【セキュリティ対策の基本】この5つだけは対応必須!

【セキュリティ対策の基本】この5つだけは対応必須!IT/WEB

PCやスマホを使う以上は、大小さまざまなセキュリティの脅威にさらされることになります。

そのような脅威に対してどのようなセキュリティ対策を行えば十分と言えるのでしょうか?

この記事では「ITにあまり詳しくない」という初心者でも最低限やっておくべきセキュリティ対策の基本を解説していきたいと思います。

セキュリティ対策の基本はこの5つ

さまざまなセキュリティの脅威があり、それに対するさまざまなセキュリティ対策が存在していますが、“キホン” として最低限やっておくべきセキュリティ対策は次の5つです。

セキュリティ対策の基本
  • ソフトウェアの更新
  • セキュリティソフトの利用
  • パスワードの管理・認証の強化
  • 設定の見直し
  • 脅威・手口を知る

この5つだけを対応すれば100%安心というわけではありませんが、この5つを押さえておけば、多くのセキュリティの脅威に対応することが可能になります。

この5つが「セキュリティ対策の基本」である理由

この5つの対策の詳細についてはこのあと解説していきますが、なぜこの5つを押さえれば、多くのセキュリティの脅威に対応できるのでしょうか?

セキュリティの脅威自体はいろいろな種類のものが存在していますが、その攻撃の入り口となる部分は多くの脅威で似通っていると言われています。

IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威 2021」によると、

世の中には「情報セキュリティ 10 大脅威」へランクインした脅威以外にも多数の脅威が存在する。
とは言え、これらが利用する「攻撃の糸口」は似通っており、脆弱性を突く、ウイルスを使う、ソーシャルエンジニアリングを使う等の古くからある基本的な手口が使われている。

IPA「情報セキュリティ10大脅威 2021」より

という記載があり、「攻撃の糸口」(攻撃の入り口)となる部分は、多くの脅威において基本的な手口が使われていることがわかります。

つまり、多くの脅威で共通している攻撃の糸口に対して対策を行えば、多くの脅威による攻撃を防ぐことができるということになります。

IPAでは、攻撃の糸口は次の5つに分類されるとしています。

攻撃の糸口
  • ソフトウェアの脆弱性
  • ウイルス感染
  • パスワード窃取
  • 設定不備
  • 誘導(罠にはめる)

もう気づいた人もいるかもしれませんが、この攻撃の糸口に対する対策が、上で最初に挙げた5つのセキュリティ対策の基本です。

セキュリティ対策の基本はこの5つ

つまり5つのセキュリティ対策の基本を確実に実施すれば、5つの攻撃の糸口を防ぐことができ、結果的に多くのセキュリティの脅威に対応することができるということになります。

5つのセキュリティ対策の基本をひとつずつ解説

それでは5つのセキュリティ対策の基本について、具体的な内容をひとつずつ解説していきます。

セキュリティ対策の基本
  • ソフトウェアの更新
  • セキュリティソフトの利用
  • パスワードの管理・認証の強化
  • 設定の見直し
  • 脅威・手口を知る

ソフトウェアの更新

ソフトウェアの更新
IPA「情報セキュリティ10大脅威 2015」より

「ソフトウェアの更新」は「ソフトウェアの脆弱性」に対する対策です。

ソフトウェアにはセキュリティの欠陥である脆弱性(セキュリティホールとも呼ばれます)が存在する場合があります。

ソフトウェアの脆弱性が悪用されるとウイルスの感染や侵入などの攻撃に利用されます。

これらの攻撃を防ぐためにはソフトウェアを更新して脆弱性を根本的に解消することが必要です。

Windowsなどを利用していると月に1回程度、「更新してシャットダウン」などの通知が表示されることがあると思います。

これはWindowsのメーカーであるマイクロソフトが脆弱性などを解消したソフトウェアを自動的に配信し、PCをシャットダウンする際などにソフトウェアの更新を促しているものです。

