テレワークにおいて個人用PCで確認しておきたい8つのセキュリティ
従来の勤務体系に捉われず、情報通信技術(ICT)を活用し、時間や場所を選ばす柔軟な働き方を目指す【テレワーク】。
政府が2016年に掲げた「働き方改革」の一環として注目されていましたが、現在のコロナウイルスの影響でテレワークの導入を検討する企業が増えています。
一般社団法人 テレワーク協会 によると、テレワークで働く場所は以下の3つに分かれています。
- 在宅勤務
- モバイルワーク
- サテライトオフィス勤務
- 在宅勤務とは?
- 自宅にいて、会社とはパソコンとインターネット、電話、ファクスで連絡をとる働き方。
- モバイルワークとは?
- 顧客先や移動中に、パソコンや携帯電話を使う働き方。
- サテライトオフィス勤務とは?
- 勤務先以外のオフィススペースでパソコンなどを利用した働き方。一社専用で社内LANがつながるスポットオフィス、専用サテライト、数社の共同サテライト、レンタルオフィスなどの施設が利用され、都市企業は郊外にサテライトを、地方企業は都心部にサテライトを置く。
テレワークが適しているのは以下のような人たちです。引用元:一般社団法人 テレワーク協会
上記のどの場所で働くにしても、テレワークに必要な設備が整っておらず、個人用PCを使わなければならないケースがあると思います。
そんな中、2020年4月21日に「IPA 情報処理推進機構:テレワークを行う際のセキュリティ上の注意事項」が公開されました。
「IPA 情報処理推進機構:テレワークを行う際のセキュリティ上の注意事項」では、
- 組織のシステム管理者向け
- 組織の利用者向け
- 家庭の利用者向け
に分かれて、テレワークを行う際のセキュリティ上の注意事項が記載されています。
この中の「家庭用の利用者向け」には、テレワークを行う際のセキュリティ上の注意事項として8つの注意事項が記載されています。
- 修正プログラムの適用
- セキュリティソフトの導入および定義ファイルの最新化
- 定期的なバックアップの実施
- パスワードの適切な設定と管理
- メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意
- 偽のセキュリティ警告に注意
- スマートデバイスのアプリや構成プロファイル導入時の注意
- スマートフォン等の画面ロック機能の設定
これらの注意事項を個人用パソコンに適用するには、ある程度パソコンに慣れ親しんでいない人にとっては難しく感じるかも知れません。
ですので今回は「IPA 情報処理推進機構:テレワークを行う際のセキュリティ上の注意事項(家庭用利用者向け)」に記載されている注意事項を、パソコン初心者の方にも分かるように、できるだけ具体的に解説したいと思います。
目次
修正プログラムの適用
修正プログラムとは、使っているパソコンのOS(オペレーティングシステム)にセキュリティの穴(脆弱性)や不具合などの問題が見つかった時に配布されるデータです。
Windows OSをお使いならMicrosoft社から配布されます。Macをお使いならApple社から配布されます。
この修正プログラムを適用することによって、パソコンを最新の状態に保つことができます。
修正プログラムは以下の方法で適用することができます。
また、修正プログラムは無線LANルーターなどのパソコン周辺機器や、使用しているアプリケーションによってメーカー側から配布されているものなどがあります。
これらの修正プログラムを自分で1つ1つ確認して適用するには時間もかかりますし、ある程度の知識も必要になります。
そんな時は、IPA 情報処理推進機構が提供する「MyJVNバージョンチェッカ」や「MyJVN脆弱性対策情報収集ツール」を併用することで、自分のパソコン内にあるアプリケーションのバージョンや脆弱性を簡単に確認することができます。MyJVN でダウンロード方法や使い方が書かれていますのでこう言ったツールを利用するのも手です。
セキュリティソフトの導入および定義ファイルの最新化
セキュリティソフトに関しては市販されている物から、OSを提供している会社で用意されている物があります。
定義ファイルとはセキュリティソフトのパターンファイルのことで、新しいウイルスが見つかった時などにメーカーがこの定義ファイルを更新して新しいウイルスを防ぎます。この定義ファイルは重要なので、常に最新の状態を保つようにします。
市販されている物の場合は説明書に定義ファイルの更新の仕方が書かれています。
