攻撃者は最も抵抗の少ない道筋を探します。最近ではその道筋はエンタープライズネットワークから、あなたとあなたのデバイスへと移行しています。その理由は二つあります。一つ目に、ソフトウェアやシステムのセキュリティがよりしっかりしてきたことで、エンタープライズネットワークへの攻撃がより難しくなったことです。同時に、私たちは携帯電話で機密情報を扱うことが多くなってきました。そこには個人情報と仕事の情報の両方が含まれます。
もちろんエンタープライズセキュリティが重要ではなくなったわけではありません―—それは依然として重要です。しかし個人のサイバーセキュリティは、今ではエンタープライズセキュリティにとって非常に重要な一部となっています。なぜなら、一人ひとりの働く人のセキュリティが保たれなければ、エンタープライズのセキュリティも保たれないからです。
現在のサイバーセキュリティの時代において、あなたの生活は攻撃対象領域の一部となっています。この記事では、あなたがデータやアカウント、デバイスのセキュリティを担保するためにとることができる実用的な16のステップを紹介します。このリストはそれぞれの項目のリスク軽減度に応じて優先順位付けしています。そのため、まずは1番目から始め、一つずつやっていきましょう。
基本:オンラインリスクの99%に対応するための4つのステップと3つの習慣
ここに掲げる最初の7つのヒントはセキュリティの基本です。他に何の対策もとらないとしても、これらのヒントは最も頻繁にみられる攻撃からあなたを守ってくれます(おそらくその多くは、あなたが何年も前から聞かされているものだと思います)。
1) 2段階認証(2FA)を導入する…携帯電話以外で!
最初の2つのヒントは、最も一般的なセキュリティ侵害であるパスワード盗難から自分を守るために最も重要なものです。
2段階認証(2FA)は、オンラインアカウントや情報にアクセスする際に2段階のセキュリティを設けるものです。2FAにはいくつかの方法がありますが、すべて同じではありません。16zでは、ハードウェアが2FAの最も堅牢な形であると信じています。なぜならアカウントをアクセスするのに、物理的なものが必要となるからです。例えば、私は自分のメールや人事システムにアクセスするのにパスワードと Yubikey(コンピューターのポートに挿して使う小さなデバイス)を使っています。私のパスワードが最初の認証段階で、Yubikey が2つ目となります。
SMSやテキストメッセージベースの認証(例:銀行のアカウントが認証コードをテキストベースで送信してくる)は、2FAとしては非常に脆弱な選択肢です。認証にSMSを使うと、SIMジャック(SIMスワッピング攻撃としても知られる)に対して無防備となります。これらの攻撃では、ハッカーがあなたの携帯プロバイダに対してあなたの電話番号を彼らのデバイスにリルートさせるよう仕向けます。すると、その電話にリンクされた情報やアカウントへのアクセスが可能となります。
SIMジャックは増えてきており、2019年9月17日にはFBIがSMS認証に関する正式な注意勧告を出したほどです。それでも電話で2FAを使用したいのなら、Duo および Google WebAuthn はモバイルベースの2FAでありながらSMSに依存しないため、SIMスワッピングへの脆弱性はより低いものとなっています。
次のステップ:第2の認証方式を追加する(SMSではないもの!)。
- Yubikey:コンピューターに挿して使うハードウェアキー
- Duo:SMS不使用の携帯電話ベースの認証
- Google WebAuthn:SMS不使用の携帯電話ベースの認証
2) パスワードマネージャーを使う。
私たちのほとんどは複数のサイトで同じパスワードを使い回すというひどい習慣を持っています。Passwords are Dead...Again の記事においても、パスワードが盗まれたときこの使い回しがリスクの網を生むことを説明しました。リスクがわかっていても、私たちの多くは、たくさんのオンラインアカウントの別々のパスワードを覚えるのが大変だというだけの理由で、パスワードを使い回します。さらに悪いことに、私たちはハッカーにとって当てやすい、ないし解明しやすいパスワードを使う傾向があります。
そこでパスワードマネージャーが役に立ちます。パスワードマネージャーは各アカウントをそれぞれ個別の複雑なパスワードで守り、一つ一つのパスワードを保管してくれるので、あなたは覚える必要がありません。
次のステップ:1Password, LastPass, DashLane 等のパスワードマネージャーを使い始める。
3) パッチを当てて!
