【第七回】新規投資最小限のセキュリティ対策とは(第二回目

こんにちは。キューブ・エス中村です。

前回に引き続き、費用最小限で行なうセキュリティ対策についてお話をします。

 

前回も書いた事ではありますが、セキュリティ脅威を大別すると

1.社外秘情報(社員個人情報・顧客情報を含む)の漏洩

2.社外秘情報の無効化/消去

3.PC等IT資産の破損、使用妨害

4.ネットワークへの侵入、通信妨害・破壊

等があると言いました。

 

前回はこれ等をプログラム的に行なう事が出来るウイルスへの対策ではありましたが

今回はこれ等を行なう事が出来る社員による内部犯的な動きについて

費用を極力かけずに対策する事を考えてみましょう。

 

■コンピュータディスクの暗号化

ファイルサーバ等を持たない場合、Windows標準の機能で構いませんので

BitLocker等でHDD/SSDの起動領域、データ領域をパスワード暗号化してしまう事を

お勧めします。

 

パソコンの内部に保存された情報が暗号化されていない場合、

パソコンが盗難、又は紛失した場合に、他のコンピュータにつなげ直すことで

容易にアクセスし、内容を読み出す事が出来てしまうからです。

 

ディスクを暗号化してしまえば、これを避ける事が可能です。

しかも、ローカルログインをする際のパスワードクラック等を

受け付けなくする方法にもなりえる為、まずは非常に効果的であると言えるかと思います。

 

■ファイルサーバの導入

出来る限り費用をかけず、とお話しているのに、比較的準備に費用が掛かる内容が出てきました。

申し訳ない!とは言いつつ、ちゃんと理由があります。

 

個人のコンピュータに保存した場合、万が一のファイルの破損、

ウイルス混入による影響が図りしれない為です。

 

高機能NAS等のファイルサーバとなる物を準備すれば比較的安価に、

そして安全にファイルの管理を行なう事が出来、万が一ウイルスの混入等があった場合も

至急新調したパソコンからファイルサーバ内のファイルを確認する事で

業務継続を行なう事が出来るメリットがあります。

 

■ファイルサーバ内のユーザ細分化とアクセス権管理

さて、ファイルサーバの導入をしたとして、

ユーザの細分化とアクセス権管理が出来てない場合はどうなるでしょうか。

 

考えられる可能性はいくつかありますが、

例えば役員以外が見る必要のない社外秘資料が一般社員にも見えてしまったり

操作が出来てしまった場合は簡単にコピーして漏洩する事が出来てしまいます。

 

また、ユーザ作成・設定が面倒との話で、兼用するケースも好ましくありません。

user01と言うユーザを一般社員皆で使っている。。。なんてケースの場合、

深夜に侵入した過去に勤務していた何者かがuser01を使用してデータを盗んで。。。

何てことも考えられる事を強く意識する必要があるでしょう。

出来る限り、その人専用のユーザを作成して個々に使ってもらう様して下さい。

 

■覚えられる、且つ長さのあるパスワード

これだけやってさあ安心。。。と思いきや、

覚えられない様な相当に複雑なパスワードを使用する場合、

パソコンの前に付箋でパスワードを書いて張り付けているケース等も顧客現場で散見します。

言わずもがなこれは、本当にまずいです。何にも守られていないという事ですから。。。

 

じゃあどうすれば良いのか?

ここで一つの質問なのですが、

全く意味を持たない複雑な8桁のパスワードと

少々意味を持つ16桁のパスワードを比較した場合

どちらが解除されにくいのでしょうか?

 

実は答えは後者なのはご存知でしょうか。

勿論、少々意味を持つといえども、P@ssW0rdとか、123qweSAD等の

一般的に多すぎて突破されやすいとされる文字列を含んだ物は絶対にNGで、

且つ英大文字小文字+数字位は使う必要があります。

 

 

基本的にパスワードを解読する場合、攻撃方法で一番多いのは

ブルートフォースアタック(総当たり攻撃)です。

総当たりの場合、攻撃用のパターンについて

・アルファベット(小文字のみ(26文字))

・アルファベット(大文字+小文字(52文字)

・アルファベット+数字(大文字+小文字+数字(62文字)

