世界中にインターネット網が張り巡らされ、魑魅魍魎が跋扈しているこの世知辛いご時勢では、ユーザーのデータ取り扱い不備による「セキュリティ被害」が、ひっじょーにきびしーいっ社会問題となっているようです。
まあ、ここ最近は、割と一般的に、「怪しいサイトにアクセスしない」「ログインパスワードを記載した付箋をモニターに貼り付けない」「個人情報全部をSNSにUPしない」などのヌルい対策はとられるようになってきたようですが、更にそこから、一段上のステージに上がるための対策については、あまり語られることはない、と感じている人も多いのではないでしょうか(もしそうでなくとも、そうだという事にしておいて下さい)。
今回の記事では、迫り来る脅威に名古屋撃ちだがや。まずセキュリティの基本対策を懇切丁寧に解説し、その上で「こんなことまでやるのか!」と驚かれる”行き過ぎかもしれない”もとい”イキスギィ!“かもしれない”、マニアックな応用セキュリティ対策についても触れていきたいと思います。
目次
セキュリティ認証の強化について
- セキュリティ認証の基本対策について
セキュリティ認証の基本対策としては、以下のものが挙げられます。
• パスワード管理… 長くて複雑なパスワード(大文字、小文字、数字、記号などの組み合わせ)を設定して、定期的に更新を行います。
• パスワードマネージャーの利用… 複数の強固なパスワードを安全に管理します。
• 二要素認証(two-factor authentication: 2FA/データにアクセスするときに、2種類の本人証明を要求するというもの)の利用… SMSや認証アプリを用いた「ワンタイムパスワード」を追加して、パスワード単体の突破を防ぎます。 - セキュリティ認証の応用対策について
セキュリティ認証の応用対策としては、以下のものが挙げられます。
• 多要素認証(Multi-Factor Authentication:MFA/データにアクセスするときに複数の本人証明を要求するというもの)…いわゆる二要素認証は、
・「知識情報」
・パスワード
・PINコード
・ 秘密の質問
・「所持情報」
・携帯電話
・ハードウェアトークン(インターネット上の取引や通信の安全性を確保するために、ワンタイムパスワードやデジタル証明書などの情報を生成する物理的なデバイス)
・ ICカード
などがあげられますが、
・「生体認証」
・指紋
・静脈
・声紋
・顔認証
といった認証方式を追加して、より一層、セキュリティレベルを高めるというものです。
そして、更にその上を行く認証方式を追加しようと思うのであれば、例えば
・行動認証(その人の行動をパターン化して、認証とするもの。息の吐き方、心臓の鼓動の仕方、貧乏揺すり、オナラのこき方の周期パターン、受けないギャグやシャレを吐く、痛いおじさんの発言パターンなどなど)などを追加する、といった認証が考えられます。
もう一つオマケにセキュリティレベルを向上させたいのであれば、
・「リスクベース認証」……システムのアクセスログなどからユーザの行動パターンを分析し、より確実に本人認証を行うための方式です。
たまに普段と違う端末や場所からwebサービスを利用した時に、「このアクセスは貴方ですか?」と聞いてきたりすることがあるでしょ。あれですアレ。普段はエッチなホームページを見まくっている貴兄が、ここ最近は真面目なホームページしか見ていない時にもこういった警告が表示される筈です。嘘です。
まあ、よーするに、複数の認証形式を合わせれば合わせるほど、セキュリティレベルと面倒くささと借金は、共に比例して制服向上委員会するので、じっと我慢の子になって、高度で複雑な認証形式を導入して、せいぜい苦労して下さい。
暗号化によるデータ保護の強化について
- 暗号化によるデータ保護の基本対策について
暗号化によるデータ保護の基本対策としては、以下のものが挙げられます。
• 通信の暗号化… SSL/TLSプロトコルを用いて、ウェブサイトやアプリケーション間の通信を暗号化します。
・保存データの暗号化…「AES256bit暗号化」などの強固な暗号方式を用いて、ハードディスクやクラウド上のデータを暗号化し、不正アクセス時の情報漏洩を防ぎます。
- 暗号化によるデータ保護の応用対策について
暗号化によるデータ保護の応用対策としては、以下のものが挙げられます。
