人間の体に関する物を「生体情報」という。これらを組み合わせることで、IDやパスワードが知られても、他の要素を手に入れることが難しいので、安全に使えるのだ。
知っておきたい基礎知識2:暗号化
データの内容が第三者にはわからないようにするには暗号化と呼ばれる技術が使われる。暗号化が使われる場所としてわかりやすいのがネットワークの暗号化で、オンラインショッピングサイトなどで見かける鍵マークがそれにあたる。
暗号化されているかどうかは、URLがhttpsで始まっていることを確認したり、鍵マークを確認したりする方法がある。ただし、あくまでもそのサイトとの通信が暗号化されているだけなので、メールなど、Webブラウザ以外のソフトでは暗号化されない。
そこで、テレワークなどで会社に接続する場合には、VPNという仕組みを使うことが多い。VPNはVirtual Private Networkの略で、名前の通り仮想的にプライベートなネットワークを作る仕組みのこと。つまり、自宅から会社、本社から支社といった通信をネットワークごと暗号化して、盗聴できないようにしている。
知っておきたい基礎知識3:外部からの不正アクセス
自宅で仕事をするときも、インターネットに接続している以上、外部から攻撃を受ける可能性がある。もし、セキュリティの設定に不備のある機器があると、そこを狙われる可能性があるのだ。
自宅でインターネットに接続するにはルーターを使うので、このルーターで防ぐことが重要だ。基本的にはルーターが持つファイアウォールという機能を使い、外部からの通信をブロックして、内部からの通信だけを通す。
パソコンが備えているファイアウォール機能を使う方法もあり、ルーターを超えた後で他のパソコンからの通信を防ぐために使われる。Windowsに搭載されている機能で、多くの場合は初期設定のままで十分だろう。
ただし、ファイアウォールを超えて中に入ってくるものがある。代表的なものがウイルス。メールの添付ファイルやメールの本文に書かれているリンクをクリックして感染するので、ファイアウォールでは防ぐことができない。他にも、USBメモリをパソコンに接続するだけで自動実行されて感染するタイプもある。
これらの対策としては、基本的にはウイルス対策ソフトを使うが、不審なファイルは開かない、リンクはクリックしない、不審なUSBは接続しない、といった対策が求められる。
やっておくべきこと:ソフトウェアの更新
上記の内容を踏まえて、設定しておくべき内容を紹介しよう。設定しているつもりでも、できていない場合があるので、ぜひもう一度確認していただきたい。
まずはソフトウェアの更新プログラムで、修正プログラムやセキュリティパッチとも呼ばれる。セキュリティ上の不具合が発見された時に、そのソフトウェアを開発したメーカーから無償で提供されるソフトウェアを指す。セキュリティ上の不具合が修正されるだけでなく、機能が追加される場合もあるので、提供されれば基本的には適用しておこう。
Windowsの「Windows Update」だけでなく、OfficeやChrome、Adobe Reader、ウイルス対策ソフトのような、よく使われているソフトウェアも、最新に更新されているか確認しよう。
なお、更新プログラムが提供されるには、そのソフトウェアのサポート期限内である必要がある。期限を過ぎると更新プログラムが提供されないので、自分が使っているソフトウェアがいつまでサポートされるのかも知っておこう。
意外と知られていないのが、ルーターや複合機といった機器。パソコンはWindows Updateを適用していても、ルーターは購入してから一度も触っていない、という人は多い。このような機器にもソフトウェアが使われていて、更新プログラムが提供されている。
特にルーターはインターネットに直結していて、外部から攻撃を受けるリスクが高いのに、忘れられていることが多い。ルーターの説明書をみて管理画面にログインし、更新がないか定期的に確認してほしい。
最近はルーターだけでなく、複合機やWebカメラ、スマートスピーカーなどネットワークに接続している機器もある。これらを狙った攻撃も増えているので、必ず更新を確認しよう。
より詳しく学びたい方は「らしく学ぶ」より動画をご覧ください。
https://www.r-staffing.co.jp/rasisa/entry/202012184689/
執筆:増井 敏克(ますい としかつ)