・アルファベット+数字+記号(大文字+小文字+数字+記号(93文字)

のそれぞれで検証をしたところ

6桁のパスワードの場合、小文字だけならば1秒未満で解読できたものが10桁ならば9時間かかり

英数字(大文字小文字数字)だと6桁が13秒、10桁が約6年

記号も含めた場合は6桁が2分半、10桁が341年かかるだろう。。。と言う研究結果が出たとの事です。

 

総当たりと言う事は意味が無いものも結局は試してみる動きになります。

なので、意味があるか無いかはそんなに関係する所ではありません。

そして、むしろ文字パターンを増やしても6桁だと140倍(1秒未満→146秒)位しか影響がなかったものが

4桁増やすだけで32400倍(9時間)の強固さを得られるという事です。

但し、9時間位ならばパソコンをつけて解析を行なう事が現実的に可能です。

これを避ける為には全パターンを検索するのに6年かかるアルファベット大文字小文字+数字位は

パターンがあり、且つ忘れない様にメモをしないといけない様な物ではなく

個々人が忘れることはないパターンで10桁以上、願わくば16桁位のものを使えば

まぁ、まず突破されることは無いでしょう

【第六回】新規投資最小限のセキュリティ対策とは(第一回目

こんにちは。キューブ・エス中村です。

今回は投資をせず、又は最小限に抑えても十分なセキュリティ対策をする為に

どの様な環境を作れば良いのかについて解説致します。

 

まず、セキュリティ対策と言っても様々な脅威があります。

これらを大別した際に簡単に考えられるのは

1.社外秘情報(社員個人情報・顧客情報を含む)の漏洩

2.社外秘情報の無効化/消去

3.PC等IT資産の破損、使用妨害

4.ネットワークへの侵入、通信妨害・破壊

等があります。

 

今回は1の社外秘情報の漏洩対策について

タダ、もしくは費用をかけずに出来る対策を紹介いたします。

 

■メールソフトについて、ウイルス対策がされているWEBメールを使用する

全ての脅威に共通してリスクだと言えるのはネットワーク内へのウイルスの混入です。

ウイルスの混入経路は様々ではありますが、ある調査によると

経路不明の場合を除いた報告されたケースの約90%がメール経由

その他ネットワーク経由が残り9%程度、

そして残りは外部記録媒体(USBメモリ等)が1%程度らしいです。

 

と言う事は、まずはメール、そしてWEB、最後にUSBを制限する事で

対策が出来る可能性があるという事です。

 

メールに関しては添付されたファイルの実行が出来ない様にしてしまうだけで

幾分かは安全に使用する事が可能です。

ただ、クライアント依存をするPOP3やIMAPによるメールのダウンロードには限界もあります。

ここでご紹介したいのがWEBメールの使用です。

様々なWEBメール業者では実行ファイルの添付を禁止したり、定期的なメールの検索により

怪しいファイルが添付されている場合は警告メッセージのみ受信者に送り、

メールを受信できない様にされている物が多々あります。

メールサーバに受信した時点でウイルスの混入を検索してくれますので、

問題があるメールの多くをこの時点でカットする事が出来れば、

先に挙げました90%のリスクをかなり低減させる事が可能です。

 

■SmartScreenやSafeBrowsingを使用する

WEBからのダウンロードですが、Edgeを使用する場合はSmartScreenを有効化して

FireFoxやGoogleChrome等を使用する場合はそのままで(SafeBrowsing)

危険性の高いページ接続時に警告をしてくれる機能を使う事で

より安全性を高める事が可能です。

 

■USBストレージの接続を禁止する

USBメモリ等については意見の分かれるところではあるのですが

ネットワークを経由しない分、ファイルにアクセスできる状態である事そのものが

危険を誘発する状態となります。

また、この対策を行なう事で悪意を持ってデータを盗み出す社員への対策にもなります為、

個人的にはUSBストレージの使用そのものを設定で禁止する方法を強くお勧め致します。

 

USBストレージへのアクセス禁止はレジストリ変更で可能です。

細かい手順は今回は記載を省きますが、レジストリで禁止をすれば

USB機器は使用が出来る一方、USBメモリやハードディスクは使用が出来ないので

ユーザビリティを落とすこと無く対策が出来るので一石二鳥です。

 