•耐量子暗号アルゴリズムの利用…最近、JKの間で話題の「耐量子暗号(ポスト量子暗号)アルゴリズム (post-quantum cryptography:PQC)」という、量子コンピュータと言えども、解析するのがえれぇてぇ~へん(©野沢雅子)な、 暗号化の方式を利用することです。ただ残念なことに、耐量子暗号アルゴリズムを研究する上での6つのアプローチである、「格子暗号」・「多変数暗号」・「ハッシュ暗号」・「符号暗号」・「同種写像暗号」・「共通鍵暗号の耐量子性」について、原理が難しすぎて筆者の理解が追いついていないことが挙げられます。今のところ何らかのツールでホイホイッと暗号化できる世界ではない模様です。たぶん。
•専用アプリでのみアクセス可能なネットワークシステムの構築…専用アプリでのみアクセスが可能なネットワークシステムの構築をすれば、遙かにセキュリティレベルは上がります。ただ惜しむらくは、専用アプリを構築する能力がなければいけないのが悩ましいところです。
もしくは神のお告げに従った暗号化アルゴリズムや、完全な乱数により不可逆的に復号化が不可能となる暗号化も有効でしょう。あとのことは知りません。
バックアップとリカバリーの重要性について
- バックアップとリカバリーの基本対策について
バックアップとリカバリーの基本対策としては、以下のものが挙げられます。
• 複数メディアへバックアップ…同じデータを複数箇所、複数種類のメディアに保存して(例えば一つはオンライン、一つはオフラインなど)、災害や攻撃によるデータ損失に備えます。
• 定期的なバックアップの自動化…システムが自動でスケジュールに沿い、バックアップを実施することで、人為的ミスを防止します。
- バックアップとリカバリーの応用対策について
バックアップとリカバリーの応用対策としては、以下のものが挙げられます。
•多層かつ冗長化バックアップの利用…オンラインバックアップ先のサーバーを日本全国のみならず、全世界、宇宙、多次元にも展開し、オンラインとオフライン、その間(それが何かは知らん)をバックアップ先として複数展開します。
SSDやHDDへなどのバックアップ、今月の家計はアップアップを徹底的に行えば、バックアップ先のメディアが複数破損したとしても、何とか元に戻せるのではなかろうかと思います。
ただひとつ要注意なのは、子のバックアップから孫のバックアップ、更にひ孫、次に玄孫(やしゃご)、もひとつ来孫(らいそん)、継いでに昆孫(こんそん)、正に仍孫(じょうそん)、それでも雲孫(うんそん)、マイク・タイソン…とバックアップすると、途中でデータが壊れた場合、単に破壊されたデータのバックアップ先は増えるだけなので無意味です。
あくまでもバックアップ元は、オリジナルからにしておいた方が無難です (バックアップ先のデータは絶対壊れない!という確証があればその限りではありません)。
•リカバリー技術を競うタイムトライアルイベントの開催…システム管理者と言えども、バックアップの仕方は熟知していたとしても、それをリカバリする為の実技を経験する機会はまずありませんし、人事異動の際に技術の継承も見込めません。時々はバックアップしたデータをリカバリしてサーバを元通りに復元する、技術やスピードを競う大会を開催して、社内エンジニアの技術力の向上を目指します。今、原稿を書きながらテキトーに無理くり思いついた応用対策なので、別に本気でしなくて良いです。そこまでやっている会社は多分ないです。
攻撃検知と監視体制の強化について
攻撃検知と監視体制の基本対策について
攻撃検知と監視体制の基本対策としては、以下のものが挙げられます。
• 不正侵入検知・防止システム(IDS/IPS)の導入…社内ネットワークを監視し、Intrusion(侵入)をDetection(検知)するSystem(システム)と、Intrusion(侵入)を Prevention(防御)するSystem(システム)をそれぞれ導入へ漕ぎ出すことが幸せの秩序です。TostemはLixilのブランド名です。
IDS・IPSには、「クラウド型」「ネットワーク型」・「ホスト型」の種類があり、「シグネチャ型(不正なアクセスパターンを登録し、合致した通信を不正と判断する検知方法)」・「アノマリ型(正常なアクセスパターンを登録し、異なる通信を不正と判断する検知方法)」の検知方法があり、「DoS攻撃(DDoS攻撃。大量のデータやアクセスをドスコイ・ドスコイと送りつけるサイバー攻撃です)」・「SYNフラッド攻撃(サーバの負荷を増大させ、サービス停止に追い込むサイバー攻撃)」・「バッファオーバーフロー攻撃(メモリ領域の許容量以上のデータを送りつけ、誤作動を起こさせるサイバー)」に対応が可能です。
