セキュリティ勘違いによる間違った運用を正す

セキュリティに関しての「勘違いあるある」を正しく認識し、所有するPCやスマホの運用を見直すことで、貴重な情報をサイバー犯より守ることが必要です。

自分だけの被害ならまだ良いのですが、自分の端末が乗っ取られ、そこから他人に犯罪行為を行うという二次被害が出る場合もありますので、最低限のセキュリティを守って利用することが重要です。

勘違いしがちなセキュリティあるあるについて、いくつか取り上げてみました。

パスワードを強固なものにするだけでは不足

現在のWEBサービスでは、IDとパスワードによる本人認証が一般的です。パスワードを強固なものにすることで安全が確保されると思ってしまいますが、それだけでは不十分です。

強固なパスワードにプラスで多要素認証などの仕組みを活用しましょう。

全てのサービスでとは言いませんが、自分にとって重要度の高いサービス、お金やクレジットカード情報を登録しているサービスは多要素認証が必須です。

多要素認証については以下のIPA特設ページで主要な設定方法なども掲載されています。

不正ログイン対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「不正ログイン対策特集ページ」に関する情報です。

www.ipa.go.jp

お金やクレジットカード情報を扱うサービスで、多要素認証の設定ができない場合は、そのサービスは利用しない方が良いでしょう。

また不正ログイン対策全般について以下の動画が分かりやすいです。

多要素認証について簡単に説明すると、「知識情報」「所持情報」「生体情報」のうち2つ以上の組み合わせで認証するものです。例えばパスワードは知識情報です。パスワードを入力した後で、指紋認証を求められることがあるかと思いますが、これは生体情報になります。

パスワードを強固なものにしても、その情報が漏洩してしまうと簡単にログインされてしまいます。そこに生体情報や所持情報を組み合わせることで、パスワードを知られても第3者はログインができなくなります。

PINはパスワードよりも脆弱？それは間違い

先日友人がWindowsパソコンにログインする際に、マイクロソフトアカウントのパスワードを入力してログインしていました。WindowsにはPINコードという、数字数桁を入力してログインする仕組みが備わっています。また、生体認証が可能なPCでしたら、指紋認証等でもログインが可能です。

どうも友人はPINのような数字だけのログインよりも、パスワードでのログインの方が安全性が高いと勘違いしていたようです。

以下のマイクロソフトの解説ページにPINがパスワードよりも優れている理由が記載されています。

Windows Hello for Business の概要 - Windows Security

windows デバイスでパスワードを強力な 2 要素認証に置き換えるWindows Hello for Business方法について説明します。

learn.microsoft.com

PINはパソコン等の機器と紐付けて管理されている認証方法です。先ほど多要素認証で説明した「知識情報」と「所持情報」の二要素認証です。かたやパスワードは「知識情報」のみですから、PINの方がセキュリティ上は優れています。

PINコードは機器とローカル認証しますから、PIN認証の設定をしているPCには、外部からのリモート接続は出来ません。ということは、悪意あるサイバー犯からの攻撃にも効果が高いという事になります。

GoogleChromeのパスワード管理は危険？

世界で最も利用されているGoogleChromeブラウザには、パスワード管理機能が備わっています。こちらの機能を活用すると、パスワードを覚える必要が無くなり安全性の高いパスワードを設定することが出来ます。Googleのサービスにパスワードを記録するのは危険ではないか？と思われるかもしれませんが、結論から書くと使い方を間違えなければ安全性は高い部類に入ります。

Google検索で「Chrome パスワード管理 危険」などで検索すると、危険性について解説する記事などが出てきたりしますが、たいがいは別のパスワードマネージャーを運営する会社の不安を煽る記事だったりするので、鵜呑みにせず自分で確かめて適切なものを利用しましょう。

最初の方に紹介しましたIPAの動画内でも言われていますが、安全性の高いパスワード設定の原則は以下です。

・出来る限り長く
・複雑に
・使いまわさない

この要素を守るには現在のWEBサービス多様化の時代に、すべて頭で覚えるのには限界があります。多くても3つが良いところではないでしょうか。しかも、毎回そのパスワードを入力する必要があります。

そんな時に非常に便利なのが、GoogleChromeのパスワード管理機能です。

しかし、Googleでパスワードを管理する前に必ず以下を確認のうえ、Googleアカウント自体のセキュリティを強固にしておきましょう。

2 段階認証プロセスを有効にする - パソコン - Google アカウント ヘルプ

2 段階認証プロセス（2 要素認証プロセスとも呼ばれます）は、パスワードが盗まれた場合に備えてアカウントのセキュリティを強化するものです。2 段階認証プロセスを設定すると、アカウントへのログインは、次のものを使って行うことになります。 パス...

support.google.com

Chromeのパスワード管理機能には、パスワード自動生成機能もあります。

パスワードを生成する - Android - Google Chrome ヘルプ

Chrome で、オンライン アカウント用に安全性の高いパスワードを生成して保存することができます。 Chrome で同期をオンにします。 ウェブサイトにアクセスしてアカウントを作成します。

support.google.com

こちらを活用すると、新しいサービスにログインする際に、安全性の高いパスワードを生成してくれます。

Chromeに保存されているパスワードを呼び出す際には、指紋やPINなどデバイスに設定されている認証を通さないと利用できません。(そのような動作にならない場合、セキュリティ設定が甘い可能性が高いので、設定を見直しましょう)

パスワード管理画面で目のようなアイコンで、管理されているパスワードを表示・確認できますが、よほど必要が無い限り表示させないように注意しましょう。

過去に自分で設定したパスワードも管理しておくと、別の場所で漏洩したリスクを警告してくれたりします。その場合には即座にパスワード変更を実施しましょう。

完璧な対策は無いが家の鍵を閉めるぐらいのことはしましょう

上の方でいろいろ書きましたが、それでも完璧な対策はありません。「安全です」ではなく「安全性が高い」としているのは、対策をいろいろ講じても完璧はありえないためです。

しかし、個人での利用対策としては、上記のことについて仕組みを知っておけば、役立つと思いますので意識していただければと思います。

ただし、サイバー犯は企業を狙うための踏み台となる、セキュリティの甘いPCや端末などを探していますから、最低限の対策は必ず実施しましょう。PCでの対策に不安がある方は、スマホ中心にネット利用する方が無難かと思います。その場合もOSなどのセキュリティアップデートは随時実施しましょう。