尚、ウイルスへの根本対策としてはフリーの物でも良いので、根本的対策として

ウイルス対策ソフトを導入する事は必須と考えて下さい。

速度低下が気になる場合でも、せめてWindows標準で使用できるDefenderが

ちゃんと有効になっている事を確認して下さい。

 

ここでポイントは、まれに見る状況ですが、ライセンス切れのウイルス対策ソフトを

そのまま使用する事は絶対にない様にすることです。

 

ライセンスの切れたウイルス対策ソフトは新しいパターンもダウンロードされず、

Defenderが標準装備されているWindows Vista以降のコンピュータに関しては

むしろ有害であると言えると思います。

Defenderには搭載されていない様々な機能がある事が多い為、

別途購入が必要なウイルス対策ソフトの購入が無駄だとは言いませんが

もしライセンス期限が切れて購入を促される様な状態になっている場合は

是非ともアンインストールをする様心がけてください。

【第五回】無線LAN設定での注意点

皆様こんにちは。キューブ・エス中村です。

今回は無線LANについて、安全に使用する為の注意点をいくつか挙げさせていただきます。

 

■SSIDは秘匿する(ブロードキャストしない)

SSIDが秘匿できる製品の場合はブロードキャストしない事により

無用な攻撃を避ける事が可能です。

接続時には若干面倒ではありますが、SSIDを個別に設定して

ログインする必要がある為、悪意を持った外部のユーザからは

これだけでかなり強固な設定となります。

 

■MACアドレス制限をかける

社内のリソースにアクセスできるSSIDへの接続には

MACアドレス制限をつける事により指定した機器のみしか業務LANに

無線LAN経由で接続できなくすることが可能です。

※但し新規導入機器がある度にMACアドレスの棚卸が必要です。

 

■近隣に2台以上のAPを置かない

案外良くあるケースとして、2.4Ghzの無線LAN電波が競合するケースがあります。

昨今のAPでは自動チャンネル制御を備えており、自動的に競合しない

電波周波数に自動設定し直すものもありますが、

経験則、あくまで補助機能であり、完全ではありません。

電波競合を起こすと接続は弱くなり、まともに使えなくなります為、

出来る限りAP同士は離した上で、願わくばPC側も5Ghzの無線LANを

使用する用に心がけてください。

 

■暗号化方式にはWPA2パーソナル(AES)を使用する

現在の事情ではWPA2パーソナル(AES)が最も強い暗号化方式となります。

それでもWPA2について先日脆弱性が判明しましたが、

それでも限定的である事は誤認識頂き、

特定の場合を除き安心して頂いて良いかと思います。

WPA、WEP、TKIPは既に脆弱性が見つかっております。

のっぴきならない事情が無い限り選択は避けて下さい。

 

■中継器モードを備えた機器は「KRACKs」対応状況を確認して使用する

2017年11月、現段階で最強の暗号化特性を持ち安全と言われてきた

WPA2の脆弱性が発見され、「KRACKs」と名付けられました。

この脆弱性を受ける機器は

・ファームウェアが「KRACKs」に対応していない

・中継機能が使用されている

環境で起こり得るという事が判っています。

この為、もし中継器モードを備えた機器を使用する場合は

ファームウェアのアップグレード等も見据えた上で、

対応状況を確認しながら使用して下さい。

 

■可能であればIEEE802.1x認証を使用する

SSIDとPSKだけで認証をする場合、そのセットを持ち出しすれば

離職者も近くに来て使用する事が出来るようになってしまいます。

これを防ぐためには離職者が出る度にPSKを変更して

各接続PCの設定を変更するか、認証サーバを導入して

IEEE802.1x認証で認証をさせるかのいずれかが有効です。

特にIEEE802.1x認証を使用する場合は各ユーザにIDとパスワードが

割り当てした上で、接続時に使用するのはこの各ユーザのIDパスワードである為

離職者についてはIDを削除、または無効化してしまえばそれで

無線LANに接続が出来なくなるわけです。

 

無線LANも使い方次第では安全に、非常に便利に使用が可能です。

弊社にご連絡頂ければ、安全かつ非常に便利な使用についてご提案できます。

ご検討の企業様はお気軽にご連絡下さいませ。