自分を守るセキュリティの基本のキ

更新：2023/9/8追記

　私、セキュリティとネットワークを専門に学生時代に学んで資格も持ってるただのエンジニアなんですが。
　2023/8/14の夜にpict系列のサービスでセキュリティインシデントが発生しましたね。Twitterではその話題で持ちきりですし、いろいろ不安な方もいるのかなって、セキュリティの基本についてスペースを2回ほど開きましたが、書き残しておいた方がよいかなと思ったのでここに書いておきます。
　まず言っておきたいのは、「過剰に怖がる必要はない」ということと「常に危険にさらされている意識はもつ」ということです。

＞「難し過ぎるのでは？」って言われたのでもっと簡単なの書きました！

そもそもセキュリティインシデントとは？

　セキュリティインシデントとは、危険度が高く、事業運営を危うくする可能性がある情報セキュリティ事象のことです。いわゆる「セキュリティ事故」と呼ばれる情報漏洩や不正アクセスなんかがそれです。

どんな要因で起こるの？

　セキュリティインシデントは、外的要因と内的要因に大きく分類されます。
　外的要因：
　　・第三者による不正アクセス、情報漏洩
　　・災害によるサービスの停止
　　　など
　内的要因：
　　・社員や協力会社が情報記録媒体(USBメモリなど)を紛失
　　・メールの誤送信による情報漏洩
　　　など
　「災害によるサービスの停止もセキュリティインシデントなの？」と思うでしょう。情報セキュリティにはまず3つの要素というのがあります。
　「機密性」…限られた人だけが情報に触れられるように制限すること
　「完全性」…データなどを改ざんから保護すること
　「可用性」…利用者が必要な時に安全にアクセスできること
　つまり、災害などでサービスが利用できないと上記の可用性が担保できないということなのです。

外的要因とは？

　外部からのサイバー攻撃や災害により上記の3つの要素が保てなくなることを指します。
　サイバー攻撃の例を挙げると、
　・マルウェア感染
　　悪意のあるソフトウェアの総称であり、それを指す造語です。よく言われる「ウイルス」というのもマルウェアの一種です。
　・標的型攻撃
　　個人や会社など、無差別ではなく意図的に標的を絞って攻撃を仕掛けることをいいます。今回のpict系列の攻撃はこれに当たります。
　・DoS攻撃(ドス攻撃)
　　サーバーに高負荷をかけて、サービスを利用できなくすることです。通販戦争でみんながF5(更新)アタックしているのもある種のDoS攻撃だぞ！昔某国がとあるサービスに対してキーボード連打によるF5アタックを仕掛けていたのも懐かしい話です(通常は専用のプログラムを用意して仕掛けます)
　・ランサムウェア
　　最近増えてますね。感染するとパソコン内のデータが勝手に暗号化されたり、起動しなくなったりして、何もできなくなります。そして、「使えるようにして欲しければここに振り込め」とか「ここに電話しろ」みたいな表示がされます。広告でも紛らわしいのがたまにありますよね。
　・SQLインジェクション攻撃
　　ハチャメチャ基本のkみたいなものでセキュリティ対策をしていればまず起きません。名前入力フォームとかにSQLというデータベースアクセスする言語を書くと自分以外のデータも見れてしまうやばい攻撃です。この対策されてないサービスはまじでやばいです。使わん方がいい。
　・XSS(クロスサイトスクリプティング)
　　昔懐かしの掲示板があるとします。この対策がされていない掲示板に、悪意のあるスクリプトを埋め込んだ投稿をすると、表示した人すべてのパソコンでそのスクリプトが実行されます。これも基本のkみたいな対策なのですが、意外と漏れてたりすることもあります。
　・CSRF(クロスサイトリクエストフォージェリ)
　　覚えている方もいるかもしれないので取り上げておきます。2000年代半ばから後半にかけて、mixiやTwitterなどで「ぼくはまちちゃん！」「こんにちはこんにちは！」と勝手に投稿されたのをご存知でしょつか。あれはこの脆弱性を突いた攻撃(というかはまちや氏の運営に対する警告)だったのですが、対策してないと勝手にスクリプト実行されて意図しない動きをするという具合のものです。

