リスク政策
千葉科学大学危機管理学部 粕川正光氏
いまや、インターネットが基本的な社会インフラの一つとなって久しい。常時インターネットに接続されたスマートフォンもすっかり身近な存在となり、我々を取り巻く情報環境は、人類史上で考えてももっとも充実した状況となっていることは疑いの無いことである。しかしながら、インターネットが一般的になり、多くの人々が常時情報端末を活用している現代であればこそ、インターネットや情報端末の利用について、個人間の情報リテラシーの格差が大きくなってきていることもまた疑いの無い事実である。
このような状況下で重要となるのは、情報セキュリティの問題である、筆者は大学で学生に対して情報セキュリティに関する授業を担当しているため、学生に関して話題に挙げさせていただくが、学生たちも情報セキュリティに関する関心は極めて高く、学生の多くが、自らが安全・安心にPCやスマートフォンを利用したいという強い動機を持っている。しかし、独立行政法人情報処理推進機構(以降、IPAと略す)の調査など[1][2]によると、大学生などを含む10代,20代の若者たちは、またパスワードの管理やセキュリティソフトウェアの活用などの基本的なセキュリティ対策について、それ以上の年代の者と比較しても不十分な認識・対応を取っている傾向が示されている。このことは筆者が学生と接しての実感ともよく符合している。大学生の間では、LINEなどのSNSによるメッセージのやりとりが中心であり、従来の電子メールの持つ汎用性の高さや枯れた技術ゆえのメリットなどを十分に理解していないケースが多い。また、セキュリティ対策に関して、受け身な考えを持っているものが多く、自らが積極的にセキュリティを高めようとはしない傾向を持つ者が多く見受けられる。もちろん、これらは大学生全員にあてはまるものではなく、中にはセキュリティ対策を率先して行ってゆこうとする意欲的な学生も多く存在する。しかし、そのような意欲的な学生と、そうで無い学生の間とでは次第に知識や実践的な経験において格差が広がってゆき、卒業の頃には情報関係の知識やスキルにおいて大きな格差が見られる。このことは、大学教育における、重要な課題であると考えられる。
しかし、そのような問題は学生だけに見られる傾向では決して無い。仕事上の必要性の違いや、立場の違いなどはあるものの、社会人であったとして、必要最低限とされるセキュリティ知識を持っていない人や、そういう知識に関心を持とうとしない者は少なからず見られる。そういう点は、学生も社会人も同じであるといえる。
情報セキュリティ対策5箇条
情報セキュリティ対策として、どのような点から始めるべきであろうか。IPAは、2019年3月に、中小企業向けのセキュリティガイドラインを改訂した[3]。これは、多くの企業がセキュリティ人材の不足に悩んでいる現状を踏まえ、従来のものよりも実践的な内容となるよう改訂されたものである。その中で中小企業が最初に取り組むべき最低限のセキュリティ施策として5点を提案している。この5点は、中小企業だけでなく、個人が理解すべき最低限のセキュリティ対策として有用な内容である。以下にその5点を紹介する。
- OSやソフトウェアの最新アップデート
OS やソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに 感染してしまう危険性があります。お使いの OS やソフトウェアには、修正プログラムを適用する、もしくは最新版 を利用するようにしましょう。 - ウイルス対策ソフトの導入
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス 対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。 - パスワードの強化
パスワードが推測や解析されたり、ウェブサービスから流出した ID・パスワードが悪用されたりすることで、不正に ログインされる被害が増えています。パスワードは「長く」、「複雑に」、「使い回さない」ようにして強化しましょう。 - 機密情報の共有設定の見直し
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を 覗き見られるトラブルが増えています。無関係な人が、ウェブサービスや機器を使うことができるような設定に なっていないことを確認しましょう。 - 脅威・攻撃の手口を知ること
取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。
この5項目である。これは、中小企業向けのガイドラインの一部であるが、これぐらいの内容はセキュリティ担当者でなくても、ユーザーひとりひとりも押さえておくべき内容であるといえる。