セキュリティ侵害の2つ目に一般的な原因はセキュリティパッチの欠落です。どんなソフトウェアも完全に安全ではありません。セキュリティ上の欠陥やバグが新たに発見されるたび、対策のため多くのアップデートがリリースされます。電話やコンピューターからアップデートの通知が入ったら、なるべく早くインストールすることです。さらには、ソフトウェアやシステムのアップデートが用意され次第インストールされるよう、アップデートを自動化すればなおよしです。中でも、常にパッチを適用しておくべき最も重要なシステムの3つはこちらです:1) コンピューターのオペレーティングシステム、通常 Windows か MacOS; 2) ChromeやInternet Explorer、Safari等のブラウザ; 3) モバイルのオペレーティングシステム、通常 Android か iOS。
次のステップ:下記のシステムやソフトウェアが完全に最新で、パッチが自動適用されることを確認する。
4) クラウド、ソーシャル、金融関係のセキュリティ・プライバシー設定を見直す。
クラウドのコンフィギュレーションが重要なのはエンタープライズだけではありません(ブログ、The Next Generation of Cloud Security Startups をご覧ください)。私たち一人ひとりが、使用するクラウドやSaaSアプリのセキュリティおよびプライバシー設定をどのように設定しているかを意識しておく必要があります。ここで最も重要な3つはクラウドストレージ、ソーシャルメディアアカウント、金融系アプリです。これらのツールのほとんどは、自分の環境設定を確認・設定しやすくしてくれるセキュリティ・プライバシーウィザードを提供しています。
次のステップ:使用中のクラウドストレージ、ソーシャルメディア、金融系ツールのプライバシー・セキュリティを確認する。最も一般的なものへのリンクを以下に記します。
5) デジタルコミュニケーションを信頼しても、検証を怠らない。
私のセキュリティ専門家としてのピーク時には、年間2万件以上のセキュリティ侵害を目の当たりにしました。うち半数以上はフィッシング攻撃未遂によるものでした――メールやその他デジタルコミュニケーションの中の悪意のあるリンクをクリックしてしまった場合です。
メールその他のデジタルメッセージには、常に適度な懐疑の眼差しを向けるべきです。メッセージがもし何らかのアクションやリンクのクリックを求めていたら、それがどこから来たメッセージなのかを認証・検証しましょう。これはデジタルコミュニケーションにおける2FAと捉えればよいでしょう――送信元として書いてある情報をそのまま信じてはいけません。例えば、あなたの妹が200ドル送ってほしいと言ってきたら、それが本当に妹さん本人なのか、テキストメッセージか電話をして確認しましょう。一見無害に見えるメール、例えば最近のイベントの写真へのリンクを誰かが送ってきた場合でも、実際にその人が送っていることを確認しましょう。
2019年のVerizonデータ侵害調査レポートによると、私たちは携帯電話を使っているときにフィッシングのリンクをクリックしてしまう傾向が高いそうです。携帯電話でメッセージをチェックするときは特に注意しましょう。
習慣:デジタルコミュニケーションは疑いの眼差しで見ること。特に送金やセキュリティ情報の共有のリクエストの場合は、相手が誰なのか検証すること。
6) インストールするものを信頼しても、検証を怠らない。
デバイスにインストールするアプリやソフトウェアに関しても、「信頼しても、必ず検証」のアプローチを取るべきです。端的に言えば、インストールしようとしているものが何なのかを把握することです。何件かのハッキングは、信頼できない、多くは海賊版のソフトウェアをインストールしたことで起こりました。海賊版は違法なだけでなく、コンピューターをウイルスやマルウェア感染させるとびきりの方法でもあります。
ソフトウェアをインストールするときは、ライセンスハックやチートコードのもの(不正なもの)は絶対にインストールしないこと。ソフトウェアは高額なこともありますし、商業ソフトウェアのハックやチートをダウンロードするのは得に見えるかもしれませんが、攻撃者があなたのシステムへのアクセスを得る格好の方法でもあります。
また、ソフトウェアは公式サイトからダウンロードし、非公式サイトや、アドウェアとインストーラーをバンドル化・パッケージ化しているサイトは避けましょう。セキュリティリスクの点では、アドウェアはマルウェアと同じくらい悪質であることが多いです。
習慣:ソフトウェアのダウンロードは必ず公式サイトから行う。
7) コンピューターに挿すものについても、信頼しても検証は怠らずに。