ここだけの話、IDS・IPSで防げない攻撃にはWAF(Webアプリケーションをターゲットにした攻撃に有効な仕組み)の併用が効果的なんだそうです。色々な方法や手段があるので、予算と管理する人の能力と、趣味嗜好とその日の気分で、何を選択するか自分で考えてみてください(編集部「そんな解説で良いのか?ヽ(`Д´)ノプンプン」)
• ログの管理・監視…月さん並みではありますが、サーバやネットワーク、アプリケーション、イベントなどの詳細なログを取っておき、適切な解析(どこをどう解析するのかについてはネットで調べてください)を行い、おかしいなと感じたら、すぐにITに詳しい人に報告をして、何とかしてもらう方法です。これが以外と大切だったりします。百里の道も一里のログファイルから。そんな諺(ことわざ)は今まで聞いたことはありません。
攻撃検知と監視体制の応用対策について
攻撃検知と監視体制の応用対策としては、以下のものが挙げられます。
• ビッグデータを利用したAIによるリアルタイムな脅威の検知…AIを駆使して、怪しそうな動きをしそうな人や動物・無機物、データの動きや操作を事前に予知して、ヤバそうなものには、あらかじめネイルガンで手を打ちます。本サイト読者には旧知の作家・フィリップ・K・ディックの「マイノリティ・リポート」の世界みたいなもんですね。いずれM型遺伝子の保有者とみなされてしまう日も近いのかもしれません。おかわりもいいぞ。
• 占いや天啓による脅威の検知…上記があくまでもテクノロジーに基づいた、セキュリティの危機の予見を目指すのに対して、非科学的ではありますが、オカルトにおけるセキュリティ対策も信じる人にとっては、そこそこ有効ではないでしょうか。
昔むかーし、「PC WAVE」というパソコン雑誌に投稿が掲載されると(筆者は常連イラスト投稿者でした) 、「廃人シール」というシールを貰えたのですが、そのシールをPCに貼ると、ウィルスに感染しなくなったりスピードが速くなる、という言い伝えがあったとか無かったとか。まあ気休めにはなったのかもしれません。今ほどコンプライアンスが重視されない、おおらかな時代だったのかもしれません。コンプライアンス関係無いか。
ほかにもセキュリティの応用対策として
• VR/ARを活用したセキュリティ情報の可視化・ゲーム化をして訓練
なんてのも面白そうかも。誰か作ってくれぃ。
まとめ
これまで、いくつかの重要なセキュリティ対策をご紹介してきました。
それぞれの基本対策はしっかりと行った上で、マニアックな応用策も、単なるワンアイデアと一笑することなく、実際に取り入れてみることで、意外と関係者間のセキュリティ意識が向上し、組織文化に良い良い意味でアッデートできる可能性を秘めています(ホントかよ)。
セキュリティは、常に進化する攻撃に対峙するための「創造性」と「柔軟性」を持つことが必要不可欠です。
認証パターンの解析、バックアップの復旧コンテスト、VRを活用した訓練、さらにはセキュリティに対する哲学的なアプローチまで、あらゆる角度から切り込み取り組むことで、薔薇色未来世界の安全・安心な環境が築かれていく姿が、筆者にだけは見えます(編集部「お前だけなんかい」)。
知的好奇心と遊び心を持ちながらセキュリティ対策に取り組むことで、攻撃者に対する優位性を常に保ち、その積み重ねが、やがては社会全体の安心・安全な強固な基盤となり、私たちの輝かしい将来を支える、大きな柱となることでしょう。
時には「こんなことまで!」「ここまでやるんかい!変態!」…とドン引きされるようなマニアックな対策にも、果敢に挑戦して本サイトに報告してください。編集長の気が向いたら掲載してくれるかもしれません(編集長「勝手に決めるな」) 。
参考文献
Microsoft/ 2 要素認証とは?
NRI SECURE/多要素認証とは?パスワードだけでは守りきれないクラウドのセキュリティ
丸紅I-DIGIO/ハードウェアトークンとは? AWSやAzure ADなどの多要素認証で利用が増えているハードウェアトークンについて解説
NECソリューションイノベータ/リスクベース認証
GMOグローバルサインカレッジ/SSL/TLSとは? 詳細と必要性を簡単解説
MIT Techonogy Review/耐量子暗号アルゴリズムとは何か?なぜ必要なのか?
介護のほんね/子、孫、ひ孫、玄孫、その次は何?
ITトレンド/IDS・IPSとは?違いや種類、仕組みをわかりやすく解説
Wikipedia/ポスト量子暗号