1)と2)について、サイバー攻撃の多くは、過去に明らかになっている脆弱性を悪用して行われるものであるため、OSやソフトの更新をしっかり行い、セキュリティソフトを導入してしっかり更新して運用するだけで、攻撃の大半を防ぐことができる。2017年5月に世界的な脅威となったランサムウェアWannaCryなども、脆弱性を突いたものであり、アップデートされているPCにはほとんど感染例はみられなかった。アップデート作業を行うことを面倒に感じる向きもあるかもしれないが、そのような気持ちは抑えていただきたい。
4)と5)も重要な点である。重要な個人情報や仕事関係の情報などの機密情報は企業・個人を問わずだれでも扱っている情報である。それらの情報を誰でも触れるようにはしない、あるいはネットワークからは切り離して保管するなどの対策を取ることや、攻撃の手口に関する情報をニュースやメルマガなどから学ぶなどの対応が挙げられる。
3)のパスワードについては重要な点であるため、いくつかの話題をとりあげる。第一の対策はある程度長く複雑なパスワードを用いることである。しかし、あまりに複雑過ぎるパスワードは利便性を著しく損ね、結局使わなくなってしまうなどの問題が発生しやすい。そのため、近年では機械的に生成したような複雑なパスワードを使うことは避け、人間にとって扱いやすい、ほどほどな複雑さと長さをもつパスワードを利用することが推奨されるようになってきている。専門家によって主張は異なるが、十分な長さがあれば、大文字小文字だけでも十分な安全性があることや、Oと0やSと$などの機械的な文字の置き換え手法はセキュリティ対策として不十分であることなどが指摘されるようになってきており、好きな単語を3、4個組み合わせたような、より記憶しやすくて長いパスワードを用いる方が安全性が高いという主張が行われるようになってきている。近年筆者が学生に指導している内容は以下のようなものである。「・基本的に12文字以上で、できれば16文字程度にする。」「・最低限、大文字・小文字は混ぜる。数字または記号はできれば1つ以上入れる。」「・一例として、ある程度は長く、全く関係の無い単語を2つ選び、数字か記号でつないで単語の途中をいくつか大文字にする。」異論もあると思うが、このやり方でも一定の安全性を持つパスワードを作成することができるといえる。
もう一つ、重要なのがパスワードを使い回さないことである。どこか1つのサービスから認証情報が漏えいした場合、他のサービスにも不正にアクセスされ、被害が拡大する恐れがある。パスワードの使い回しは著しくセキュリティリスクを高めることが知られており、基本的にパスワードを複数のサイトで使い回すことは避けるべきである。しかし、そのために大量のパスワードを管理することは現実的ではないため、IPAではコアとなるパスワードにサービスの頭文字をつける方法などが紹介されている[4]。必要に応じて参照していただきたい。
もしもシステムが許すのであれば、スマートフォンを利用した2段階認証や、指紋などの生体情報認証などの方法を積極的に利用することも考慮すべきである。パスワードを用いた方法と比較して、それらの認証方法は安全性が高いといえるため、利用可能な状況では積極的に活用してゆくべきであるといえよう。
以上、個人でも身につけてほしい情報セキュリティの話題について、最近の動向などにも触れながらとり挙げてきた。情報セキュリティの問題は、非常に広範囲にあたり、変化もめまぐるしいため、専門家以外にはなかなか最新の動向を押さえることは困難である。しかし、どんなにセキュアなシステムを構築したとしても、結局のところ一人ひとりのユーザーがセキュリティ意識をしっかり持たない限り、情報セキュリティの問題をなくすことはできないことは確かである。本稿で取り上げたような内容は基本的なものではあるが、頭では理解していても実行できていない方が意外と多いものである。車を運転する際には、道路法規を理解したうえで安全意識をもって運転することができて、初めて運転免許が与えられ公道を走ることができる。それと同様に、いまや基本的なインフラとなったインターネットを利用する際には、適切な知識とセキュリティ意識をしっかりもって活用してほしい。
[1] 2018年度情報セキュリティの脅威に対する意識調査-調査報告書― https://www.ipa.go.jp/files/000070256.pdf
[2] 文系大学生の IT セキュリティ意識と実践に関する調査, 第16回情報科学技術フォーラム, 2017
[3] 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/keihatsu/sme/guideline/
[4] 不正ログイン被害の原因となるパスワードの使い回しはNG ~ちょっとした工夫でパスワードの使い回しを回避~ https://www.ipa.go.jp/security/anshin/mgdayori20160803.html