日常における情報セキュリティ対策

1. はじめに

情報セキュリティ対策は、日常的に行っていくことが重要です。情報セキュリティ対策を疎かにしてしまうと、ウイルスに感染してシステムに問題が発生したり、不正アクセスによって情報が流出したりといった被害が発生する可能性があります。このような事態を招かないよう、以下の対策を実施してください。

2. 企業・組織

2-1.管理者向け

1.修正プログラムの適用

管理するサーバやパソコン等のOS(オペレーティングシステム)、各種ソフトウェアに修正プログラムを適用して最新のバージョンに更新し、ルータやスイッチ等は最新のファームウェアに更新して維持するようにしてください。

2.セキュリティソフトの導入および定義ファイルの最新化

管理するサーバやパソコン、スマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)が常に最新の状態になるように設定し、最新の状態になっているか定期的に確認してください。

3.定期的なバックアップの実施

システムの不具合やランサムウェア等のウイルスによるデータ破壊に備えて、定期的に外部記憶媒体等へバックアップを行ってください。重要なデータのバックアップは「321ルール」を適用するようにしてください。321ルールとは、データを3つ持ち(運用データ1つ、バックアップデータ2つ)、2種類の異なる媒体でバックアップし、そのうち1つは異なる場所(オフサイト)で保管する、という理想的なバックアップの方法とされています。

4.パスワードの適切な設定と管理

システム管理等で使用するパスワードは可能な範囲で複雑な長い文字列を設定してください。大小英字、数字および記号を混在させて、最低でも10文字にしてください。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、デバイスやシステムのパスワードについて初期設定のまま利用することは避け、確実に初期パスワードを変更してください。

5.不要なサービスやアカウントの停止または削除

外部から接続できるサーバで稼働している不要なサービスや、管理する機器やシステムに存在する不要なユーザアカウントは、停止または削除してください脚注1。

6.情報持ち出しルールの徹底

業務用パソコン等の機器やデータを組織外に持ち出す場合のルールを明確にし、関係者に周知徹底してください。また、そのルールに則り適切に運用されているかを確認してください。ルールの例としては、関係者に機器を貸し出しする際は、機器内に不必要なデータが保存されていないか事前に確認する、紛失した場合に備えて、持ち出す機器やUSBメモリ等の外部記憶媒体には適切な暗号化を施す、等があります。

7.社内ネットワークへの機器接続ルールの徹底

ウイルス感染したパソコンや外部媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります脚注2。普段は社内ネットワークに接続していないパソコン等の機器を社内ネットワークに接続する場合のルールを明確にし、関係者に周知徹底してください。 接続する機器の脆弱性対策やウイルスチェックなどが適切に実施されているかを確認してください。

2-2.利用者向け

1.修正プログラムの適用

利用するパソコン、スマートフォン等のOS(オペレーティングシステム)や各種ソフトウェアに修正プログラムを適用し、最新のバージョンに更新してください。

2.セキュリティソフトの導入および定義ファイルの最新化

利用するパソコン、スマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新な状態になるように設定し、最新の状態になっているか定期的に確認してください。

3.パスワードの適切な設定と管理

パスワードは可能な範囲で複雑な長い文字列を設定してください。大小英字、数字および記号を混在させて最低でも10文字にしてください。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、デバイスやシステムのパスワードについて初期設定のまま利用することは避け、確実に初期パスワードを変更してください。

4.不審なメールに注意

日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスを仕掛けたサイトやフィッシングサイトへ誘導するURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等により被害にあう場合があります。少しでも不審をいだいたメール脚注3の添付ファイルやURLは不用意にクリックせずに、システム管理者に連絡してください。

なお、標的型攻撃メールのように、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審をいだきにくい場合があります。受信したメールの正当性が判断できない場合は、上長またはシステム管理者へ相談し、必要に応じてメールの送信者となっている組織へ確認してください。

5.USBメモリ等の取り扱いの注意

ウイルス感染の可能性があるため、所有者が不明もしくは自身が管理していないUSBメモリ等の外部記憶媒体はパソコンに接続しないでください。また、自身が管理していないパソコンに自身の外部記憶媒体を接続しないでください。

6.社内ネットワークへの機器接続ルールの遵守

ウイルス感染したパソコンや外部記憶媒体を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります脚注2。 個人所有の持ち込みパソコンや外部記憶媒体等を不用意に社内ネットワークに接続しないように注意してください。 持ち込み機器を社内ネットワークに接続する必要がある場合は、システム管理者に許可を取ってください。

7.ソフトウェアをインストールする際の注意

ソフトウェア(フリーソフト等)をインターネットからダウンロードしたり、自身のパソコンにインストールしたりする場合は、システム管理者に事前に許可をとってください。

8.パソコン等の画面ロック機能の設定

第三者に見られたり、操作されたりしないようパソコンやスマートフォン等には画面ロックを設定してください。席を離れる際、パソコンは画面ロックをかけましょう。また、スマートフォンは放置しないようにしてください。

動画

「日常における情報セキュリティ対策」の中の企業・組織の利用者向け8つの対策を説明した動画シリーズです。
合わせてご覧ください。

• 華麗なる情報セキュリティ対策

3. 個人

1.修正プログラムの適用

利用するパソコンやスマートフォン等のOS(オペレーティングシステム)、各種ソフトウェアに修正プログラムを適用し、最新のバージョンに更新し、無線LANルータ等は最新のファームウェアに更新してください。IPAでは、パソコンにインストールされているソフトウェア製品が最新かどうかを簡単な操作で確認できる「MyJVN バージョンチェッカ」脚注4を提供していますので利用してください。

