安全にインターネットを利用するために、最低限身につけてほしい、セキュリティ向上のための「よい習慣」を紹介します。
セキュリティのためのよい習慣を身につける
- 全般
全般
1. ソフトウェアを最新版に更新する
ソフトウェアを最新版に更新する、また、最新の修正プログラムを適用するなどして、セキュリティ上の弱点が含まれるソフトウェアを使用しないようにしましょう。
ソフトウェアのセキュリティ上の弱点を放置しておくと、外部からの不正侵入やウイルス感染の原因となることがあります。
使用しているソフトウェアの配布元が提供するセキュリティ情報をこまめにチェックして、ソフトウェアの最新の更新および修正プログラムが配布された場合は、すぐに入手して適用するようにしましょう。
2. ウイルスパターンファイルを常に最新の状態にしておく
ウイルス感染予防のためには、ウイルス検知ソフトを導入し、定期的に全体のスキャンをするようにしましょう。また、ウイルスパターンファイルを常に最新の状態にしておくことが重要です。
ウイルスパターンファイルとはウイルスの特徴を記したファイルで、ウイルス検知ソフトはパターンファイルを基に、ファイルを検査します。
最近のコンピュータウイルスは、かつての比ではないスピードで日々作成されています。そのためウイルス検知ソフトのパターンファイルを最新の状態にしていても検知ができない場合が増えてきています。もちろんウイルス検知ソフトのパターンファイルを最新の状態にしておくことも大事ですが、それだけでは充分でないことにも注意してください。
- 参考文書(日本語)
- JPCERT/CC REPORT 2006-01-25号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr060301.txt
- JPCERT/CC REPORT 2004-02-01号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr060401.txt
3. 「良い」パスワードを設定し、定期的に変更する
他人に推測されにくいパスワードを設定し、定期的に変更しましょう。
ユーザアカウントとパスワードは組織の情報資産を守るうえで重要な役割を果たしています。安易なパスワードを設定したり、定期的な変更を怠ったりすると、ユーザアカウントを他人に不正に利用され、機密情報の漏えい事故などにつながる可能性があります。ユーザアカウントとパスワードは適切に管理するようにしましょう。
- パスワードを決める際の注意点
- 電話番号や誕生日など、個人情報を基にした文字列は使用しない。
- 日本語、英語に限らず、辞書に載っている単語を使用しない。
- ユーザアカウントと同じ文字列を含めない。
- アルファベットの大文字、小文字、数字、特殊記号を混ぜる。
- なるべく長いパスワードを設定する。
- 同じパスワードを使い回さない。
- パスワードを取り扱う際の注意点
- 自分のパスワードを他人に教えない。
- パスワードを他人の目につく場所に残さない。
- パスワードを入力する際には、周囲から覗き込まれていないことを確認する。
- コピー & ペーストを使ってパスワードを入力しない。
- パスワードを定期的に変更する。
- より安全に取り扱うためには以下の点を確認することが望まれます。
- パスワードを入力する対象が本来意図したサイトなどであることを確認する (サーバ証明書などを使用する)
- ネットワーク越しにパスワードを送信する際には、通信経路が暗号化されていることを確認する。
(「7.安全であることが確認できない Web サイトにはアクセスしない」参照)
- 参考文書(日本語)
- RFC 2504
ユーザのセキュリティハンドブック 3.4. パスワード - http://www.ipa.go.jp/security/rfc/RFC2504JA.html#304
- マイクロソフト 個人ユーザー向けセキュリティ
強力なパスワード : その作り方と使い方 - http://www.microsoft.com/japan/athome/security/privacy/password.mspx
- JPCERT/CC REPORT 2004-05-10 号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr061701.txt
- JPCERT/CC REPORT 2006-05-17号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr061801.txt
- JPCERT/CC REPORT 2004-11-04 号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr044301.txt
- JPCERT/CC REPORT 2005-05-25号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr052001.txt
- JPCERT/CC REPORT 2005-05-18号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr051901.txt
- JPCERT/CC REPORT 2006-02-22号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr060701.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-002
Choosing and Protecting Passwords - http://www.us-cert.gov/cas/tips/ST04-002.html
4. 使用しない PC をネットワークにつないでおかない
使用しない PC をネットワークにつないでおかないようにしましょう。 たとえば、職場内で共有の PC を一定期間以上使用しない場合などは、ネットワークから切り離しておくことをお勧めします。
また、ネットワークから切り離しておいた PC をあらためてネットワークに接続する時には、以下の点を確認してください。
- ソフトウェアを最新版に更新する。
- ウイルスパターンファイルを最新の状態にする。
- 参考文書(日本語)
- JPCERT/CC REPORT 2004-05-19号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr041901.txt
- JPCERT/CC REPORT 2006-04-12号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr061401.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-003
Good Security Habits - http://www.jpcert.or.jp/wr/2004/wr041901.txt
5. スクリーンをパスワードでロックする
- 参考文書(日本語)
- JPCERT/CC REPORT 2004-05-19号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr041901.txt
- JPCERT/CC REPORT 2006-04-12号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2006/wr061401.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-003
Good Security Habits - http://www.jpcert.or.jp/wr/2004/wr041901.txt
Web
6. Web ブラウザのセキュリティ設定を確認し、安全な設定でアクセスする
Web ブラウザを使って Web サイトにアクセスする場合には、セキュリティ設定を確認し、可能な限り安全な設定でアクセスするようにしましょう。
Web ブラウザのセキュリティ設定では以下のような項目について設定することができます。