コンピューターに挿したり、ペアリングしたりするフラッシュドライブやその他のデバイスも避けましょう。「バックショット・ヤンキー」作戦は米軍史上最悪のコンピューター侵害の一つで、その発端は軍基地の駐車場に意図的に残されたUSBドライブを誰かが拾い、コンピューターに挿したことでした。常識のように聞こえるかもしれませんが、不審物・異物はコンピューターに挿さないことです。
習慣:どこから来たデバイスかはっきりわかっている場合のみ、コンピューターに挿入・ペアリングする。
基本を超えて:よい「衛生習慣」と業務用ツール
以下に紹介するヒントは基本を超えたベストプラクティスおよび製品で、最近業務グレードのセキュリティ製品が廉価になり、一般にも購入可能となってきた流れに注目したものです。
8) セキュリティが組み込まれた製品を購入する。
理想をいえば、セキュリティは単独の製品ではなく、製品の機能の一つであるべきです。そして過去10年で、より多くの製品がこのアプローチをとり始め、製品にセキュリティを組み込んできています。可能な限り、製品の主要機能としてセキュリティが組み込まれたハードウェアを選びましょう。
Chromebook は最初からセキュリティを組み込むことでこれを行ってきた製品のすばらしい例です。Chromebook は自動更新により、ソフトウェアが可能な限りパッチ適用され、セキュリティが担保されるようにします。また、オペレーティングシステムのブート中に悪意のあるソフトウェアがコンピューターにロードされることを防ぐセキュア(確認付き)ブートもあり、デバイス間のセキュリティ向上のためのモバイルデバイス管理機能も最初から備わっています。
もちろん、ハードウェアを手に入れた後は、これらの機能がちゃんと活用されるよう確認すべきです。デバイスピンやパスワード、その他のセキュリティの手段を使って、ファイアウォールと自動更新をオンにします(ヒント3:パッチを付けて!を参照のこと)。
次のステップ:セキュリティが組み込まれたハードウェアを選ぶ。
9) ブラウザの「衛生環境」をよく保つこと
ウェブブラウザは幅広く使用されているため、幅広く攻撃の対象にもされてしまいます。ブラウザの衛生環境をよく保つことで、ブラウザが攻撃を受けた際も、相手に渡るデータを最小限に抑えます。
ほとんどの現代的なブラウザでは認証情報や個人情報を保存することが可能ですが、セキュリティ上は悪習慣といえます。これらの情報はパスワードマネージャーのような別のプログラムに保管するほうがよいでしょう(ヒント2を参照のこと)。
Javascript や Flash 等のツールは非常にフィーチャーリッチで、ウェブページの動的コンテンツの再生を助けます。しかし、これらはまたセキュア(安全)なコーディング基準や枠組みが整う以前に開発されたものでもあります。そのため、今後も安全性は担保されず、侵害され続けます。これらをオフにすることにより一部のコンテンツはウェブページにロードされなくなりますが、ブラウザはより速く、より安全になります。また、Flash の自動再生をオフにすることで、ウェブサイトを訪れると自動再生される大音量の不快なコンテンツからあなたの耳も守ります。
次のステップ:
- 定期的にキャッシュ・クッキー・履歴を削除する(こちらはブラウザの掃除に役立つリソースです)。
- 自動入力をオフにする。
- ブラウザで、Javascript をオフにする。
- ブラウザで、Flash の “Click to play”(クリックトゥプレイ)を有効にする。
- US Cert(米国コンピュータ緊急事態対策チーム)のブラウザセキュリティに関するガイドラインに従う。
10) パスワードを変更し、未使用のアカウントは解約する。
よいパスワードを設定することに加え、アカウントについてもよい衛生習慣を実践することが重要です。パスワードは少なくとも年に1回、可能だと思えばそれ以上の頻度で変更すべきです。しかし、定期的なパスワード変更よりさらに重要なこととして、強力で複雑なパスワードを選ぶことがあります(ヒント2を参照のこと)。
さらに、あなたのアカウントのいずれかがセキュリティ侵害を受けた場合に知らせてくれるウェブサイトがいくつか存在します。パスワードマネージャーのいくつかにはこのチェック機能を持つものもあります。もしあなたのアカウントのいずれかがセキュリティ侵害を受けた場合、直ちにパスワードをリセットしましょう。利用中のサービスに関してハッキングやセキュリティ侵害の話を耳にしたら、あなたの情報もその被害を受けた一部であったかどうか確認しましょう。最後に、もうアクティブに利用しなくなったアカウントは、解約しましょう。
次のステップ:
- 1年以上同じパスワードを使っているアカウントは、パスワードを変更する。
- haveibeenpwned.com 等のサービスを使って、自分のアカウントが侵害されたかどうか調べる。
- 侵害されていた場合、それらのアカウントのパスワードを変更する。
- アクティブでないアカウントを解約する。
11) クラウドを活用しよう!