2.セキュリティソフトの導入および定義ファイルの最新化

利用するパソコンやスマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新な状態になるように設定し、最新の状態になっているか定期的に確認してください。

3.定期的なバックアップの実施

システムの不具合やランサムウェア等のウイルスによるデータ破壊に備えて、定期的に外部記憶媒体等へバックアップを行ってください。特に重要なデータは必ずバックアップを行ってください。

4.パスワードの適切な設定と管理

パスワードは可能な範囲で複雑な長い文字列を設定してください脚注5。大小英字、数字および記号を混在させて最低でも10文字にしてください。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、デバイスやシステムのパスワードについて初期設定のまま利用することは避け、確実に初期パスワードを変更してください。

5.メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意

日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスを仕掛けたサイトやフィッシングサイトへ誘導するURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等により被害にあう場合があります。少しでも不審をいだいたメール脚注3の添付ファイルやURLは不用意にクリックしないでください。

なお、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審をいだきにくい場合があります。受信したメールの正当性が判断できない場合は、確かな情報源を使ってメールの真偽を確認してください。メール本文に連絡先が記載されていても連絡したりせず、メールに返信しないようにしてください。

また、不審なサイトへ誘導するURLは、ショートメッセージ(SMS)で送られてくる場合脚注6や、SNSで投稿されている場合もあります。そのため、URLを安易にクリックしない習慣をつけてください脚注7。よく利用するサイトは、正しいと確認できているURLをあらかじめお気に入りに登録しておき、それを使用してアクセスしてください。

6.偽のセキュリティ警告に注意

ウェブサイトの閲覧中に、ウイルスに感染している、パソコンが壊れる等の偽の警告に遭遇する場合があります脚注8。表示されたメッセージに従って、操作したり、電話をかけて遠隔操作を許してしまったりすると、最終的に有償ソフトウェアの購入や有償サポート契約へ誘導されます。利用しているセキュリティソフトによる警告ではない場合、特にインターネット利用中にブラウザ画面上に表示される警告は偽物である可能性が高いと考えられます。あらかじめ、セキュリティソフトの本物の警告画面を確認しておいてください。もし、偽の警告画面が表示された場合は、画面を閉じてください。画面が消せない場合は、ブラウザを強制終了するか、パソコンを再起動してください。

7.スマートデバイスのアプリや構成プロファイル導入時の注意

不正なアプリのインストールを防ぐために、公式マーケットや信頼できる場所からアプリをダウンロードしてください。

また、アプリの権限(アプリが端末のどの機能や情報にアクセスできるかを定義したもの)を必ず確認してください脚注9。公式マーケットやアプリの公式サイトに情報/機能毎の権限の使用内容が記載されている場合もあります。要求されたアクセス許可の内容に不自然な点があったり、疑問に感じたりした場合には、そのアプリのインストールを中止してください。

Android OSの機器(Android 8以降)では、公式アプリ以外で配信されるアプリを「不明なアプリ」といいます。不明なアプリの中には危険なものもあるため、細心の注意が必要です。通常は、Android端末のセキュリティ設定の「不明なアプリをインストール」ですべてのアプリでインストールをオフ(無効化)にしておいてください。また、有害なアプリから保護するために、Google Play プロテクト脚注10を使用することも一案です。

機器に不正な設定がされることを防ぐために、iPhoneやiPadなどのiOS端末で「構成プロファイル」をインストールする場合は、細心の注意が必要です。提供元やプロファイルの内容(どのような設定を行うのか)など、安全を確認してから実施してください。特に、SMSやメール等から誘導されたサイトで急にインストールを要求された場合などは、危険なものである可能性が考えられます。

8.スマートフォン等の画面ロック機能の設定

スマートフォンやタブレット等を紛失してしまった際に、誰かに不正に使用されることがないよう、画面ロック機能を必ず有効にしてください。また、紛失時に速やかに画面ロックされるよう、画面ロックまでの時間は短めに設定することを推奨します。

9.他人に見られたら困るプライベートな写真や動画は撮らない、第三者に送らない

SNSで知り合った人物から言葉巧みに不正なアプリのインストールを持ちかけられ、そのアプリでプライベートな動画を撮影したことが原因で、セクストーション(性的脅迫)の被害に遭うケースが発生しています。第三者に見られたら困るプライベートな写真や動画を撮影させたり、そのデータを送ったりしてはいけません。脚注11

脚注

1. 「安全なウェブサイトの運用管理に向けての20ヶ条 〜セキュリティ対策のチェックポイント〜」
2. 「WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境」
3. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
4. MyJVN にようこそ
5. チョコっとパスワード
6. 宅配便業者に加えて通信事業者をかたる偽ショートメッセージサービス(SMS)が増加中
7. URLリンクへのアクセスに注意!
8. 偽のセキュリティ警告に表示された番号に電話をかけないで!
9. アプリのアクセス権限を確認しましょう!
10. Androidヘルプ Google Play プロテクトを使用して有害なアプリから保護する
11. App Store以外の配信アプリによるセクストーション被害を確認

更新履歴