OSを提供している会社で用意されている物は、例えばWindows10ならWindows Defenderが最初から用意されています。
パソコン画面左下の検索バーに「Windows セキュリティ」と入力します。※Windowsとセキュリティの間にスペースを入れてください。
「開く」をクリックします。
「ウイルスと脅威の防止」をクリックします。
Windowsセキュリティの画面で「セキュリティ インテリジェンスは最新の状態です」と表示されているのを確認します。
最新になっていない場合は「更新プログラムのチェック」から最新にします。
定期的なバックアップの実施
予期せぬパソコンの不具合や、ウイルスやマルウェアによるデータ破損に備えて、日頃から定期的にパソコンのバックアップを取るようにします。
正常だった状態のパソコンをバックアップしておくことで、不具合が発生した時やウイルスに感染した時に元の状態に戻すことができます。
パソコンのバックアップを取るには、市販のバックアップソフトを購入したり、無償で提供されているバックアップツールを使うなどの方法があります。
また、OS標準のバックアップ機能を使うこともできます。
例えばWindows10には標準のバックアップ機能として、
- システムの復元
- イメージディスクのバックアップ
と言う機能があります。
- システムの復元とは?
- アプリケーションのインストールやWindows Updateの適用時に、直前のデータを自動的に保存して、何かトラブルが起きた時に直前の状態に復元できる「保護」機能。「システムの保護」とも言う。保存されたデータは「復元ポイント」と呼ばれ、任意の日付まで復元できる。
- イメージディスクのバックアップとは?
- アプリケーションやユーザー設定を含め、現状の状態を丸ごと「イメージディスク」としてバックアップできる。断片的な「システムの復元」に比べ、より強力に原状回復できる。「システムの復元」と違って、別途ハードディスクや光学ディスクなどの外部記憶媒体が必要になる。
Windows10で「システムの復元」を設定する
パソコン画面左下の検索バーに「復元ポイントの作成」と入力します。
「開く」をクリックします。
システムのプロパティ画面になりますので、保護したいドライブを選択して「構成」をクリックします。
「システムの保護を有効にする」にチェックを入れて「OK」をクリックします。
すぐに復元ポイントを作成したい場合は「作成」をクリックします。
以上です。
イメージディスクをバックアップする
この操作は「管理者権限」が必要になります。パソコン画面左下の検索バーに「コントールパネル」と入力します。
「開く」をクリックします。
システムとセキュリティにある「バックアップと復元」をクリックします。
「システムイメージの作成」をクリックします。
システムイメージの作成画面になりますので、保存するドライブを選んで「次へ」をクリックします。
バックアップしたいドライブを選んで「次へ」をクリックします。※Cドライブは最初から選択されています。Dドライブもバックアップしたい場合は選択します。
バックアップに必要な容量を確認します。問題なければ「バックアップの開始」をクリックします。
パスワードの適切な設定と管理
パソコンのアカウントパスワードや、ネットバンクのログインパスワード、SNSのログインパスワード、ファイルの暗号化パスワードなどは大小英数字と記号を混ぜた複雑なパスワードを設定するようにします。
IPA 情報処理推進機構の情報セキュリティ5ヵ条 では、パスワードは英数字記号を含めた10文字以上が推奨されています。
短く単純なパスワードは総当たり攻撃(ブルートフォースアタック)により簡単に解析されてしまう場合があります。例:1234やABCDなど
また、パソコン関連のパスワードは忘れてしまった人向けに様々なパスワード解析ツールが出回っています。このようなツールを悪意のある第三者に使われることもありうるわけです。
よって少しでもリスクを減らす為に、ユーザーIDやパスワードの使い回しをしないことが大切です。
悪意のある第三者にパスワードが破られてしまった場合、金銭的被害、個人情報の漏洩、SNSアカウントの乗っ取りなどの被害に合う可能性があります。
パスワードは文字列で識別する為、指紋認証や顔認証などの物理的なセキュリティにくらべて脆いと言うことを念頭に置いておくべきです。
二段階認証がサイトなどに用意されている場合は、積極的に設定しておきましょう。
- 二段階認証とは?