　また、災害によるシステム停止、サーバーの物理的な故障、クラウドサービス(Amazonやマイクロソフト、Googleのサービスが有名)の停止、自主的な不具合などによるサーバー停止、などが挙げられます。

内的要因とは？

　これは簡単な話で、
　・USBメモリなどの記録媒体の持ち出しからの紛失
　・社員証やパソコンの紛失
　・情報共有時(メールやLINEなど)の誤送信
　・デジタル機器の破損
　などが挙げられます。基本的にヒューマンエラーと呼ばれる人的ミスが原因で発生します。酒飲んで駅で寝てるうちにバッグを盗まれたとかね。私の身近にも何人かいました。

どのようにセキュリティインシデント対策を行うか

　まず、「何が情報資産なのかをはっきりさせる」必要があります。個人情報っていうのは実は決まっていて、名前だけだと個人情報にはあたりません。同姓同名がいるからです。名前に何か情報を付加して、一人に絞れるとその組み合わせが個人情報になります。余談ですが、個人情報保護法は「生存している人のみ対象」なので、亡くなった人は対象外なのが現状です。メディアで亡くなった方の名前やら諸々出るのはそういうことです。閑話休題。
　次に大事且つ最重要なのは「個々人のセキュリティリテラシーの向上」です。特に上記で挙げた内的要因については防ぐことが可能になります。学校や企業でも一定のことは学ぶかもしれませんが、実はこれが最も大事なのです。人によって大切に扱うものが違うと会話にもなりませんよね？一定ラインのリテラシーを持っていれば防げるものはたくさんあります。ぜひ真面目に学んでみてください。
　次に「OSやソフトウェアの更新を必ず行う」です。めんどくさいですよね、私も放置することがままあります。でも、アップデートやパッチの配信は、新機能追加だけではなく、発見された脆弱性への対策が含まれていることが多いです。最近iOSでゼロデイ攻撃の可能性があって緊急アップデートがありましたが、ゼロデイというのは脆弱性が発見されてから対策が行き渡るまでの期間を言い、早い時はそれこそ配信後0日で脆弱性が悪用されます。だから緊急アップデートが配信されるんですね。アップデートは面倒ですがちゃんとやりましょう。
　「セキュリティ対策ツールやサービスを使う」のも一つの手です。ウイルス対策ソフトは今はもうウイルスバスターとノートンの2強ではなくたくさんの種類がありますが、機能差があるくらいでウイルス対策としてはさほど変わらないと思うので金額やインストール台数などと相談して導入してください。windowsのファイアウォールは割と優秀らしいと聞きます。ファイアウォールとは防火扉のようなものです。敵が侵入してくるのをサービスの手前でブロックする機能です。

　ここまでは、GMOのサイトを参考にして、より噛み砕いた説明をしました。

セキュリティインシデントとは｜主な種類や最新事例・企業がとるべき対策 | GMOインターネットグループ 情報セキュリティブログ

余談

　pictSQUAREほかサービスでは今何をしているのか？気になりますよね。
　こちらのツイートを見ながら、何をしようとしているのかを追っていこうと思います。

【現在の状況について】

様々な対応をお待たせしており、誠に申し訳ありません。
現在の状況についてお伝えいたします。

■デジタルフォレンジック事前調査の開始
現在、デジタルフォレンジック調査会社様による事前調査が開始されました。
事前調査の予定は３〜４営業日とのことです。…

— pictSQUARE@オンライン即売会サービス (@pictsquarenet) August 18, 2023

　デジタルフォレンジック会社というのは企業名ではありません。情報漏洩やサイバー攻撃の被害に遭った時に、攻撃者の足取りを追ったり被害がどれほどあったのかなどを分析する企業のことです。元は法律用語だとか。
　また、愛知県警にサーバーログを提出すると言っていますね。サーバーログはきっとシステムが出しているログのことだと思うので、どのような作りかはわかりませんが、たとえば「何時何分頃にこの操作したら決済失敗したんですけど」みたいな問い合わせが来たときなどにログから情報を見て対応をするわけで、最低限の判断材料は出力しているはずなんですよね。ここから犯人の足取りが追えるかを調査するのだと思います。
　また、システムの全構築し直しとサーバー破棄、それから脆弱性診断を行うということですが。そもそも脆弱性診断ってリリース前に受けるべきなんですよね、特に今回個人情報を扱っているので。まあ受けててこうなったのかもしれませんが。脆弱性診断ってここから侵入できるかな？この攻撃の対策されてるかな？というハチャメチャたくさんの項目を検査するものなのですが、そんなにすぐ終わるものでもないし、まあまず一発で全合格はないです、経験上。なので、今がんばって作ってるのかと思うんですけど、なんとか頑張ってほしいところですね。1ヶ月復旧は見積もり甘いと思うぜ…。

