Registered 2022.11.10 Update 2023.05.21  自己防衛:必須なIT知識とQ&A

目次

一般的なセキュリティ対策

ウイルス対策

端末内を遠隔操作できるアプリをユーザーの意図しない方法でインストールしたり、端末の誤作動を起こさせるなどの悪行を行うプログラムがウイルスです。
メールの添付ファイルやUSBなどの外部メディア、Webサイトなどから感染します。

主な感染予防は3つあります。

不正アクセス対策

意図しないアクセスをしてくる攻撃手法です。
通常はパスワードが無いと見えないWebサイトデータや企業のサーバに意図しない方法でアクセスしてデータを盗み出したり、荒らしていく攻撃手法です。
無線LAN経由の手法も増えています。
ファイアウォールで対策できますが、パスワードの不定期な変更も有効な対策です。

個人情報漏洩対策

個人を特定できる情報を漏洩させてはいけません。
情報をバラバラなデータに変更して保存しても、「集めると個人情報になるデータ」も個人情報保護法における個人情報の対象になりました。

例えば以下のデータベースが対象になります。

一昔前はデータベースAだけでは個人が特定できないので、個人情報ではありませんでした。
しかし、これらを連結すると個人が特定できるので、データベースA単一で個人情報扱いになりました。

火災や災害などからの機器の故障対策

外部メディア、クラウドサーバなどにバックアップを取っておけば、メインサーバが火事で焼けても復元できます。
このように重要なデータは複数の場所に保存しておくことが推奨されています。

ちなみに、クラウドサービスで顧客5000社以上のデータをふっとばし、ろくすっぽ復旧できなかった「ファストサーバ事件」もあるため、クラウドサービスだけで運用しないほうが良いです。
当時はネットの大騒ぎを見ながら「大変だなぁ、使って無くて良かった」と呑気にしていましたが、巻き込まれた方々の奮闘やその後の対応等を見て、クラウドは失っても問題ないように利用するもの、と改めて認識させられました。依存は禁物です。

近年多くなった攻撃手法

標的型攻撃メール

特定企業など目標を持ってターゲットに狙いを定めた攻撃の内、メールを使ったものが「標的型攻撃メール」です。
最近はランサムウェア被害が急増しています。

ランサムウェア

コンピュータウイルスの1つ。
パソコンや対象サーバのファイルを暗号化し使えなくした後、「暗号解除キーがほしければ金を払え」と金銭を要求する手法です。
お金を払ったからと言って大人しく暗号解除ができるとは限りません。

スパイウェア

スマホアプリで増えているのがコレ。
ユーザーに意識させず、パスワードキーなどの入力情報を勝手に収集してアプリ作成者が用意したサーバに自動転送する「キーロガー」はよくありますね。

他にも端末内のデータを勝手にコピーする、銀行系アプリやSNSなどのログイン画面のスクリーンショットを勝手に撮影してサーバに送ってしまうなどの悪行も行っています。

フィッシング詐欺

例えばSNSやショッピングサイトのログイン画面によく似た画面を表示し、ユーザーが入力した情報を取得する詐欺サイトがコレにあたります。
お知らせメールを装った情報でユーザーに誤認させて不正アドレスに誘導するため、「餌で獲物を釣り上げる」を連想させることから「フィッシング詐欺」と言います。

ワンクリック詐欺

誘惑のある文言でユーザーを釣り、特定のURLをクリックさせ、「契約成立です。お金払って」と表示して金銭を要求するサイトなどがコレにあたります。
個人情報を入力していないなら無視してOKです。

何かの情報を入力して送信行為を行ったら、その情報は詐欺師の手の中にあるので「独立行政法人国民生活センター」や自治体の「消費生活センター」に相談ください。

Webサイトの改ざん

一般ユーザーには馴染みありませんが、サイト作成業務を手掛ける人は要注意です。
サイトを勝手に書き換えたり、サーバ内の非公開情報を公開されたり、サーバ内の情報を持っていかれたり、サービスが使用不可になったりと散々な目に合わされます。

管理者以外も知っていくこと

システムで制御できる範囲には限りがあるため、企業では従業員に教育を行います。
攻撃手法等はすぐに新しいものが出現するため、知識のバージョンアップが必須です。
しかし、だれもがそれらを記憶し、ルールを遵守するとは限りません。

そのため企業などの管理者が「ユーザーの操作情報を監視・収集」します。
ユーザーのやらかしで情報漏洩や攻撃の援護をしていないか、ユーザー自身の利益のために情報を他者へ漏洩していないかなども含め、管理者はリスクを抑えるために監視と情報収集を行います。

人のあら捜しや監視が大好きな管理職が権限を振りかざして導入することもありますが、基本は「リスクの抑制」と考えてください。

企業などに使われる側は「雇用側のシステムやデータを使用しているときは監視されて当たり前。むしろ問題が起こった時に自身の潔白を証明する手段」くらいに思っておきましょう。

トップへ