あれこれ memorandoms やすなべ categorized Yasの状況 activities Yasについて about Yas Yasへの連絡 contact us

  セキュリティ強化の為の施策  

 

KING JIM 製 MIRUPASS

 年、ID・パスワードの漏洩防止に対する考え方が、急速に変わりつつあります。元来、ID・パスワードは、個人の責任において管理すべきモノでした。逆に云えば、個人のセキュリティ意識さえしっかりしていれば、ID・パスワードの漏洩は、かなりのレベルで防止可能であったのであります。

 PCのキーボードにID・パスワードが書かれた付箋紙が貼られていた、なんて冗談のような話は、さすがに最近では少なくなったと思いますけれども、簡単に類推可能な英単語を含むパスワードや、桁数の少ないパスワードを使う方は、未だに相当数いらっしゃるようです。また、ウィルスに感染させられ、PC内への外部からのアクセスを許してしまったり、フィッシングサイトに誘導されて、ID・パスワードを入力させられる例も少なくないでしょう。

 こうした情報漏洩は、個人的な管理の強化である程度防止する事が可能です。当たり前ですが、英数字を混ぜて使用し、類推しにくい、ある程度の長さのあるパスワードを用いる事、ノートンアンチウイルスやマカフィーのような、ウィルスチェックとパーソナルファイアウォールを兼ね備えた、有償のソリューションを導入する事などで、かなりの攻撃を回避する事が出来ます。「かなり」と書いたのは、不特定多数を狙った、いわゆるバラマキ型のモノには、何とか対応出来るという意味です。残念ながら、特定の個人に狙いを絞ったハッキングは、それが執拗であった場合、普通は防ぎようがありません。守る側より攻める側の方が強いのは、ハッキングもテロリズムも同じであります。

 私は、当然の事ながらOSを常に最新の状態にバージョンアップし、ウィルスチェックやパーソナルファイアウォール等の有償ソリューションを端末毎に導入しています。ウィルスを含むサイトやメールは、開く前に自動的に隔離され報告が上がります。こうしたセキュリティ・ソリューションは年間契約で提供される事がほとんどで、特に全ての端末に導入するとなると相当に高価ではありますが、必要経費と割り切って、所有する全てのPC、iPad、Android端末にそれぞれインストールしています。

 ところが近年、こうした方法だけでは情報漏洩を防止出来なくなってきたのであります。いわゆる名簿屋の台頭のお陰で、企業や大手サイトが保有するID・パスワード情報が、内部の人間、それもシステム管理者によって抜かれる事件が多発しているのです。こうした内部犯行による情報漏洩は、ログを辿れば確実に犯人を特定出来ます。実はシステム管理者である犯人は、いずれバレる事は分かっていて、その場の金欲しさに名簿屋に情報を売っているのです。会計責任者が監査時にはいずれ露見する事を理解していながら、遣い込みをしてしまうのと同様でしょう。「いつかはバレると分かってはいたが、どうしてもヤメられなかった」というのは、犯罪を犯す人間の常套句であります。

 最近では、JR東日本やベネッセの例が記憶に新しいところ。こうした情報漏洩事件が発生すると、管理会社はそのサイトへのアクセスを一時停止し、ユーザに新しいID・パスワードを付与しなおす事で、被害が拡大する事を防ごうとします。勿論、盗まれたID・パスワードを使って不正にアクセスされた事によるそのサイトにおける実害は、その会社によって補填してもらえるのが一般的です。

 ところが事はこれだけでは終わらないのですねぇ。ID・パスワードの組み合わせを、様々なサイトで使い回している方は意外に多いと思われます。ID・パスワードの組み合わせが一旦流出すれば、それを使って様々なサイトにログインを試みるのは割と簡単な事。こうして、IDの乗っ取りが行われてしまうのです。

