情報セキュリティ対策研修会
自社診断ツールを利用したセキュリティ指導(前編)
講演者:独立行政法人情報処理推進機構(IPA)登録セキュリティプレゼンター、辻ICT総合利活用研究所 辻 麻友さん
診断編No.1 脆弱性対策
1-1. 最新の状態かチェック
まず、「脆弱性対策」です。パソコンやスマホなどの情報機器のOSやソフトウェアは、常に最新状態にしていますか。
OSというと、たいていの方はWindows、もしくはMac OSと思いがちですが、他にもiPhoneのiOS、iPadのiPad OS、Androidのスマートフォンを使っている場合ならAndroidなどが最新状態になっているかを、確認していただく必要があります。
特にスマートフォンは、Android、iPhone問わず、想像以上に個人情報の塊です。連絡帳などが漏洩してしまったら大変なことになってしまいます。そういうことをなくすためにも、アップデートは必ず早め早めにやっていただく必要があります。
中には「Windowsのアップデートでバグったというケースがあるから様子を見ている」という方がいらっしゃいますが、少なくともマイナーのアップデートは、基本的にバグは少ないです。逆に割と大きいアップデートはバグが多い可能性があるので、1週間ぐらいずらしてみてもいいのかなと思いますが、基本的にはリリースされたらアップデートするのがよいです。
特にWindowsの場合、現在の最新バージョン「25H2」にアップデートしないと、サポート期間などいろいろな問題が出てきてしまいます。
Mac OS、iPad OS、iOSは「26」が出ました。私も26を試しましたが、特段不具合は出なかったので、Apple社のものに関してはそこまで注意しながらでなくてもいいのかなと思います。もし諸事情があって26にできない場合は、「18」もセキュリティパッチが出ていますが、最新版に更新していただくに越したことはありません。
OSの他にも対策しなければいけないところはけっこうあります。先ほど出てきたスマホ、タブレット、パソコンだけではなく、プリンタ、WiFiルーターなどいわゆる情報通信機器と言われているものも対策が必要です。意外と見落としがちなのがカーナビです。例えばナビだとハンズフリー機能が入っていてスマートフォンと連携したりする可能性もありますので、そういうもののファームウェアのアップデートは必ずしていただくとよいと思います。
脆弱性のことを「セキュリティホール」とも言いますが、実際、セキュリティの弱点というものがあります。Windowsの場合、あるセキュリティホールを埋めたら別の穴が空いてしまったというケースがあります。しかし、最近はMicrosoftも割と早めに緊急パッチという形でリリースしたりしますので、とにかく、バグが出るから嫌だというのではなくて、汚染されないためにはセキュリティホールを埋めるためにパッチを当てていただくことが重要です。
実際にソフトウェアに脆弱性があると、不正なコードが仕込まれたウェブサイトを閲覧しただけで、次のような脅威にさらされることになります。
- コンピュータへの不正アクセスが行われる
- コンピュータウイルスに感染させられる、ランサムウェアに感染させられる
例えば、最近のことですと、Windows10のサポートが切れましたが、対策していないとそのWindows10が乗っ取られてしまう可能性があります。まだWindows10を使っていらっしゃる方は早めにWindows11に更新するなり、パソコンを買い替えていただくなりする必要があります。Windows10から11への移行はけっこう面倒なところはありますが、そこは面倒くさがらずやっていただいた方がよいです。
Macの場合はTime Machineという機能を使えば割と簡単にできますが、Windowsの場合は基本的にOne Driveを利用しなければ、外付けハードディスクなどを使ってデータ移行をしなければいけないので、その際にはNASやGoogle Driveなどに重要なものをアップロードしておいて行うという手もあります。
いずれにしても、そのソフトウェア、特にOSに脆弱性があると大変なことになってしまうので、あまり長く放置せずに対策してください。
1-2. スマートフォンやスマートウォッチにも注意