総括

　最初に書きましたが、過剰に怖がる必要はないんですよ。たとえば別会社が作ってるAサイトとBサイトが似たような見た目をしている。Aサイトで情報漏洩があった、だからBもやばい！これは基本的に考えなくてよいです。もちろんBはBで対策してないかもしれません。でも、違う会社の作る違うシステムである以上、並ばせるのは違うんですよ。逆に、じゃあ何も警戒しなくていいかというとまた違っていて、AもBも無事だけどCがやばい可能性もある。私たちはいつでもセキュリティインシデントの危機に晒されていますが、その代わりに様々なサービスを受けることができているんです。
　セキュリティいろいろできるなら完璧なセキュリティのサービス作ればいいじゃん！これももっともです。ただ、セキュリティと使いやすさって紙一重というか表裏一体なんです。なぜなら、セキュリティをもっとも高くするならインターネットに繋がなければいいんです。ね？漏洩リスクもウイルス感染リスクもない。代わりになーんにと楽しくない。そういうことなんです。我々は適度なセキュリティで適度なサービスを受けています。厳しいセキュリティにするほどサービスは使いにくくなります。パスワードを強固にするほど覚えられなくて使い勝手悪いですよね？　セキュリティってそういうものなんです。

　昨今、幼稚園児ですらスマホをさわる時代です。最近の情報教育の詳細はわかりませんが、プログラミング楽しい！3Dモデル作るの楽しい！とかやってる場合があったら、小学校入学と同時にリテラシー・セキュリティ学習を義務化すべきと考えます。誰もがスマホやタブレットをもって気軽にインターネットという大海原に乗り出していく。海図の見方も海の怖さも知らずに海に出たら待っているのは死です。
　だから、インターネット(ネットワーク)とセキュリティって一緒に学ぶんですね。

　セキュリティなどITのことに少しでも興味を持った、勉強してみたい。そういう人はぜひIPA主催のITパスポートから受けてみてください。これはITに関する基本的なことが学べる試験になっています。参考書や過去問題をみるだけでも勉強になるのでおすすめです。受験料は昔より高くなったので気が向いたらで。私はここのセキュリティ試験受かってるんですけど、内容改定されてるのでまた勉強しよーと思ってます。

　そんなわけで、いかがだったでしょうか？ざっくりでもセキュリティのこと理解してくれたら嬉しいです。
　最後に、パスワードについてですが、10桁以上の数字＋英字大文字小文字＋記号だとかなり解読しにくくなるのでこのくらいをめざしましょう。パスワード管理アプリもたくさんの種類が有料無料問わずあるので、使いやすいものを選んでみましょう。私はGoogleパスワードマネージャーに全部やらせてます。

⇒「Chromeのパスワードマネージャーは平文だから危険！使っちゃいけない！」の真相（2023/9/8追記）
　興味があるならこちらを読んで欲しいんですが、

危険と言ったのは誰だ！GoogleChromeでパスワード管理

そもそも共有パソコンなのに「個人のパスワードを保存する行為がおかしい使い方」で、正確にはChromeが危険なのではなく、「パソコンの使い方を間違えている」だけ。

やりすぎセキュリティ様

　まあ、これなんですわ。
　ただ、Chromeに任せるならGoogleアカウントのパスワードをめちゃくちゃ強固にして且つ二段階認証を入れるとか、Googleアカウントを徹底して守る必要があるのですが、1個のアカウントを守ればいいだけなので楽ですよね。

　ではでは、質問などはTwitter@rh_akまで。
　よきインターネットライフを！！