よいセキュリティのもう一つの柱は、侵害やデータ損失の際に復元できるようデータをバックアップすることです。クラウドはソフトウェアをローカルでバックアップする(例:外付けハードドライブやローカルサーバー)よりも安全で、これにはいくつかの理由があります。第一に、あなたのデータはもはやあなたのコンピューター内にあるだけではなくなります。もしあなたのコンピューターが盗まれたり物理的な損傷を受けたりした場合、復元が可能となります。第二に、クラウドサービスは通常ソフトウェアに自動的にパッチ適用するため、考えるべきことが一つ少なくなります。
次のステップ:Dropbox、Box、Google Drive等のクラウドサービスでデータバックアップを自動化する。
12) 検知トラップを設定する。
セキュリティの根本的な原理は鬼ごっこです。より安全なシステムを開発するたび、ハッカーは侵入する方法を見つけます。侵害はこれからも起こります。そして早期発見は予防と同じくらい重要です。デジタルトリップワイヤのようなトラップを設定すると、ハッキングを受けた際知ることに役立ちます。
次のステップ:デジタルトリップワイヤを設定する。
- カナリヤを使う。お金がいっぱい詰まったはずのブリーフケースを盗んだ後、中身がただの紙くずだったことを知るというだましの手口は強盗映画では定番です。ハッカーが侵入したいと思うようなデバイスに見せかける小型のハードウェアデバイス(トークン等)であるカナリヤは、そのデジタル版です。悪意や異常な行動態度を検知し、知らせてくれます。Thinkst Canary は私たちのお気に入りの一つです。平均的な消費者にも買いやすい値段で、素早くセットアップできるからです。
- オンラインアカウント用にメールアドレスのエイリアスを作成する。例えばGmailでは、私のメインアカウントにリンクしたエイリアスを作ることが可能です。もしセキュリティ侵害データベースに私のアドレスが出てきた場合も、これにより私の情報が具体的にどこから漏洩したのか特定しやすくなります。例えば、私がオンラインで銀行のアカウントを作る際には、銀行名を入れてjoel+bankname@gmail.com というエイリアスを作ることができます。もし侵害データベースに現れたり、このアドレス宛に不要なメールが届いたりするようになった場合、どのアカウントが原因だったかがわかります。
13) 暗号化する。
暗号化とは、非常に大きな数字と楽しい数学のトリックを使って、暗号解読のためのカギなしにはデータを読めなくするための方法です。(楽しい豆知識:暗号化の一つの手法であるサイファの使用は、紀元前1900頃の古代エジプトへとさかのぼります)
ソフトウェアの場合、暗号化は多くの場合、決意の固い攻撃者と対峙する際の最後の防御線となります。機密情報を見るために突破しなくてはならない最終の暗号を提示するものです。ベストプラクティスとして、オペレーティングシステムとバックアップを暗号化し、SSLかTSL3(インターネットで情報を送信するための安全基準の2つ)を使うべきです。
次のステップ:
- すべてのハードウェアドライブ、ストレージを暗号化する。ハードウェアに関しては、オペレーティングシステムは通常、組み込み型の保護機構を提供している。Microsoft のオペレーティングシステムの暗号化には BitLocker を、Apple には FileVault を使おう。ChromeOSはデフォルトで暗号化されているため、アクションは必要ない。
- すべてをSSLにする。ウェブページにSSLが有効になっていない場合、そのページにはデータを入力しないこと。SSLをチェックするには、ウェブブラウザ上にカギの閉じたアイコンが見えることを確認する。あるいは、すべてのSSLを有効にする、Electronic Frontier Foundation のSSLのようなブラウザプラグインを使えばなお良い。バックアップも暗号化すること。バックアップデータを暗号化せずに放置するようなことは絶対に避けること。
