システム管理者はもちろんのこと,一般ユーザーもコンピュータ・セキュリティを意識しなくてはいけない時代となっている。いくら高価なセキュリティ機器を導入しても,いくらシステム管理者が口うるさく注意しても,ユーザー一人ひとりが注意しなくては,組織全体のセキュリティは向上しない。そこで,今回および次回の記事では,ユーザーが守るべき「セキュリティ10カ条」を解説する。
10カ条には「今さら言われなくても当たり前のこと」と思われるものもあるだろう。しかし,その当たり前が守られないために,セキュリティに関する事故や事件が発生するのだ。改めて確認していただきたい。
今回の記事では,「適切なパスワード設定と管理」「セキュリティ・パッチの適用」「ウイルスのチェック」「未使用のサービスやアプリケーションの停止」「不要なWebアクセスの禁止」――の5つを解説する。残りの5つの注意点については,次回の記事で説明する。
1. 適切なパスワード設定と管理
このコラムで何度も解説しているように,まずは適切なパスワードを設定することと,そのパスワードを適切に管理することがユーザーには求められる。
「適切なパスワードの設定方法」については,雑誌や書籍などでさまざまな方法が紹介されているが,一般的には以下のようにまとめられるだろう。
・8 文字以上のパスワードを設定する
システムによって,パスワードの最低文字数が設定されている場合がある。最低文字数以下のパスワードは設定できないようにしている。しかし,設定されている最低文字数は3文字程度が多いようなので,これをクリアするだけでは不十分だ。
雑誌や書籍などによって,推奨されている理想的な文字数はさまざまだが,8文字以上で設定すれば,まず問題はないだろう。
・推測されないようなパスワードを設定する
自分の名前やニックネーム,生年月日,ペットや恋人および家族の名前などは避ける。「家族の名前はともかく,恋人の名前は誰にも教えていないから大丈夫」などと考えてはいけない。よほど変わった名前でない限り,人名などは容易に推測できてしまう(関連記事)。
パスワードとしては,アルファベットの大文字と小文字,数字および記号のすべてを含む,意味を持たない文字列が望ましい。ただし,全くの無意味な文字列だと,ユーザー本人が覚えられないという問題が発生する。覚えられないために,後述するように付箋にパスワードを書いてデスクに張るようになってしまっては意味がない。
本人には意味があるが,第三者には無意味に見える文字列が望ましい。そのような文字列の作り方としては,例えば,お気に入りの歌のフレーズから作る方法がある。もちろんそのまま使っては,意味がある文字列なので推測されてしまう。自分なりのルールでフレーズを変換した文字列をパスワードに使う。関連記事で紹介しているように,歌詞の中の各単語の頭文字を抜き出す方法などが考えられるだろう。
また,アカウントを複数持っている場合には,それぞれに異なるパスワードを設定したい。
・定期的に変更する
さらに,パスワードを定期的に変更するとより安全である。最低限,システムの使用開始時にシステム管理者から付与される仮パスワードは,速やかに変更する必要がある。システム管理者を疑うわけではないが,仮パスワードは本人以外にも知っている人物が存在する,あくまでも「仮」のものである。
・メモっておかない
推測されにくいパスワードを設定しても,適切に管理しなければ意味がない。よく言われることだが,付箋にパスワードを書き,使用するコンピュータに貼っているユーザーは少なくない。IT Pro読者の中には「まだそんなユーザーがいるのか」と疑う方もいるだろうが,実際に多いのである。これでは,自宅の家の玄関ドアに,鍵を貼りつけておくようなもので,パスワードとしての役目を果たせない。
・他人に見られないように入力する
肩越しでパスワードの入力を盗み見る手法は「ショルダー・ハック(Shoulder Hack)」などと呼ばれる。「公共の場ならいざ知らず,社内でも気にする必要があるのか」と思われるかもしれないが,同僚にパスワードを盗み見られて悪用された事例は実際にある。注意するに超したことはない。
・パスワード以外の認証方法を用いる
上記のようなパスワード設定や管理をすべて実践するのは,相当の利便性を犠牲にするため,一般ユーザーには困難かもしれない。実践が難しいユーザーが多い組織では,コストとの兼ね合いにはなるが,パスワード以外の認証方法を導入することを考慮すべきだろう。バイオメトリクス認証やUSB キーなどのトークンによる認証方法を導入すれば,パスワードを記憶する必要はなくなる。また,シングル・サインオン・システムを導入すれば,システムによって異なるパスワードを設定する必要がなくなる。
2. セキュリティ・パッチの適用
OSやアプリケーションのセキュリティ・ホールをきちんとふさぐこともユーザーの義務である。各クライアントのセキュリティ・ホールの適用状況を調べ,自動的に適用するシステムがいくつか市場に出ているものの,ユーザー任せの組織がほとんどだろう。
自分のコンピュータにログインしたら,新しいパッチが出ていないか,重要なパッチが公開されていないかをユーザーがチェックする必要がある。特に,Windowsユーザーは「Windows Update」の実施が不可欠である。重要なパッチが公開されている場合には, できるだけ早く適用すべきである。