Windows10からWindows11への切り替えもそうですが、意外と見落としがちなのがスマートフォンです。「5年前に買ったばかりなんだけど」ということもあるかもしれませんが、実はスマートフォンは案外OSのサポート期間が短いです。つい最近、Google Pixelが7年に延長されましたが、それ以外のメーカーだと、基本的にメジャーアップデートは3回のセキュリティ対策、セキュリティパッチは5年前までで、実質5年しか使えないというところがあったりします。「まだ使えるんだけど」という気持ちはわかるのですが、個人情報の塊であるスマートフォンに関しては、投資していただく必要があるのかなと思います。
特にAndroidは、メーカーにもよりサポート期間はまちまちなのでお使いのメーカーのサイトに載っているサポート期間をご確認していただければと思います。
それから、忘れがちなのがスマートウォッチです。Apple WatchやGoogle Pixel Watchを使っている方もいらっしゃると思いますが、こういうところにも個人情報、例えば健康データなどがけっこう入っていたりするので、アップデートするなり、サポート切れになっている場合は費用的にもちょっと大変かもしれませんが、買い換えていただくのがよいかと思います。
こうした対策を怠ると、個々のウイルスに感染させられるだけではなく、そのOSごと乗っ取られて、踏み台にして攻撃されるということになってしまいます。インターネットに繋がっている機器には必ずIPアドレスが割り当てられますので、例えばそれが発症元になってしまうと、場合によっては訴訟に繋がるケースがあります。そういうことに巻き込まれないようにするためにも、スマートデバイスと言われているスマートウォッチ、タブレット、スマートフォンなどはしっかり対策してください。
1-3. 脆弱性の解消方法
脆弱性の解消方法は、OSの更新を行うことです。
幸いにしてWindowsもMac OSも基本的に自動更新されるようになっていますし、iPhone、iPad OS、Androidも自動更新されるようになっていますが、もしなんらかの理由で、マニュアルで更新する設定にしている方がいれば、アップデートの確認をしてください。
その他のソフトウェアに関しては、公表された方法で最新版またはセキュリティ更新を適用してください。おそらく多くの皆さんがお使いになっている代表的なソフトとしては、Microsoft Office、Adobe Acrobatなどが主流だと思いますので、そういうものも面倒くさがらずアップデートしてください。
Windowsだけでしか動かないのですが、ソフトウェアが最新バージョンであるかどうかを確認できる「MyJVNバージョンチェッカ」という無償ツールも存在します。
MyJVNバージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/
AndroidやiOSですと、Google PlayもしくはApple Storeのアプリに行けば更新されているかどうかを確認できますので、使っているアプリがちゃんと更新されているかどうかも、時々確認してみてください。
診断編No.2 脆弱性対策
2-1. ウイルス対策ソフトを導入し適切に利用
2番目に、ウイルス対策です。パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか。
まず、パソコンのウイルス対策ソフトですが、市販の、例えばSophosとかトレンドマイクロのウィルスバスターなどを入れた方がいいのか、McAfeeのウイルススキャンソフトを入れた方がいいのか、それともWindowsに標準で入っているMicrosoft Defenderでよいのか。
ここは議論の余地があって、個人的には私は何年間かMicrosoft Defenderだけで運用している環境なのですが、特段問題は起きませんでした。最近の特にWidows10、Windows11から導入されたMicrosoft Defenderは優秀なので、これでも十分なのかなというところはあったりします。
では、スマートフォンなどにウイルス対策ソフトを入れる必要があるのかないのか。個人的にはAndroidを使っていますが、その前まではけっこう長くiPhoneユーザーで、実はiPhoneでは私は入れたことがないです。その代わりアップデートはきちんと行っていましたし、購入もApp Storeからしていました。
2-2. アプリは公式ストアで導入する
つい最近、スマホ新法というものが通って、App Store、Google Play以外の第3のところからもアプリが購入できるようになったのですが、個人的にはそれはあまりおすすめしません。