- 従来のIDとパスワードに加えて、更に別の方法(指紋認証,ショートメール,認証アプリ)で本人確認を行い、より安全にサービスを利用できるセキュリティの仕組みです。
二段階認証をアカウントに設定するとログイン時に、ログインIDとパスワードの他に下画像のようなコードを入力する画面が表示されます。
当ブログでも二段階認証の設定の仕方については、いくつかの記事を書いています。気になる方はカテゴリーにある「セキュリティ」から読んで頂ければ幸いです。
二段階認証にはアプリの他にも物理的なハードウェアで認証できるものが販売されていますので、そういったセキュリティデバイスを利用するのも手です。ただし、物理的なセキュリティデバイスは紛失に注意する必要があります。
メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意
メールやショートメッセージに送られてくるメッセージの中には、本文中にサイトのアドレス(URL)が貼り付けられている場合があります。
基本的にメールは送信者のアドレスをよく確認する癖をつけて、メール本文に貼られているURLへのアクセスはできるだけ避けるようにします。
その理由はフィッシング詐欺メールであったり、危険なサイトへのURLであったりする可能性があるからです。それらのサイトに不用意にアクセスすると、ウイルスに感染したり、個人情報を抜きとられるリスクがあります。
悪意のある第三者は人間の心理を利用し、巧妙にユーザーがアクセスしやすい環境を作りだします。携帯電話が普及しはじめた頃から迷惑メールがあるように、その手段も時代と共に進化しています。
例えば、私が経験したのは「運送会社を騙るフィッシング詐欺」です。日頃セキュリティは意識していたつもりでもなんとなくフィッシングサイトにアクセスしてしまったことがあります。その時の記事はこちら。
メールやショートメールで送られてくるメッセージのURLには充分な注意が必要です。また、SNSにそれらの危険なURLが貼られている場合もあります。
すぐにアクセスしたい気持ちは分かりますが、危険なURLかどうかを事前に調べることができるサービスもありますので、そう言ったサービスを活用するのも手です。
偽のセキュリティ警告に注意
インターネットで色々なサイトを見ていると、突如「ウイルスに感染しています」「システムが破損しました」などの画面が表示されることがあります。
これらの多くはユーザーの不安を煽ってトラブルに関連する商品を購入させようとするアドウェアです。
- アドウェアとは?
- 広告を目的としたソフトウェア。無料のブラウザやウイルス対策ソフトに付属している場合もある。
偽のセキュリティ警告画面が表示された場合は、画面を閉じようとしても閉じれないケースが多いです。その場合はブラウザを強制終了することで解決します。この方法もこちらに書いています。
「ウイルスに感染しています」「システムが破損しました」の画面が表示された場合は、焦らずにブラウザを強制終了させればOKです。
スマートデバイスのアプリや構成プロファイル導入時の注意
スマートフォンのアプリは携帯電話会社が提供している公式なマーケットからダウンロードするようにします。
Android端末ならば「Google Play」、iOS端末ならば「Apple Store」になります。
これら二つの公式マーケットで提供されているアプリは、安全性のチェックやアプリの解析により一定の基準をクリアしたアプリが提供されています。
公式マーケット以外で配信されているアプリは「提供元不明のアプリ」と呼ばれます。この「提供元不明のアプリ」はAndroid端末のセキュリティ設定で最初からインストールしない設定になっています。インストールを許可すると、アプリによって端末や個人データが攻撃される可能性があります。
また、公式マーケットで公開されている全てのアプリが必ず安全であると言う保証はどこにもありません。
よって、公式マーケットでアプリをダウンロードする際にも以下の3つの項目を意識してダウンロードするように心がけます。