2003年8月に流行した「Blaster」のように,セキュリティ・ホールを修正していないコンピュータはネットワークに接続するだけで感染するウイルスが出現している。ウイルス対策の一つとして,セキュリティ・ホールをふさぐことは不可欠なのだ。
3. ウイルスのチェック
現在では,ほとんどの組織において,ウイルス対策ソフトが各コンピュータにインストールされていることと思う。しかし,インストールされていても,各ユーザーがきちんと運用しなければウイルス感染を避けられない。
・パターン・ファイルは毎日更新する
まず,パターン・ファイル(ウイルス定義ファイル)は絶えず最新のものを使用するようにする。これを実践するには,コンピュータを起動した時点で,最新のパターン・ファイルがないかどうかをチェックするように設定しておけばよい。デフォルトでそのような設定になっているウイルス対策ソフトは多い。自分が使用している対策ソフトの設定を確認して,そのような設定になっていなければ,その設定にする。そのような設定ができない対策ソフトでは,自分自身で更新されていないかどうかを毎日チェックする。
パターン・ファイルが更新されたら,そのパターン・ファイルで,コンピュータ上のすべてのファイルがウイルスに感染していないかどうかチェックしたい。ただし,すべてのファイルをチェックするのは時間がかかる。いくつかのウイルス対策ソフトは,バッググラウンドでチェックしてくれるので,チェックしながら通常業務を行えるが,チェック時にCPUリソースのほとんどを使用するものがある。そういった対策ソフトを使っている場合には,昼休みや終業時などにチェックするようにしたい。
・感染を確認したら報告する
ウイルスが見つかった場合,対策ソフトは自動的にウイルス・ファイルを削除したり隔離したりするので,特にユーザーがすることはない。しかし,自分が感染していることはシステム管理者などに報告する必要がある。自分が感染しているということは,LAN内の他のコンピュータにも感染している可能性があるからだ。
そのためにも,ウイルスを発見したら誰に報告すべきかを知っておく必要がある。システム管理者やセキュリティ担当者は,ユーザーに報告先を周知させておくべきだ。
4. 未使用のサービスやアプリケーションの停止
コンピュータを安全に使うためには,未使用のサービスやアプリケーションを停止あるいは削除しておく必要がある。自分は使っていないために存在を意識していなかったアプリケーションのセキュリティ・ホールが原因でウイルスに感染したケースを筆者は多数耳にしている。サーバー・コンピュータに限らず,クライアント・コンピュータでも,未使用のサービスやアプリケーションはできるだけ停止しておくべきである。
ユーザーとしては,まずはインストールされているプログラムをすべてチェックすべきだろう。Windowsの場合には「コントロールパネル」の「アプリケーションの追加と削除」などから,現在インストールされているプログラムを調べる。
自分が使っていないプログラムや覚えがないプログラムがあれば,できるだけアンインストールすべきだ。セキュリティのためだけではなく,ディスク容量の節約にもなる。
ただ,自分に覚えがないプログラムでも,アンインストールすると,他の必要なプログラムに影響を与える場合がある。不安を覚える場合には,アンインストールする前に,システム管理者やコンピュータに詳しいユーザーに問い合わせてほしい。
インストールされているプログラムをすべて調べるのは容易ではない。ただ,自分のコンピュータで稼働しているプログラムを把握していれば,適用すべきセキュリティ・パッチがすぐに分かる。また,プログラムに対する知識なども得られるので,時間があるときにでも,ぜひ一度調べていただきたい。
5. 不要なWebアクセスの禁止
業務の上でWebを利用する機会は多いだろう。Webなしでは仕事が進まないユーザーも多いことだろう。ただし,Webは便利な半面,使い方を誤ると,情報漏えいや組織の信用を失う危険性をはらんでいる。
ユーザーは,業務上必要なアクセスのみにとどめ,必要のないWeb サイトの閲覧は極力控えるべきだ。組織内のコンピュータから書き込みを行うなどはもってのほかである。
というのも,組織のプロキシ・サーバーはもちろんのこと,相手のWebサーバーにもログが残るからである。ログに残ったIPアドレスから,どの組織のコンピュータからアクセスしたのかが明白になる。書き込みなどを行えば,その組織を代表した意見だと思われる可能性もある。
私的なWebアクセスは自宅のコンピュータから行うべきだ。私的利用を禁止していない組織でも,できるだけ控えたほうがよい。特に,公序良俗に反するサイトへのアクセスや,掲示板サイトへの書き込みは,組織のコンピュータから行うべきではない。記録はすべて残っている。「なぜこのWebサイトにアクセスしたのか?」と問われた場合に,答えに窮するようなサイトへは組織のコンピュータからアクセスしてはいけない。
<あなたは大丈夫?ユーザーが守るべきセキュリティ10カ条(下)に続く>
井上 秀 (INOUE Hiizu)
NECソフト株式会社 サーバソリューション事業部
LinuxソリューションG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
