「基本対策だけでは心配」な方に　ちょっと発展的な“プラスセキュリティ”のススメ

　ランサムウェアや情報漏えい、改ざんなどさまざまなサイバー攻撃が企業を襲った報道が日々流れてきています。中には事業停止を余儀なくされる事例もあり、サイバー空間の治安が一気に悪化していると感じています。

ちょっと発展的な“プラスセキュリティ”のススメ

　各種サービスが被害に遭うことは、利用者からは防ぎようがないのが実情ですが、個人でできること、組織が気をつけねばならないことは平時でも有事でも大きな変化はありません。今回は、筆者自身が今できることをやってみたというお話を取り上げたいと思います。

●「基本対策だけでは心配」な方におススメしたい、ちょっと発展的な対策

　これまでの繰り返しとなりますが、セキュリティの基本であるOSやWebブラウザのアップデート、重要情報のバックアップはしっかりと実施しましょう。OSやWebブラウザは自動アップデートが機能として提供されているので、これを阻害するような設定がないかどうかをチェックしておきます。加えて、最近ではブロードバンドルーターやWi-Fiルーターのアップデートもチェックしておくと良いかと思います。

　特にバックアップはこれまで以上に重要なポイントになるでしょう。この機会に外付けポータブルHDDを購入し、必要なデータを丸ごとコピーする癖を付けてください。筆者の場合は、毎月末にその月のデータをコピーし、1カ月ごとのバックアップを作っています。「クラウドストレージに置いているからバックアップは不要」という考え方も、今ではクラウドストレージ自体が攻撃されるリスクがあり、時代遅れになっているので、できるだけ自分の手元にバックアップがあるようにしておくと安心です。

　ここからは筆者が現状を不安視して、これまでやってなかった対策を実施したというお話です。「基本的な対策だけでは心配」という方がいれば、参考にしてほしいと思います。

　まずは「セキュリティキー」を再び使うようになりました。セキュリティキーとは、USBやNFCを使い、ログイン時に物理的な「所持情報」として利用できるデバイスです。実はもう10年近く前にも取り上げていたのですが、その後に購入していた「Google Titan」（の旧世代製品）を取り出してきて、これをまずは「Googleアカウント」や「Apple ID」に適用しました。これによって、万が一これらのアカウントでパスワードが漏れても、そしてSIMを乗っ取られてSMSが奪われたとしても、物理的なキーがなければログインできなくなる……はずです。

　特にApple IDでは、次期「iOS 18」でパスワード機能がアプリとして分離され、「Keychain」に登録されているパスワードがより便利に使えるようになります。筆者は普段、有料の「1password」を利用していますが、OS内蔵、しかも無料で活用できるのは本当に良いことです。

　ただし裏を返すと、Apple IDが奪われてしまうと全てのパスワード、さらには二要素認証のTOTP（Time-based One-time Password、ワンタイムパスワード）まで奪われてしまう可能性があるわけです。つまり、このアプリを信頼するためには、Apple IDの保護をさらに高める必要があると筆者は認識しています。そのための仕組みとして、もう一度セキュリティキーを使うことにしました。

　Googleアカウントも電子メールをつかさどっていることから、同じセキュリティキーで保護します。Apple IDは「設定」からユーザー情報を開くと現れるメニュー「サインインとセキュリティ」内、「2ファクタ認証」から設定できます。こちらはセキュリティキーが2つ必要です。一つは持ち歩き、もう一つは自宅にしまっておくことにしました。セキュリティキーも安価になってきているので、“面白そうな最先端デバイス”として幾つか購入してみてはいかがでしょうか。

●意外と忘れがちかも　Webサイトのバックアップしていますか？

　もう一つ、始めたのは「Webサイトの完全なバックアップ」です。最近は個人でWebサイトを作っている方も多いと思いますが、Webサイトを運営している個人や、組織における“顔”として公式Webサイトを運営する企業は、それらの情報のバックアップを取り、すぐに元に戻せるかどうかについて、運用を確認することをお勧めします。

　これまでであれば、脅威の侵入は「電子メール」が主流だったので、いわゆるメールセキュリティ対策を実施していれば、ダウンロードされたファイルを無害化できていました。しかし最近は侵入経路として、VPNをはじめとするネットワーク機器の脆弱（ぜいじゃく）性が悪用されています。こうなると、社内ネットワークに存在する、あらゆるサーバが侵害される可能性があります。

　特にWebサーバは改ざんだけでなく、DDoS攻撃を受ける可能性もあります。普段からバックアップを取っていない場合、改ざんされて元のファイルが消失したり、DDoS中でファイルの退避すらできないという自体に陥ります。レンタルサーバにWebサイトがある場合でも、やはりレンタルサーバ事業者そのものが攻撃されるリスクもあり、こちらもバックアップを手元に置くことが望まれるのではないでしょうか。

　特に「WordPress」をはじめとするCMSを運営している場合、データベースを含めてバックアップを定期的に取得しておきたいでしょう。筆者もやっとこのバックアップに着手し、今はデータベースを毎日バックアップして自宅のサーバ（Raspberry Pi）に同期させています。これとは別にWebサイトのファイル群は毎日増分バックアップを取得しています。

　万が一、大規模な改ざんがあった場合は、増分バックアップの分量が増えるはずなので、検知ができると考えています。個人のWebサイトといえどもDDoS攻撃の標的になることもあり、個人的にも戦々恐々としています。もはや「ウチのWebサイトは攻撃しても意味がないよ」ともいえない状況です。念には念をということで、ぜひ皆さまの組織でもご検討ください。

●必要なのは適切に怖がること

　サイバー攻撃は「デジタル災害と考えよ」と表現されることも増えてきました。自然災害がわれわれの身にいつ降りかかるかは誰にも分かりませんが、ひとたびそれが起きるとどうなるかは、皆さんも理解しているでしょう。サイバー攻撃が“災害”と捉えられれば、そのときを想像して訓練したり、前もって備えたりもできるはずです。個人的には、大地震が来るよりも先に「サイバー攻撃の標的になる」ことのほうが、より現実味を帯びていると感じています。だからこそ、いまできることを淡々と実施するしかありません。

　まずは、基本のアップデートとバックアップを実施し、プラスアルファで何ができるか、“ジブンゴト”として考えてみてはいかがでしょうか。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。