 IDの乗っ取りは既に社会現象化しています。完全な乗っ取りを防止する為に、大手のサイトでは様々な方策が用意されていますが、パスワードが変更された事を、登録されているメールアドレスに通知したりといったちゃちな機能に過ぎません。自分の知らないところでパスワードが変更された場合、その旨メールで連絡が来て、そのメールに従ってパスワード再発行を申請すれば現在のパスワード(乗っ取られたパスワード)は無効となり、登録メアドに新しい仮パスワードが送られてくる仕組みです。これとてハッカーにとってみれば、先に登録メールアドレスを変更してしまえば済むだけの事。このように、大手サイトでの内部漏洩が頻発化するに当たって、ID・パスワードの使い回しは、以前に比べて急速に危険になりつつあるのです。

 かといってサイト毎に全て異なるパスワードを用いるのは、一般的には困難を伴います。それらを全て正確に記憶しておく事は事実上不可能でしょう。全てのID・パスワードを紙に書いて持ち歩くのも、もしこれを紛失したらと考えると2つの意味で躊躇してしまいます。一つは紙の紛失が全パーソナルデータの漏洩に繋がってしまう事。もう一つは紛失したら全てのサイトへのアクセスが出来なくなってしまう事です。

 こうしたID・パスワードのデータを携帯電話(スマートフォン)に格納しておく事も考えました。パスワード管理機能をうたったAndroidアプリは現に複数存在します。しかしこうしたアプリのほとんどがネットワークへのアクセス権限を求めている事に、不信感を感じざるを得ません。性善説的に考えれば、おそらくはアプリの稼働率を収集して次回作への参考としたり、画面上に宣伝バナーを表示したりする為にネットワーク接続を必要とするのだと思われますが、ID・パスワード情報を収集する目的のブラックなアプリであるである事を、完全に否定出来ないのも事実であります。

 更にこうしたパスワード管理アプリが、ある程度メジャーなモノだった場合、このアプリを誤動作させるウィルスの出現も想定・警戒しなければなりません。スマートフォンは24時間365日通信し続けているコンピュータです。一応、ノートンのパーソナルファイアウォールやウィルスチェッカは導入されていますけれども、100%の安全が保障されている訳ではないのです。

 またこのソリューションも、携帯電話の水没等で、データを一気に失ってしまう可能性が残されます。勿論、クラウドに上げておく事でデータ消失をある程度回避する事は可能でありましょう。しかし新たに、クラウド上からのデータ漏洩の心配が出てきてしまいます。

 ネットワーク機能を持たずスタンドアロンで動作する、ID・パスワードを管理するマシン。マシン自身のパスワードが合致しなければ、立ち上げる事もUSB接続する事も出来ず、連続してパスワードが合致しないと全てのデータが自動消去される。PC経由でバックアップされたデータは独自の暗号化が施されていて、その複号には暗号時に設定したキーコードが必要。この様な機能を持つマシンがあれば、複数のID・パスワードを安全に管理出来ます。

 こうしたマシンをようやく見つけました。キングジム製パスワードマネージャ、「ミルパスPW10」です。実売価格は税込で3,409円。意外に安いのですな。このマシンと自作のランダマイザ(パスワード生成プログラム)を組み合わせる事で、全てのパスワードを異なるモノに変更出来ました。しかも英数字混じりのランダムな20桁程度の文字列ですから、パスワードの強度は格段に向上しましたよ。しかも自分で覚えておく必要が無い為に、定期的なパスワードの変更も容易。万が一の故障時には、暗号化されたバックアップデータから元に戻す事が出来ます。しかもそのデータはクラウドに格納したりせず、ローカルに保存されている点も評価出来ます。

 今回の施策により、あらゆる面でログオン・セキュリティが向上しました。システム担当者が金欲しさにユーザの個人情報を簡単に売ってしまう時代。性善説による運用は限界を迎えつつあります。こうした自己防衛策は、これからは必須のモノとなってくるのかも知れませんね。Copyright (C) by Yas / YasZone

【つづく】

「あれこれ」の目次に戻る

Copyright(C) by Yas/YasZone