コンピューターが進化し、面倒なアップデートにも付き合い、コストも払っているのになくならないセキュリティ被害、どうしたらいいでしょう。ヒントはコンピューター、ネットワーク技術の基本理解にあります。商用OSのセキュリティの基本的な考え方は、セキュリティソフトをアドオンするのではなく、リスク要素を除きシンプルにしていくものでした。いつの間にか基本がなおざりになった感があります。インターネットが日本で使われだした頃を思い出しながら、基本注意事項をまとめました。20年、30年と使い続けられた設計や技術はシンプルで費用対効果が高く、システムの長寿命化に寄与します。
1.管理者権限でログインしない(必須)
Windowsで理解できないのは管理者権限でネットサーフィンが出来ることです。インターネットは自己責任です。相手が国外であれば日本の法律は無力です。交通ルールが定かでない国で運転するのと同じです。ドライブは出来ても安全ではありません。
・管理者権限のないアカウントを作成し、通常のログインはそれを使うようにします。
・アカウントのパスワードは英数字、記号などランダムな16文字以上として紙に書いて保存します。セキュリティ情報はシステムから分離の原則です。
2.セキュリティの高いブラウザを使う(是非)
広告、特に仲介業者を通したアフィリエイト広告が氾濫していて、どこに落とし穴があるか分かりません。安全なブラウザを使うことで、アフィリエイトを抑止できます。表示されない以上、クリックすることもなくなります。フィッシング詐欺対策にもなります。
お天気サイトを閲覧した例
Google chromeの画面、アフィリエイト広告を抑止できない
Firefoxの画面、アフィリエイト広告を抑止できている
3.アプリを入れない・入れさせない(必須)
管理者権限がなければアプリを入れることもできません。利用者がそれと知らずメールやWebでだまされてアプリを入れてしまう事故も起きません、ウィルスやランサムウェアの被害が発生してもはログイン権限の範囲内に留まります。
4.Windows以外のOSを使用する(是非)
ここからはシステムの専門領域ですが現在ではLinuxを選択することが多くなると思います。LinuxはオープンソースでOSの技術情報や運用ノウハウに透明性があります。良いことも悪いことも広く共有され、OSについて知ることの出来ない情報はありません。そのためセキュリティ対策を立てやすく、迅速に対応することができます。
5.ネットワークからログインできないようにする(是非)
セキュリティは流行り、廃りとは関係ありません。機密性の高い情報を扱うシステムは監督者と物理的に近い場所に設置し外部とは遮断します。利便性とセキュリティはトレードオフになります。政府、金融機関等では現在でも普通に行われていることです。
Linuxであってもネットワークからログインできないようにします。サーバというと以前はシリアルポートからの接続が基本でした。シリアルコンソールは導入・運用が容易で費用対効果が非常に高いものです(導入コストはただみたいなもの)。大企業はもちろんのこと、中小企業、スタートアップ企業にこそ導入して欲しい対策です(DDoS対策・ファイアウォール、リアルタイム侵入検知、ウィルススキャン、証跡ログなどどれだけのコストが掛かるでしょう?設定ミスは大規模トラブルの元にもなります。専門知識、専門家の助けも必要不可欠です)。
永島志津夫
全社のシステムを少ない人数で見ていれば時に見落としもあるかもしれません。
オフィスエヌ ショートレビュー5万円から。
連絡先 office.nagasima#gmail.com (#を@に変えてメールをお願い致します)