(92)
情報マナー・クリニック
── 情報セキュリティーに関するマナー
サイバー攻撃による被害が甚大になってきている。
大企業のコンピュータから機密情報が外部に密かに転送されたり、国会議員とその関係者のコンピュータ上から長期間に渡ってメールが読み取られていたという事件も起こっている。しかも聞くところによると、その事件が発覚しIDとパスワードが盗まれたことが明白になっているのに、関係者の多くがそれを変更しようともしなかったという。当事者が、情報漏洩に関する危機意識を全く持っていないことを示すものであろう。
サイバー攻撃の内容も変わってきた。以前はアノニマス集団に代表される(ブラックハットの)ハッカー達が、自己の技術力を誇示したり、情報を盗んだり、社会を混乱させることを目的とした愉快犯的な行為が主流であった。しかし最近は、何らかの(国家をも含む)集団による悪質な情報奪取、破壊行為が増えてきている。まさにサイバー戦争の様相を呈してきている。特に社会インフラに関わる製品群が対象になっているらしい。以前は、そういう製品は企業ごとに独自のソフトウェアを用いて開発、運用されてきたが、最近は共通ソフトが使われ、主要な部分はどの製品も同じ物を含んでいる。しかもすべてインターネットに接続されている点が、サイバー攻撃の対象にされやすい原因なのであろう。
サイバー攻撃で被害を被るのは、ちょっとした不注意やミスが切っ掛けとなることが多い。組織に属する人間(成員)は、たとえ自分が機密情報に接する機会がなくても、常に組織全体の情報を守ろうという強い意識を持って行動することが求められる。
どんな組織も、ファイアーウォールを設けて外部からの攻撃に備えているものである。その組織の成員は、自分の使うコンピュータ上のOSを常に最新の状態に保ち、ウイルス対策ソフトも常備してセキュリティー対策を万全の体勢にしておかなければならない。
こういった仕組みだけに注目すれば、安全策は何重にも張り巡らされているのが普通である。しかしそこで働く成員が、情報セキュリティーに関する高い意識を持ち日々の業務でそれを実践していない限り、幾重にも張り巡らされた安全策であっても簡単に破られてしまう。一度狙われたら、容易にサイバー攻撃に対し無防備な状態になってしまう組織が多いのではなかろうか。
つまり、仕組みを作っただけでは安全は保てない。その仕組みの中で仕事をする成員が、安全対策を抜かりなく実践していなければ意味がないのである。更に言えば、組織の成員が自分の担当する分野にしか関心を向けず「この程度の対策でいいだろう」と勝手に判断していたのでは、実は不十分なのである。その組織が保持する最高レベルの機密情報を守ることができるような対策を、組織の成員全員で実行するという“気概”が求められるのである。
安全対策を実施する上での最大の障害は「気のゆるみ」であろう。最悪の事態になる「はずがない」といった思い込み、あるいは若干のミスや手抜きをしても事故は起こらなかったという過去の経験にもとづく過信。それらが日々積み重なっていくと、次第に「まっ、いっか」と“見過ごし”と“手抜き”の習慣を身に付けるようになる。こういった「気のゆるみ」を排除し、組織として常に「緊張感」を維持し続けるのは大変に難しいことである。
安全対策に関する知識をいくら身に付けても、実践しなければその対策は何の意味も持たない。
幾重にも安全策が張り巡らされた環境の中で仕事をしていると、少しくらい気を抜いても事故は起こらない。日々の実務を通じてそのことを体感し続けるうちに、この種の「気のゆるみ」が次第に増幅され、伝染・蔓延していく。こうして安全策を講じてきた組織であっても、あるいは幾重にも張り巡らされた安全機構を持っているが故にと言うべきか、皮肉なことに次第に緊張感が消失していくのである。
したがって我々は、自分の経験だけではなく他者の経験から日々学び続けることにより、常に外的な刺激を受けことが必要になる。「愚者は(自分の)経験に学ぶ。賢者は歴史(つまり他人の経験)に学ぶ」ということであろう。自分の経験より他人の失敗経験に学ぶという姿勢が、組織での「気のゆるみ」を防止する上で必要になるのではないかと思う。