App StoreがなぜGoogle Playより優れているかというと、監査基準が厳しく、ウイルスやマルウェアが混入しないようにしっかり調査されているからです。ですから、iPhoneやiPadにアプリを導入するのであれば、第3のところを使わず、App Storeで従来通り運用するのがよいと私は思います。
Google Playも昔と比べるとだいぶマシにはなりましたが、それでもやはり漏れているケースは多いです。そこに関してはどうしても防ぎようがないところはあるので、信用性の高いソフトを入れていただくしかありません。
特にAndroidの場合、よく「メモリやキャッシュが満タンです」という画面が出てきて、ポチッとアプリをインストールしてしまった場合、そのアプリ自体にマルウェアが仕込まれている可能性があります。安易にそういうアプリを導入するのではなく、まずは基本的なスマホ対策をしていただくと、それだけでもだいぶ防げます。「このアプリよさそうだな」と思う前に、Google Play のレビューなどを見て、今一度よく確認した方がよいと思います。
スマートフォン、特にAndroidに関しては、ウイルス対策ソフトを入れる入れないは個人の判断にもよりますが、私は今のところ、なくても特に被害なく過ごせています。ただ、ウイルスそのものが入ってくることよりも個人情報流出が怖いので、得体のしれないアプリは入れないことです。
パソコンに関しては、ウイルス対策ソフトの自動保護をオンにしておいて、不審なものを発見したらすぐ駆除するのがよいと思います。ウイルス定義ファイルも基本的には自動更新になっていますので、自動更新をオフにしないようにしてください。
2-3. バックアップは必ず取る
ただ、ウイルス対策ソフトを入れれば万能というわけではありません。あくまでも予防の1つです。しかしこの予防が大事なのであって、全く対策していなければいくらでも感染しますので、まずは感染しないようにウイルス対策ソフトを入れる。入れていても更新していないと新種のウイルスや亜種を取り逃す可能性があるので、ウイルス定義ファイル(パターンファイル)をきちんと更新する。
また、例えばランサムウェアに感染して暗号化されてしまった場合、元に戻る保証は全くないので、後ほどもお話ししますが、バックアップは必ずとってください。翻訳に携わっている皆さんであれば、データファイルはバックアップを取っていると思いますが、間違えて上書きしてしまったという時でもバックアップがあれば復旧できますので、必ずバックアップを取るようにしていただければと思います。
2-4. ウイルスの感染経路
ウイルスの主な感染経路は、次の3つです。
- 電子メールからの感染
- ウェブサイトからの感染
- USBメモリなど外部記憶媒体からの感染
一番多いのは、電子メールからの感染です。得体の知れないメールアドレスから来た添付ファイルを安易に開かないようにしましょう。
ウェブサイトからの感染については、最近はブラウザが優秀になってきて閲覧する前にシャットアウトしてくれるものもあるので、だいぶ減ってはきていますが、まだ感染ルートとしては残っています。ウイルスが仕掛けられたウェブサイトを閲覧して感染したとか、そのウェブサイトからダウンロードしたファイルからの感染などです。
スマホに不正アプリをインストールしてしまって感染というケースは、多くはないですが、Google Playだとあることはあります。AndroidとiOSの決定的な違いは、「サイドローディング」と言われる、自分でこのアプリをインストールすることができるかできないかです。iPhone、iPadの場合は基本的にApp Storeからしかインストールできないようになっているので、App Storeからのみアプリをインストールする。App Storeがゲートキーパーになってくれている感じなので、不正アプリをインストールすることはまずないと思います。
Androidの場合は、サイドローディング、例えばファイル共有サイトのURLからダウンロードしてインストールすることができてしまいます。その中にウイルスが入っていたりすると大変なことになってしまうので、サイドローディングは十分に注意してください。
特に翻訳では、例えばアプリ開発会社から、あるアプリを翻訳してほしいという依頼が来た時に、ベータ版、いわゆる開発中のバージョンが送られてきたりすると思います。そういう時には、送ったのが本当にその会社なのかどうかを確認した上でインストールしないと乗っ取られてしまう可能性がありますので、十分気をつけください。
USBメモリに関しては、最近使われることは少なくなってきましたが、怪しいと思ったら開かないで削除してしまった方がいいと思います。
