ページの先頭です。 メニューを飛ばして本文へ
トップページ > 基本的なセキュリティ対策

本文

基本的なセキュリティ対策

掲載日:2024年6月12日 印刷ページ表示

ぜい弱性(セキュリティホール)とは

 OSやソフトウェア、ネットワーク機器等において、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥です。
 ぜい弱性が放置された状態でコンピュータやネットワーク機器等を利用していると、不正アクセス、ウイルス感染、ウェブサイトの改ざん、情報漏えい等の被害に遭うおそれがあります。

OSやソフトウェアの適切な更新

ぜい弱性対策

 OSやソフトウェア、ネットワーク機器等を開発したメーカーが提供する修正プログラム(パッチ)を速やかに適用(OSやソフトウェア等を更新)して、最新の状態に保ってください。
※ 新たなぜい弱性が発見される可能性があるので、継続的にぜい弱性対策を講じる必要があります。

 ぜい弱性情報については、次のウェブサイトでも確認できます。(参考)
 JVN iPedia 脆弱性対策情報データベース(https://jvndb.jvn.jp)<外部リンク>

ゼロデイ攻撃

 ゼロデイ攻撃とは、メーカーが修正プログラムを配布するまでの間(ゼロデイ)に、OSやソフトウェア、ネットワーク機器等のぜい弱性を利用して行われる攻撃です。
 修正プログラムが配布されていないため、根本的な対策を講じることは困難ですが、ウイルス対策ソフト等の導入、ネットワークやパソコン等の挙動監視等によって、被害の未然防止・拡大防止を図ることが大切です。

IDとパスワードの適切な管理

 ID(ユーザアカウント)とパスワードが窃取されてしまうと、不正アクセスされ、サーバやネットワーク機器等を乗っ取られたり、インターネットサービスを悪用されたりします。そのためIDやパスワードは、適切に管理してください。

初期パスワードの変更

 初期パスワード(デフォルトパスワード)は、初期のテストやインストール、設定等に使用するため、機器等にあらかじめ設定されているパスワードです。初期パスワードを変更せずにソフトウェアやサービス、ネットワーク機器等を使用していると、攻撃者にそれらを乗っ取られる危険があります。
 初期パスワードは必ず変更してください。

安全なパスワードの設定

 単語や生年月日等を含めたパスワードは、攻撃者に簡単に推測されてしまいます。次の例を参考に、安全なパスワードを設定してください。
・ パスワードの文字列は10文字以上にする
・ 推測されやすい単語、生年月日、数字、キーボードの配列順等の文字の並びやIDは含めない
・ 大小英字・数字・記号を全て使う
・ 複数のIDでパスワードを使い回さない

【コアパスワード】

「コアパスワード」の活用
1 コアパスワードの作成
  趣味や興味のあることなどから決めたフレーズを基に、覚えやすく、強度の強いパスワードを作成します。これを全てのパスワードで共通して使用するコアパスワードとします。
  (例)「テレビが好き」というフレーズをコアパスワードにする方法
   (1) ローマ字へ変更「terebigasuki」
   (2) 一部を大文字に「terebiGAsuki」※gaをGAに変換
   (3) 記号・数字を追加「terebiGAsuki!!06」※記号「!!」数字「06」を追加
   (4) 強度の高いコアパスワード「terebiGAsuki!!06」が完成

2 コアパスワードの活用
  サービス名の略称、頭文字等から、サービス毎に短い文字列を決めます。これをサービス毎の識別子として、コアパスワードの前又は後に追加します。
  (作成例)
サービス名   サービス毎の識別子  コアパスワード    完成したパスワード
abcクラウド      abc     terebiGAsuki!!06 ⇒ abcterebiGAsuki!!06
いろは銀行       irh     terebiGAsuki!!06 ⇒ irhterebiGAsuki!!06

 コアパスワードが共通でも、異なる識別子を追加すれば、サービス毎に異なるパスワードが作成可能となり、パスワードの使い回しが回避できます。
 独立行政法人情報処理推進機構「安心相談窓口だより」(https://www.ipa.go.jp/security/anshin/mgdayori20160803.html)<外部リンク>

パスワードやIDの適切な管理方法

 パスワードやIDは、次の例を参考に適切に管理してください。
・ パスワードは他人に教えない
・ ID、パスワードは、紙にメモして、人目に触れない場所で保管する
・ ID、パスワードは、不用意にインターネット上で入力・記録しない
・ ネットカフェ等、不特定多数が使用するパソコンでは、ID、パスワード等を入力しない
・ 利用頻度の低いサービスや不要なサービスのIDは削除する

ワンタイムパスワード等の二段階認証機能の活用

 通常のパスワードに加え、インターネットサービスが提供する生体認証(指紋、顔等)やワンタイムパスワード(ログイン時に一定時間だけ有効なパスワード)を利用した二要素認証機能を活用することで強いセキュリティとなります。
※ 二要素認証以上の多要素認証を活用することで、安全性は高まります。

ログイン履歴機能、ログインアラート機能の活用

 心当たりのない不正なアクセスがないか、ログイン履歴を確認してください。
※ 通常と異なる時間帯やアクセス元からログインされた際にメールが送信されるアラート機能を活用することも有効です。

IDとパスワードが流出してしまったら

 【ログインできる場合】
・ ログインしてすぐにパスワードを変更する
・ アクセス履歴を確認する
※ 不審なアクセス履歴を発見した場合は、被害の状況をサービスの提供者やシステム管理者に連絡してください。
 【ログインできない場合】
・ サービスの提供者やシステム管理者に連絡して、IDの停止、被害状況の確認等を依頼する
※ クレジットカードや銀行口座情報等を登録していた場合は、クレジットカード会社や銀行に使用停止を依頼してください。

IDとパスワードが不正利用されログインされてしまったら

 不正アクセス被害にあったおそれがあります。
・ サービス提供会社等に相談する
・ パスワードを変更等の対応
・ ログイン履歴等を保存する
・ 警察に通報・相談する
 などの対応が必要です。
※ 詳しくは、「不正アクセス対策」を確認してください。

事業者の方へ

・ 従業員やサービスの利用者等が簡単に推測されるパスワードを設定できないようにする
・ ワンタイムパスワード等の二要素認証や多要素認証を積極的に採用する
・ 利用者に対して、パスワードの適正な設定について周知する
・ 従業員やサービスの利用者等がID、パスワード等を利用する立場でなくなった場合は、割り当てていたIDの削除・停止やパスワードの変更を速やかに行う

ウイルス対策ソフト等の導入等

ウイルス対策ソフト等の導入

 コンピュータ・ウイルス(不正プログラム)に感染してしまうと、情報が窃取されたり、不正な侵入口(バッグドア)を設置されたりするため、必ずウイルス対策ソフト等を導入しましょう。

パターンファイルの更新

 ウイルス対策ソフト等のパターンファイルが古いと、ウイルスに感染してしまう危険があります。新しいウイルスに対応するため
・ 常にウイルス対策ソフト等のパターンファイルを最新のものに更新する
・ 定期的にウイルススキャンを実行する
 等を行ってください。

参考リンク

・ 総務省「国民のためのサイバーセキュリティサイト(https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html)<外部リンク>