オンライン取引時のサイバー対策を考える

この記事は約7分で読めます。

今年はオリンピック!激しいサイバー攻撃が予想される

家庭における2つのサイバー脅威

昨日に続き、今日もIT関係の思索です。

皆さんの自宅のPC環境は、サイバー対策は、十分でしょうか?

 今年は、いよいよオリンピックです。ですが、今や「オリンピックはサイバー攻撃の祭典」とも言われるそうです。スポーツの世界ではアスリートが活躍しますが、ネットの世界でも腕利きが跳梁跋扈するんでしょう。恐ろしい。東京五輪の開催国の日本としては、過去最大級の攻撃をうけるのかもしれませんが、都市機能が麻痺しないよう、交通網、電力、通信網などインフラは堅牢であってほしいです。リアルな北海道電力の停電では病院や介護施設は被害甚大でした。 映画「ダイ・ハード4.0」ではサイバー攻撃で電力網がダウンしてましたが、映画だけのフィクションであってほしいですね。

 さて、会社では、IT部門がいろいろなセキュリティ対策を提供してくれますが、個人の自宅となると、財布も技量も乏しいので、わりと手薄ではないでしょうか?

 私自身は、仕事でITセキュリティ業務に携わったことがあり、多くのベンダーのお話を聞いたり、横浜にある情報セキュリティ大学院大学見学にも行ったことがあります。お金を掛けられるデイトレーダーとは比較にならないでしょうが、以下、安価な自衛策をちょこっと紹介させていただきます。

 家庭におけるサイバー系の脅威は主に2つだと思います。 今日は(1)について記し、明日は(2)について投稿します。

  1.  IDやパスワードなどの漏洩(ネットバンクの不正送金など)
  2.  PC内にある大量の個人情報の保全措置(データ喪失、流出)

昨年も多くのサイバーインシデントがありました。

  • 某老舗ファイル転送サービス(480万件の個人情報の流出
  • 仮想通貨の大量流出(数百億円)
  • 社員によるハードディスクの窃盗、転売(8000台)
  • 標的型攻撃メール(日本ではEmotetがこれから流行

どれほど気をつけていても想定外は起こりますので、前提として悪い事態を想定すべきです。

  • 誰でもウイルスには感染しうる。
  • 標的型メールは巧妙すぎて誰でも騙される。防ぎきれない
  • そして感染に気がつかない潜伏期間が数ヶ月はありえる
  • PCのHDDはあっけなく壊れる
  • HDDからデータを抜き出すのは極めて容易

私の自宅の自衛例

 お恥ずかしながら、私のやってる自衛策をご紹介します。業務で得た知見の宅内転用です。

パソコンの分離、使い分け

 今はUSBを使うことが減りましたので、ウイルスの入り口は、主にメールとWEB閲覧です。ネットは外界との接点であり、病原菌はここから入ります。

 どんなに頑張っても感染は防げませんので、絶対の安全策としては、ネットにつながないことです。でも、そうはいきませんから、汚染される可能性の高いPCを分離しています。普段遣いするパソコンと、オンライン取引をするパソコンは、完全に分離しています(2台持ち)。ネット証券とネット銀行用のPCは、何もアプリをいれていません。ピュアな標準環境+エンドポイントセキュリティツールのみです。オンライン取引は標準ブラウザ利用のみに限定しています。Webアクセス先は特定の取引先URLのみです。オンライン専用PCでのメールやネットワーフィンは御法度です。

※会社の経理部員のPCも分離されています。普段の仕事用と、銀行オンライン操作用PCは別マシンになっています。

Mac

 オンライン取引に使うPCは、Windowsではありません。Macintoshを使っています。Windowsに比べて、iOSにはマルウェアが圧倒的に少ないと言われています。Appleが厳格に管理しているAppStore経由でしかアプリが導入できないためか、実際、アンチウイルス商品も少ないです。ただ、念のために、自宅Macにはウイルス対策ソフトとしてカスペルスキーは導入しています。

 iOS向けのウイルス対策アプリが存在しない理由–カスペルスキーが見解

※よく知られた事実ですが、あのIT巨人のIBM社内ではMacが主流です。Lenovoを製造販売していたメーカーなのですが、今やWindows-PCではありません。すでに世界中で30万台を配備したと言われています。PCのライフサイクルコスト、社員の生産性、サイバー対策費用、サポートコストを考えると、Macintoshに分があるようです。 Gigazine記事(IBM)  日本では、ヤフージャパン社内でもMacが主流だそうです。