2-5. 電子メールからの感染に対する予防
電子メールからの感染では、添付ファイルを開くことによる感染、メール本体にあるURLのリンク先のサイトにアクセスしてダウンロードすることによる感染があります。送信者のパソコンがウイルスに感染していることで、送られてくるファイルが感染していたり、添付ファイルがウイルスそのものである場合もあります。
最近は添付ファイルの容量が大きいものを送信する場合、1回どこかに共有して送るというケースがあります。必ずしもその共有するリンクサイトが怪しいかというとなんとも言えないところではありますので、そういうファイルを送信する場合は、できればご自身で、例えばOne DriveやGoogle Drive、Boxなどに共有フォルダを作って、そこにアップロードしていただく方がいいと思います。あるいは、ご自身でメールを送ってそのサイトでダウンロードしてほしいという場合は、パブリックリンクのような形でダウンロード制限が付けられるサイトからダウンロードしてもらえるように設定するとよいと思います。
電子メールからの感染に対する予防としては、以下のような方法があります。
上図の4番目に「メール本文はテキスト形式で表示」とありますが、HTMLに関しては賛否両論あり、私はHTML形式を拒否するというのはどうかなと思います。ただ古いメーラーを使っていると乗っ取られやすいので、どちらかといえばメール本文はテキスト形式で表示することよりも、OutlookやThunderbird、その他のメールソフトをしっかりアップデートしていただいた方が大切だと思います。
2-6. ウェブサイトからの感染と予防
ウェブサイトからの感染には次のようなものがあります。
一番多いのは迷惑メールです。迷惑メールはほぼ9割方が詐欺メールと言っても過言ではないと思います。
それからインスタントメッセンジャーです。SNSにも繋がってくるところがありますが、特にFacebook Messenger、Instagram Messenger、LINEなどに乗っ取りの可能性があるので気を付けてください。
ブログサイトはけっこう有益な情報もありますが、そのブログサイト自体がウイルス感染している可能性があるので、十分に注意していただければと思います。
ウェブサイトからの感染に対して、下図のような予防をしましょう。
悪意あるサイトにアクセスしないためにも、不審なサイトに関する社員教育や情報共有、スマホアプリは公式マーケットなど信頼できるサイトからインストールするなどを心掛けてください。特にスマホは、スマホ新法ができてこれからいろいろなアプリストアが出てくると思いますが、個人的には、iPhone、iPadならApp Store、Androidをお使いならGoogle Playからのダウンロードが感染しにくい方法だと思います。
2-7. SSLサーバ証明書を確認する
特にGoogle Chromeを使っている場合、本物のウェブサイトであることを確認する方法として「SSLサーバ証明書」というものいうのがあります。SSLサーバ証明書とは、ウェブサイトの身元を明示するためのもので、ブラウザの錠マークをクリックすることでサイトの運営組織を確認することができます。
暗号化されてないタイプだと、そもそも拒否されるケースがあるので、SSLサーバ証明書もしっかり確認していただくとよいと思います。不審なサイトを見分ける方法の1つとして有効ですが、誰でも取得できる「SSLサーバ証明書」を使った詐欺サイトもあるので証明書の種類も確認するようにしましょう。
2-8. 外部機器からの感染にも注意
USBメモリやSDカードなど外部機器からの感染と予防に関しては、最近は使う機会もだいぶ減ってきていますが、USBメモリをさすと感染するケースもありますので、OSの「自動再生」機能はオフにしてください。
USBメモリに不正ファイルを仕掛け、利用者を騙して開かせ、ウイルスに感染させるケースもあり、USBメモリの取り扱いには十分な注意が必要です。他にも、SDカードなど各種記憶媒体やウェブサイトからダウンロードしたファイルに、ウイルスが仕掛けられている場合もあります。ウイルスの入ったスマホをケーブルでパソコンに接続して感染することもあり、外部機器の扱いには注意が必要です。
外部機器からの感染に対しては次のような予防ができます。
2-9. ウイルス対策のまとめ
ウイルス対策の最後に、対策をまとめておきます。
特にソフトウェアやアプリ、OSの脆弱性解消をしっかりやっていただくことが重要です。