- アプリの権限を確認する
- アプリの開発元をサーチする
- ウイルス対策アプリを導入する
アプリの権限を確認する
アプリの説明欄には必ず「アプリの権限」が記載されています。
例としてGoogle Playの場合は「このアプリについて」をタップして下にスワイプすると「アプリの権限」と言う項目があります。
「詳細」をタップするとアプリの権限の詳細を見ることができます。
下画像のアプリは、開発元が異なる二つのフラッシュライトアプリです。同じフラッシュライトアプリなのに権限は全く違います。
画像左のフラッシュライトアプリの権限を見ると、「カメラ」と「その他」の権限のみです。フラッシュライトはカメラのフラッシュ部分を利用する為、カメラへのアクセスはほとんどのフラッシュライトアプリにあります。その他の権限もAndroidのシステムにあるフラッシュライトの権限ですので、この二つの権限は納得できる権限だと言うことが分かります。
しかし、画像右のフラッシュライトアプリの権限は、連絡先や位置情報などが含まれています。フラッシュライトアプリに連絡先や位置情報の権限が果たして必要でしょうか?
このように、アプリの権限に対して何か不自然さや違和感を感じるアプリはなるべくインストールしないようにします。
仮にダウンロードする場合は、スマホの「設定」からダウンロードしているアプリの権限を確認できます。また、同画面からアプリの権限を無効にすることもできますので、アプリに支障がない程度に活用するのも手です。
アプリの提供元をサーチする
公式マーケットで公開されているアプリは、法人、個人を問わず様々なアプリがあります。
アプリの権限などで少しでも不安を抱くようなら、提供元をインターネットでサーチしてみるのもいいかも知れません。
特に有料アプリを購入する時は、事前にどのような会社が提供しているアプリかを知っておくことで、不具合やトラブル時にサポート面で差が出てきます。
ウイルス対策アプリを導入する
端末のスペックによってはウイルス対策アプリを導入することで、動作が遅くなる場合もあります。
また、ウイルス対策アプリは他のアプリとの相性で上手く動作しないケースもあります。
最新のスマートフォンは、メーカーが最初からセキュリティ対策アプリをシステムにあらかじめ組み込んでいる端末もあります。それらの端末にウイルス対策アプリをインストールすると、ウイルス対策アプリが重複することになって正常に機能しません。
そもそも「ウイルス対策アプリ自体の安全性は?」と言う疑問が出てきます。
よって、適当なウイルス対策アプリを導入するのではなく、ウイルスの検出率や過去の実績などを調べて、なるべく専門家のデータを参照しながらアプリを選定するようにしてみてはいかがでしょうか。
ウイルスアプリの検出率やマルウェアに対する防御性能の比較を見れるサイトでは以下のサイトが有名です。
スマートフォン等の画面ロック機能の設定
スマートフォンを紛失した時や盗難に遭った時に備えて、画面ロック機能を設定します。
端末の「設定」に《画面ロック》や《セキュリティ》の項目があるはずです。そこから設定できます。
今は、指紋認証や顔認証などの生体認証がないと画面ロックを解除できない端末が多いですね。
また、パターンロックは画面に残った手垢や背後にいる人に見られた場合に見破られてしまう可能性があります。また、ユーザーがロックを解除している様子をひそかに録画することでパターンを解除できるソフトなどもありますので注意が必要です。
アンドロイドの「パターンロック」は最悪の安全性という研究結果
端末によってはアプリ自体を暗号化してプライバシーを守ることができる端末もあります。そのような機能も積極的に活用したいですね。
あとがき
今回のコロナウイルスの影響でテレワークと言う働き方が世間に認知されました。
プライベートで使用しているパソコンでも今回の情報セキュリティ対策はごく基本的な対策となります。
テレワークは属する組織や会社の指示の元、慎重に行うよう心がけたいですね。