【第七回】新規投資最小限のセキュリティ対策とは(第二回目
こんにちは。キューブ・エス中村です。
前回に引き続き、費用最小限で行なうセキュリティ対策についてお話をします。
前回も書いた事ではありますが、セキュリティ脅威を大別すると
1.社外秘情報(社員個人情報・顧客情報を含む)の漏洩
2.社外秘情報の無効化/消去
3.PC等IT資産の破損、使用妨害
4.ネットワークへの侵入、通信妨害・破壊
等があると言いました。
前回はこれ等をプログラム的に行なう事が出来るウイルスへの対策ではありましたが
今回はこれ等を行なう事が出来る社員による内部犯的な動きについて
費用を極力かけずに対策する事を考えてみましょう。
■コンピュータディスクの暗号化
ファイルサーバ等を持たない場合、Windows標準の機能で構いませんので
BitLocker等でHDD/SSDの起動領域、データ領域をパスワード暗号化してしまう事を
お勧めします。
パソコンの内部に保存された情報が暗号化されていない場合、
パソコンが盗難、又は紛失した場合に、他のコンピュータにつなげ直すことで
容易にアクセスし、内容を読み出す事が出来てしまうからです。
ディスクを暗号化してしまえば、これを避ける事が可能です。
しかも、ローカルログインをする際のパスワードクラック等を
受け付けなくする方法にもなりえる為、まずは非常に効果的であると言えるかと思います。
■ファイルサーバの導入
出来る限り費用をかけず、とお話しているのに、比較的準備に費用が掛かる内容が出てきました。
申し訳ない!とは言いつつ、ちゃんと理由があります。
個人のコンピュータに保存した場合、万が一のファイルの破損、
ウイルス混入による影響が図りしれない為です。
高機能NAS等のファイルサーバとなる物を準備すれば比較的安価に、
そして安全にファイルの管理を行なう事が出来、万が一ウイルスの混入等があった場合も
至急新調したパソコンからファイルサーバ内のファイルを確認する事で
業務継続を行なう事が出来るメリットがあります。
■ファイルサーバ内のユーザ細分化とアクセス権管理
さて、ファイルサーバの導入をしたとして、
ユーザの細分化とアクセス権管理が出来てない場合はどうなるでしょうか。
考えられる可能性はいくつかありますが、
例えば役員以外が見る必要のない社外秘資料が一般社員にも見えてしまったり
操作が出来てしまった場合は簡単にコピーして漏洩する事が出来てしまいます。
また、ユーザ作成・設定が面倒との話で、兼用するケースも好ましくありません。
user01と言うユーザを一般社員皆で使っている。。。なんてケースの場合、
深夜に侵入した過去に勤務していた何者かがuser01を使用してデータを盗んで。。。
何てことも考えられる事を強く意識する必要があるでしょう。
出来る限り、その人専用のユーザを作成して個々に使ってもらう様して下さい。
■覚えられる、且つ長さのあるパスワード
これだけやってさあ安心。。。と思いきや、
覚えられない様な相当に複雑なパスワードを使用する場合、
パソコンの前に付箋でパスワードを書いて張り付けているケース等も顧客現場で散見します。
言わずもがなこれは、本当にまずいです。何にも守られていないという事ですから。。。
じゃあどうすれば良いのか?
ここで一つの質問なのですが、
全く意味を持たない複雑な8桁のパスワードと
少々意味を持つ16桁のパスワードを比較した場合
どちらが解除されにくいのでしょうか?
実は答えは後者なのはご存知でしょうか。
勿論、少々意味を持つといえども、P@ssW0rdとか、123qweSAD等の
一般的に多すぎて突破されやすいとされる文字列を含んだ物は絶対にNGで、
且つ英大文字小文字+数字位は使う必要があります。
基本的にパスワードを解読する場合、攻撃方法で一番多いのは
ブルートフォースアタック(総当たり攻撃)です。
総当たりの場合、攻撃用のパターンについて
・アルファベット(小文字のみ(26文字))
・アルファベット(大文字+小文字(52文字)
・アルファベット+数字(大文字+小文字+数字(62文字)
・アルファベット+数字+記号(大文字+小文字+数字+記号(93文字)
のそれぞれで検証をしたところ
6桁のパスワードの場合、小文字だけならば1秒未満で解読できたものが10桁ならば9時間かかり
英数字(大文字小文字数字)だと6桁が13秒、10桁が約6年
記号も含めた場合は6桁が2分半、10桁が341年かかるだろう。。。と言う研究結果が出たとの事です。
総当たりと言う事は意味が無いものも結局は試してみる動きになります。
なので、意味があるか無いかはそんなに関係する所ではありません。
そして、むしろ文字パターンを増やしても6桁だと140倍(1秒未満→146秒)位しか影響がなかったものが
4桁増やすだけで32400倍(9時間)の強固さを得られるという事です。
但し、9時間位ならばパソコンをつけて解析を行なう事が現実的に可能です。
これを避ける為には全パターンを検索するのに6年かかるアルファベット大文字小文字+数字位は
パターンがあり、且つ忘れない様にメモをしないといけない様な物ではなく
個々人が忘れることはないパターンで10桁以上、願わくば16桁位のものを使えば
まぁ、まず突破されることは無いでしょう