- JavaScript、Java や ActiveX などを無効にする
- ポップアップウィンドウをブロックする
- 画像の自動読み込みを無効する
- クッキーを無効にする
- 参考文書(日本語)
- JPCERT/CC REPORT 2004-11-25号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr044601.txt
- JPCERT/CC REPORT 2005-01-06号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr050102.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-022
Understanding Your Computer: Web Browsers - http://www.us-cert.gov/cas/tips/ST04-022.html
7. 安全であることが確認できない Web サイトにはアクセスしない
- SSL (https) による経路の暗号化が行なわれているか確認
個人情報やクレジットカード番号などの機密情報を送信するページで、SSL サーバ証明書がない、また通信経路の暗号化が行なわれていないサイトは利用しないようにしましょう。SSL による暗号化通信が行われているかどうかは、URL の文字列が https:// で始まっているか、Web ブラウザの右下のバーに鍵マークが表示されているか、などで判断します。 - SSL サーバ証明書の内容に問題がないか確認
証明書自体が適切な認証局から発行されているか確認してください。自己署名証明書や身元のはっきりしない認証局によって発行された証明書が使用されているサイトを利用する際は注意してください。
- 参考文書(日本語)
- JPCERT/CC REPORT 2005-01-06号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr050102.txt
- JPCERT/CC REPORT 2005-05-18号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr051901.txt
- JPCERT/CC REPORT 2005-05-25号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr052001.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST05-010
Understanding Web Site Certificates - http://www.us-cert.gov/cas/tips/ST05-010.html
電子メール
8. 電子メールの添付ファイルに注意する
コンピュータウイルスの多くは、電子メールに添付されたファイルを開く (実行する) ことによって感染を拡大します。見知らぬ人から送付された電子メールに添付されたファイルは開かずに、削除しましょう。
また、電子メールでは送信元を偽ることが容易なため、たとえ送信元が信頼できる相手であっても電子メール自体を信用することはできません。
このため、電子メールの添付ファイルを開く場合は、誰から送付された電子メールであっても必ず次のような手順を踏むようにしましょう。
- ウイルス検知ソフトのパターンファイルが最新であることを確認する。
- 添付ファイルを保存する。
- 添付ファイルをウイルス検知ソフトで検査する。
- ウイルスが検知された場合はメールを削除する。
検知されなかった場合でも、件名や本文を不審に思った場合には送信者に確認するようにしましょう。
- 参考文書(日本語)
- JPCERT/CC REPORT 2004-06-09号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr042201.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-010
Using Caution with Email Attachments - http://www.us-cert.gov/cas/tips/ST04-010.html
9. HTML 形式のメールに注意する
このため、電子メールクライアントの HTML 形式メールの処理設定を見直すことをお勧めします。 また、HTML 形式の電子メールの処理に Web ブラウザを内部で用いている場合には、その Web ブラウザを常に最新の状態に保つようにしましょう。
- 参考文書(日本語)
- JPCERT/CC REPORT 2004-12-08号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr044801.txt
- JPCERT/CC REPORT 2004-11-25号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr044601.txt
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-023
Understanding Your Computer: Email Clients - http://www.us-cert.gov/cas/tips/ST04-023.html
10. 電子メールに署名をする
電子メールでは、送信元を偽ることが容易にできてしまうため、「なりすまし」などの危険がつきまといます。このため、自分が送信した電子メールが本当に自分が送付したものであることを保証する、電子署名の技術を使うことをお勧めします。
電子メールで用いられる電子署名としては、秘密鍵と公開鍵の対を用いた PGP や S/MIME が広く知られています。
- 秘密鍵 (Secret Key/Private Key)
ユーザ本人が署名をしたり、暗号化された情報を復号したりする際に用います。使用する際にはパスフレーズ (パスワード) が必要です。また決して他人に渡してはいけません。 - 公開鍵 (Public Key)
証明書自体が適切な認証局から発行されているか確認してください。自己署名証明書や身元のはっきりしない認証局によって発行された証明書が使用されているサイトを利用する際は注意してください。
- 参考文書(日本語)
- JPCERT/CC REPORT 2004-06-16号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr042301.txt
- JPCERT/CC REPORT 2004-09-29号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr043801.txt
- JPCERT/CC REPORT 2004-06-30号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2004/wr042501.txt
- JPCERT/CC REPORT 2005-06-15号 [今週の一口メモ]
- http://www.jpcert.or.jp/wr/2005/wr052301.txt
- IIJ 研究所の PGP に関するページ
- http://pgp.iijlab.net/
- OpenPKSD OpenPGP ドキュメント
- http://openpksd.org/Japanese.htm
- IPA/ISEC 電子メールのセキュリティ
S/MIME を利用した暗号化と電子署名 - http://www.ipa.go.jp/security/fy12/contents/smime/email_sec.html
- IPA/ISEC PKI 関連技術解説
- http://www.ipa.go.jp/security/pki/
- 参考文書(英語)
- US-CERT Cyber Security Tip ST04-018
Understanding Digital Signatures - http://www.us-cert.gov/cas/tips/ST04-018.html