私が勤める大学で、学生達がセキュリティー対策をしっかりとやっているかどうか、私は時々質問したり確認したりすることがある。しかし私が期待するようなセキュリティー対策を実践している学生は少ない。普段から安全な環境にいると信じて、その中でコンピュータを利用しているからであろう。
そこで私は、各自が最低限実行すべきセキュリティー対策を教えることにした。自分が、他者の失敗を参考にして長年築き上げてきた対策法を「情報マナー」としてまとめたものである。それを参考までに、以下に列挙してみよう。
大きく分けて以下の6項目を、各人が日々実践することを勧めたい。
・拡張子をよく見る
・パスワードの扱い方
・ファイルの開き方
・メール受信の仕方
・添付ファイルの扱い方
・USBメモリの扱い方
<情報マナー・クリニック>
◆(1)拡張子をよく見る
▼ファイル拡張子を常に表示する
ファイル拡張子を常に表示し、ファイルの種類をよく見る習慣を身に付ける。エクスプローラ等でファイルを扱う場合、拡張子(*1)が表示されていないと危険なファイルを誤って実行してしまうことがある。
例えば“ご案内.txt”というテキストファイルがあったとする。これをダブルクリックして表示しようとしたとき、実は拡張子の“.exe”が隠されていると、実際は“ご案内.txt.exe”という得体のしれない実行ファイルが起動されてしまうことになる。
【注】(*1)拡張子を常に表示するには、 [ツール]・[フォルダーオプション]から[表示]タブを選び、その最下段から3番目にある
□登録されている拡張子は表示しない
のチェックをはずして off の状態にする。
▼拡張子からファイルの危険度を知る
常に拡張子をよく見て、拡張子からファイルの危険度を知ることが重要である。「プレーン・テキスト以外は危険」と思うべし!
◆(2)パスワードの扱い方
▼安全なパスワードを使う(長さ、字種)
パスワードの長さは、必ず10文字以上とする。英字、数字、特殊文字を、それぞれ混在させる。英字も大文字と小文字を混ぜるとよい。
▼同じパスワードを使いまわししない
誰しも、いろいろな場所で同じパスワードを使い勝ちであるが、一つ破られると被害が拡大する可能性がある。したがって、必ずそれぞれ異なるパスワードを使うようにする。
▼パスワードは定期的に変更する
一定期間使い続けたら変更する習慣にする。
▼パスワードを無闇にメモに残さない
手帳やメモ用紙、あるいは預金通帳等に不用意にメモを書き残さない。
これらの注意事項は誰でも知っていることばかりである。しかし、いずれも“言うは易く、行うは難し”である。
これらをすべて実践するには、それなりの技術とコツが必要になる。しかし、その方法はここには記さない(*2)!
【注】(*2)ここに書き記すのは、自分のパスワードを世間に公開するようなもので、愚かな行為というべきであろう。ご理解いただきたい。
しかしハイパー攻撃の現状は、そうも言っていられない事態になってきている。そこで私は(教師としての使命もあるので)授業を受けてくれた学生達に限り「他言無用!」という条件をつけた上でそのやり方を紹介している。その説明をした後で、最初の4項目、
図1
をもう一度スクリーン上に表示して、このいずれもが容易に実現できていることを確認させる。それに対し今まで異議は出ていないから、多分彼らは納得してくれたものと思う。しかし、学生達が本当にこれを実践しているかどうか、残念ながら、それは確かめようがない。
◆(3)ファイルの開き方
外部から手に入れた未知のファイルは、必ずウイルス検査してから開く。これが基本である。しかし… つい 忘れて、いきなり開いてしまうのが常ではないかと思う。ダブルクリックしてしまってから、「あっ!」と叫んでも間に合わない。しかも幸か不幸か、それで何事も起こらないケースの方が圧倒的に多いから、それを体験し続けていくことによりただ「気のゆるみ」を育む経験のみが積み上げられていく。