個人で利用するPCやスマホでソフトウェアの更新が通知された場合は、原則的にソフトウェアの更新を行うようにしましょう。

セキュリティソフトの利用

セキュリティソフトの利用
IPA「情報セキュリティ10大脅威 2015」より

「セキュリティソフトの利用」は「ウイルス感染」に対する対策です。

ウイルスに感染するとPCやスマホなどの端末に限らず、個人情報の漏洩など、とても大きな被害に拡大する可能性があります。

ウイルス感染のリスクとセキュリティソフトの必要性については、【セキュリティソフトの必要性】入っていないと危ない?に詳しくまとめていますのでご覧ください。

パスワードの管理・認証の強化

パスワードの管理・認証の強化
IPA「情報セキュリティ10大脅威 2015」より

「パスワードの管理・認証の強化」は「パスワード窃取」に対する対策です。

パスワードは本人だけが知っているということを前提にした認証方式であり、当然ながらパスワードは第三者に知られてはなりません。

パスワードを設定する際は短く推測されやすい文字列や、誕生日や名前などの文字列などを避け、可能な限り長く複雑な文字列が好ましいとされています。

また同じパスワードを複数のウェブサービスで設定していると、どこかでパスワードが盗まれた場合、複数のウェブサービスに被害が及んでしまいます。

ですので、ウェブサービスごとに異なるパスワードを設定しておく必要があります。

ワンタイムパスワードなどの2段階認証(2要素認証)を提供しているサービスも増えてきているので、個人情報や口座情報、クレジットカード情報などを登録しているウェブサービスでは、積極的に利用して認証の強化を行いましょう。

設定の見直し

設定の見直し
IPA「情報セキュリティ10大脅威 2015」より

「設定の見直し」は「設定不備」に対する対策です。

PCやスマホを買ったばかりのときやソフトウェアをインストールしたときなど、初期状態では不要な機能が有効になっていたり、適切なアクセス制限がされていない場合があります。

このような初期状態のまま使用すると、特定の機能を悪用されたり、不正にデータへアクセスされたりする恐れがあります。

マニュアルやインターネット上の情報を確認して、利用しない機能や不要な設定は無効にし、セキュリティを強化する機能や設定は有効にするようにしましょう。

またアカウントの使いまわしなどはせずに、ユーザーごとにアカウントを作成し、それぞれのユーザーに適したアクセス権を付与するように設定しましょう。

脅威・手口を知る

脅威・手口を知る
IPA「情報セキュリティ10大脅威 2015」より

「脅威・手口を知る」は「誘導(罠にはめる)」に対する対策です。

ITの高度な技術を利用して攻撃してくる手口がある一方、メールやサイトなどで言葉巧みに誘導して画面をクリックさせる手口も存在しています。

このような誘導する手口を知っておくことで、攻撃者が仕掛けた罠に気付き、被害を未然に防ぐことができるようになります。

そのためには信頼できるセキュリティ機関が発信するセキュリティ情報を、日頃から積極的に収集する習慣をつけることが重要です。

なお、攻撃者が仕掛けたリンクを誤ってクリックしてしまっても、表示されたメッセージに従ったり、安易に表示されているボタンをクリックしたりしないようにしましょう。

クリックしてしまった場合でも冷静に対処し、対応を自分で判断できない場合は、セキュリティに詳しい身近な人や上司などに相談するようにします。

まとめ

最低限やっておくべきセキュリティ対策の基本を解説しました。

セキュリティ対策の基本
  • ソフトウェアの更新
  • セキュリティソフトの利用
  • パスワードの管理・認証の強化
  • 設定の見直し
  • 脅威・手口を知る

さまざまなセキュリティの脅威があり、さまざまなセキュリティ対策が存在していますが、まずは5つのセキュリティ対策の基本を確実に実施するようにしましょう。

そうすれば5つの攻撃の糸口を防ぐことができ、多くのセキュリティの脅威に対して有効な対策になります。

タイトルとURLをコピーしました