オンライン取引時のルーティン

 毎回、Macを起動したら、システム更新、ウイルスパターンファイルの更新を行ってから、オンラインにログインします。ネットでの作業は最新パターンにあげてからです。神経質だとは思いますが、オンライン作業中も、時折、手動でパターン更新させHDD完全検査をしています。

ウイルス対策

 Windowsには、一般的なアンチウイルスソフトを入れていますが、どちらかというと、「振る舞い検知ソフト」こそ導入したいと思っています。企業では、アンチウイルスソフトに加えて、Yarai、Cyberasonなどを導入されてる企業もあると思いますが、個人ではまだまだ難しいです。

オンライン取引用PCは有線LAN接続

 WiFiの場合、WPA2/AES暗号を使っていれば安全と思いますが、心配性の私は、オンライン用PCは、Ethernet(有線)での接続です。知人のトレーダー宅も有線ですし、取引のあった銀行関係社でも有線が標準でした。しかも、オフィスの野良WiFiを定期的に電波探索してました。

LAN分離、ホームネットワーク非共有

 自宅内には、スマホ、タブレット、Windows-PCなどいくつもあるため、WiFiも実装していますが、WiFiゾーニングやワークグループ設定として、各デバイスが自宅内の他デバイスを参照できないようにしています。家庭内での横感染リスクを極小化するために、無線LAN親機というGatewayを介し、外にしかいけません。また、ゲスト用WiFiは当然オフです。

共用ファイルサーバー廃止

 昔はNASを設置し、家庭内LANのどこからでも家族写真などにアクセスできるようにしていました。ホームネットワークを非共有にし、NASは廃止しました。今はすべてクラウドストレージに移行させています。

共用プリンター廃止

 昨今は印刷することが減ったのでプリンターは共用せず、デスクトップPCとケーブル接続です。

SSIDのステルス化

 当たり前ですが、ステルス(非表示)です。東京のマンションにいると、あまりに多くのSSIDが表示されるので、その無防備さに驚きます。さらに驚くことにBuffaloやAtermなど製品名がわかるようなSSIDもあります。もしかしたら、親機へのログインIDも最初のadminのままかもしれません。実は、私のいるマンションには鍵マークのないSSIDも表示されてます。しかも部屋番号がSSID名についてる・・・罠?おとり? (゚_゚;)

クッキー、参照履歴、フォーム

 定期的に全クリアしてます。

各種ログ分析

 家庭ではSIEM (Security Information and Event Management) のような高額なログモニタリング製品は買えないので、目検すべきですが、さすがにできてません。

Firewall、Gatewayでの防御

 企業では、ネットワークの出入り口・接点に相当なコストをかけています。高額ですが、大勢で使うにはよいと思います。しかし、一時期、サンドボックス検証タイプが流行りましたが、最近はほとんどがhttpsプロトコルになってきたので有効性が薄まっています。CASBも会社では情報持ち出し対策には有用でしょうが、個人宅では目的にあわない。 C&Cサーバ への怪しい通信監視タイプも高い。よいソリューションも個人用としては難しい。

AMAZONアレクサ

 本当はちょっと怖い。24時間、ず~っと聞き耳たてられている・・・。一応、Amazonの標準すっぴんで使っていますが、スキルアプリを導入するのは怖い。

CCDカメラやマイク

 目張り、マイク端子オフは当然です。

 明日は、データの保全措置について考察します。自宅PCのHDDのバックアップ、世代バックアップ、オフサイトバックアップ、HDDの暗号化、クラウドストレージ利用、廃棄処理などです。

※上記内容は私個人の見解であり思索にすぎません。  [Finchley 0013]

タイトルとURLをコピーしました