それでは、どうしたらよいか考えてみよう。それには、ファイルを開くとき、常に次のような手順を踏む“習慣”を身に付けることが必要である。
▼右ボタンクリックで開く:
ファイルは、常に右ボタンクリックで開く習慣にする(これを右クリック開きと呼ぶことにしよう)。
外部から取り込んだ安全性が担保されていないファイル類に対しては、必ずウイルスチェックが必要である。右クリックで表示されるメニューから[送る]を選びウイルスチェックプログラムへ渡すか、あるいは[ウイルスチェックプログラムへ]が登録されていれば、直接選択して検査すればよい。
さて、ファイルに対して“右クリック開き”をする習慣が身に付くと、メニュー上にある[ウイルスチェックプログラムへ]の表示が目に入るから、一瞬「待った」が掛かり、いきなり開いてしまう愚を避けるのに有効なのである。
▼ダブルクリックで開く場合:
しかし“ダブルクリック開き”の方が遥かに便利である。自分の作ったファイル、あるいは日々使い慣れていて安全性が担保されているファイル類は、通常通りダブルクリックで開くようにする。
◆(4)メール受信の仕方
▼常にテキスト形式で受ける
メーラーを使って受信したメールを表示する場合、常にテキスト形式で表示するよう設定しておく。ただしメーラーの表示は、必ずしもプレーン・テキスト(純粋なテキストそのもの)ではないから、危険がまったくない訳ではない。たとえばウエッブサイトの表記(http://…)は、リンクを張って表示されることがある。不注意にその部分をクリックすると、そのサイトへ移動してしまう危険がある。サイトのアドレス表記のつづりをよく見て、安全性を確認する注意深さが必要である。
▼フィルター(ホワイトリスト方式をベースに)
メーラーの備えているフィルター機能(あるいはメーラーとは別の、独立した迷惑メール対策ツール類の持つフィルター機能でもよい)を活用する。
基本的には既知の差出人からのメールしか受け取らない“ホワイトリスト方式”を活用するとよい。
つまり、フィルターを使って何を「通さないか」(ブラックリスト方式)だけでなく、何を「通すか」(ホワイトリスト方式)を指定する。
▼ウイルス/迷惑メールへの対策
具体的に以下のようにするとよい。長年迷惑メールに苦しめられた結果、私があみだした方法である。
・図2のように、普段自分の使っているメールアドレス(複数可)(これを公開アドレスと呼ぶことにしよう)の他に、誰にも公開していないメールアドレス(非公開アドレス)を一つ用意する。
図2
・プロバイダーの提供する迷惑メールや、ウイルス対策のための機能を積極的に利用する(通常、無料で使えることが多い)。プロバイダーごとに、そしてメールアドレスごとに設定する必要がある(図3)。
図3
・メーラーのフィルター機能を設定する。ホワイトリスト方式を基本に、例外事項もきめ細かく設定する(図4)。
図4
私は、ウェッブアドレスを使ったメールはすべて迷惑メールとして排除している。
更に、差出人が私自身であるメールも、これを迷惑メール(!)として削除してしまっている。つまり自分のアドレスは、ブラックリストに載せ、ホワイトリストには載せていない。これにより“自己アドレス迷惑メール”を確実に排除することができる。詳しくは“自己アドレス迷惑メールを撃退する方法”を参照されたい。
一方、受け取るべきメールを、運悪く迷惑メールとして削除してしまった場合、そのメールだけを探し出す方法は“ごみの分別”に詳述されているので参考にされるとよい。
・多量の迷惑メールを送り付けられている場合は、メーラーを使う前に、独立した“迷惑メール削除ツール”を使って一括して排除してしまう方法を取るとよい(図5)。
図5
・このようにして、三重の迷惑メール排除を行っても、その網をくぐり抜けて来る迷惑メールが存在する。そのような場合は、最後の手段としてメーラーで“選択受信”を行う。選択受信というのは、各メールの文面の先頭10行程度のみを読み取る機能である(この機能を備えたメーラーは少ない。Edix などが便利である)。選択受信は、メール箱の中を“ちょっと覗く”という感じのもので、必要なものだけを指定して受信する。それ以外のものは受信せずに削除してしまう(図6。選択受信は、図では緑色のラインで示してある部分です)。