- バックアップデータを暗号化する。OSX、IOS、Android、および Windows はパスワードを使って暗号化し、バックアップを保護することが可能です。
14) 公共ネットワークやコンピューターではなく、VPNを使用する。
世の中で無料のものは何もなく、WiFiも同じです。全般的には、不明なWiFiネットワーク、特にオープンな公共ネットワークは避けること。なぜならそのネットワークは攻撃者が支配しているかもしれず、ネットワーク上のコンピューター間に割り込みトラフィックを改ざんする「中間者攻撃」を仕掛ける可能性があるからです。
そして、公共のコンピューターは絶対に使用しないこと。ネットカフェやビジネスセンターのコンピューターであっても、必ずと言っていいほど何か悪いものが中で作動しているからです。もし公共のコンピューターを使わなければならない場合、直ちに信頼できるマシンからすべてのパスワードを変更すること。地下鉄に乗った後に手を洗うことのデジタル版と考えればよいでしょう。
次のステップ:公共の場ではプライベートで安全なインターネットに接続するために、VPNまたはモバイルホットスポットをセットアップする。
極度に疑心暗鬼の人のために
これらの最後の2つのステップは、サイバーセキュリティのレベルをフォート・ノックス級に高めたい人向けです(訳注:フォート・ノックスはケンタッキー州にある米軍施設。米国政府の金塊が保管される場所で、突破不可能なほど堅牢なセキュリティのたとえに使われる)。
15. 小さい文字もちゃんと読む。
ユーザー契約書を読むことは苦痛ですが、あなたのデータにアクセスするアプリをインストールする際には特に重要となります。そのアプリが要求するアクセスの度合いに不安がないか、確認しましょう。不特定の写真アプリにあなたのすべての写真へのアクセスを許しても大丈夫ですか?犬の散歩アプリに、あなたのすべてのメールへのアクセスが必要でしょうか?データに関して分別ある問いを向けることは大いに役立ちます。
16. マスターパスワードとハードウェアキーは金庫に保管する。
不測の事態により、パスワードやキーを紛失したり忘れたりすることはよくあることです。必要になった時に備えて合鍵1セットをどこかに保管しておくことはすばらしい考えです。そしてデジタルの世界でも、物理的な金庫がセキュリティを向上させます。マスターパスワードとバックアップハードウェアキーは、高品質な耐火性の金庫に保管しましょう。金庫を設置する場所がない場合、地元の銀行支店の貸金庫もよい方法です。
さて、セキュリティ監査が完了した今、このリンクをブックマークし、次回のデジタルセキュリティチェックのリマインダーを設定しておきましょう。その時またお会いしましょう!
著者紹介
Joel de la Garza は、情報セキュリティ関連の投資やその他の隣接ビジネスを担当するパートナーです。彼は、ユーザビリティとセキュリティを兼ね備えたセキュリティ製品、クラウドへの移行、ハードウェアベースの多要素認証の台頭など、情報セキュリティがより良いものになっていると信じています。
a16zの前は、Boxで最高セキュリティ責任者を務め、シリーズB後に入社し、IPOまでを経験しました。2007年から2013年まで、JoelはCitigroupで脅威管理とサイバーインテリジェンスのグローバルヘッドを務め、防衛産業基地以外では初のオープンソースとクローズドソースのインテリジェンスセンターを構築しました。また、ドイツ銀行ではインシデント対応を担当し、様々なセキュリティ新興企業を設立し、勤務していました。彼はスタンフォード大学でコンピュータサイエンスとドイツ語を学びました。
記事情報
この記事は原著者の許可を得て翻訳・公開するものです。
原文: 16 Steps to Securing Your Data (and Life) (2019)