図6
・迷惑メール削除を徹底すればする程、本来受け取るべきメールを受け取れないという困った事態が発生する可能性が高くなる。そこで、そういうミスが発生しないように日々チェックを怠らないようにする。それには、次のようなチェックシステムを安全弁として設けておくとよい。
・それにはGmailを活用する。Gmailの迷惑メール排除システムは非常によくできているように思う(時々ミスをすることがあるが)。
まず、受信したメールはすべてGmailのアドレス(これも非公開とする)へ転送するよう設定する。Gmailのフィルターをくぐり抜けて受信箱に届いたメールは、すかさず自分の非公開アドレスの方へと転送する。非公開アドレスを通じて受信したメールは、メーラーの振り分け機能で分類し、本来の受信メールの内容と“比較”する(図7)。
図7
この非公開アドレス(転送で用いたGmailのアドレスも含めて)は、決して人に教えてはならない。私の経験では、発行元のプロバイダーが連絡文書を送ってくることがあるので、その差出人アドレスもブラックリストに乗せて排除するよう設定するとよい。
・このようにして構築された私のメール受信体制を図8に示す。普段は、Gmailの受信箱さえ見ていれば、すべての受信状況を把握できる利点がある。
図8
◆(5)添付ファイルの扱い方
▼怪しげな添付ファイルは、取り込まない
未知の人から届いたメールはもちろんのこと、知人から届いたメールも慎重に取り扱う習慣を身に付ける。怪しげな添付ファイルは、決して取り込まないよう注意する。
▼開くときは“ファイルの開き方”のルールに従う
◆(6)USBメモリの扱い方
・他のコンピュータで使う場合の注意
USBメモリを使うのは、ファイルを持ち歩いて出先のコンピュータ上で用いるためであることが多い。その場合注意すべきことは、
▼事前に、USBのウイルスチェックをしておく
USBメモリ上に必要なファイルを書き込んだ際に、必ずUSB本体のウイルスチェックをしておく。できれば、同じものを2本用意しそれぞれ別の鍵を掛ける。
▼信頼できるコンピュータを使う
出先で使うコンピュータは、できるだけ信頼のおけるものを用いる。ウイルスチェックをしてから使うのが理想であるが、現実的ではない。客先などでは、あまり神経質になるのは、礼儀に反する行為とみなされることもある。そういう場合は構わず使うしかない。
▼どのコンピュータを使用したか記録を残す
後で問題になったときのために、使ったコンピュータを覚えておく。機器番号まで記憶するのは無理な場合は、外観、機種、OSのバージョンなどを記憶し、後で識別できれば十分であろう。
▼事後に、必ずUSBのウイルスチェックを行う
出先から戻ったら、その日の内に使用したUSB本体のウイルスチェックを行う。これで問題がなければ、その日記憶したコンピュータのことは忘れても構わない。
もし、ウイルス感染が明らかになった場合は、出先のコンピュータが関係しているのは明らかであるから、すぐさま連絡ししかるべき処置をとる。
しかしウイルスの感染源がどこかを証明するのは難しい。それを第三者に納得させるためには、証拠物件(エビデンス)を残さねばならない。出先のコンピュータで使用したUSBだけが感染し、使用しなかったUSBの方は無傷であることを証明するのである。このとき、2本用意したUSBの内、未使用のUSBメモリーの方が必要になる。ウイルス感染が自分の責任ではないことを示すアリバイ証明になるから大切に保存することが重要になる(これは私の体験に基づくものである)。
最後に、
▼USBメモリに個人情報を含むファイルは書き込まない
個人情報を含むファイルは書き込まない。あるいは、書き込んでも極力持ち歩かないようにする。やむを得ず持ち歩く時でも、必ず鍵を掛けておく習慣にする。
|
このような“情報マナー”は、
知っているだけでは意味がない、
実践して初めて意味を持つ。
貴方(女)も、実践してみませんか。■
[ ]
|
