1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 武田教授の情報セキュリティ課外授業

武田教授の情報セキュリティ課外授業

今日から始める個人のセキュリティ対策、4つの心得

前編では、さまざまな仕事を通して培われてきた武田先生の危機管理、情報セキュリティへの考え方をうかがいました。 後編では、情報セキュリティについての私たちが普段抱いている素朴な疑問にお答えしていただきます。武田先生による特別講義の開講です。→前編はこちら

武田圭史

武田圭史氏
(カーネギーメロン大学日本校 情報セキュリティ研究科 教授)

慶応義塾大学大学院政策・メディア研究科後期博士課程修了。博士(政策・メディア)。防衛庁・航空自衛隊、アクセンチュア(株)、カーネギーメロン大学情報ネットワーク研究所客員教員を経て、同大学日本校教授。この間情報セキュリティ分野における研究開発・運用・人材育成・コンサルティング等に従事。

【心得その一】
人に見られたら困るものは書かない、撮らない、送らない!

★前回のお話の最後に出てきた情報漏えい対策について、これは企業だけでなく個人の問題としても深刻なものがありますね。

―そうですね。実際ウィニー等ファイル交換ソフトによる情報漏えいで、誰が一番傷つくかといえば、企業ではなく個人なんです。自分の過去のメールのやりとりが大衆の目にさらされる、そういうリスクは皆さん抱えているわけです。ハードディスク内のデータが流出するということは、パソコンの持ち主だけの問題ではなく、誰かがその人に書いたメールも漏えいしまうということです。

★自分のパソコンからデータが出なければ安心、というわけではなさそうですね。

―相手にメールを書いて送るということは、そこで自分の管理を離れるということで、いくら自分が守っても送った先の人が漏らしちゃったら意味がないんですね。そういう意味でいえば、個人でできるウィニー対策、たとえば「パソコン上でこういう処理をしておけば安心ですよ」という単純な対策はありません。

★自分がウィニーを使わないだけでは、ウィニー被害から身を守ることができない...これは怖いことですね。

―ウィニー対策に限ったことではありませんが、自分の身を守るためにできることがあるとすれば、「自分の情報を電子データにしない」ということでしょうか。自分の情報を電子データにするということは、今の時代はリスクを伴います。人に知られたくない、見られたくないものはなるべく電子データにしないということを日頃から意識する必要があるでしょうね。 たとえば、ラブレターとか、漏えいしたらすごく恥ずかしい情報じゃないですか。それを自分のほうで削除したところで、相手が持っていてそれが流出したらアウトです。だからウィニーは怖いんですよ。というわけで、あまり人に見られたらまずいものは書いたり撮ったり送ったりしないこと。そうやって、自分の情報が他人のハードディスクに格納されるのを防ぐわけです。

★メールを書く場合は、誰かに読まれるかもしれないという前提で書く。非常に本質的な問題ですね。

―ウィニーの情報漏えい対策については、自分が対策をしてもしょうがないんです。そういう意味で僕は漏えいの止められないソフトウェアの使用を法律で制限してしまえばいいと思います。自分で対策していたって、たとえば、警察の調書や、レンタルビデオなどの会員情報、学校の成績などが流出してしまったりするわけですよね。それで自分の人生が破壊されてしまう人だっています。自分の情報が電子データとなってどこかに残っている限りは、漏えいというリスクがつきまとう。そうするともう対策としては「清廉潔白に生きる」とかですかね(笑)、そういう話になります。何が漏れても何を知られても、誰にも何も恥じることのない自分でいる。

武田先生はそれを実践なさってるんですか?

―もちろんです(笑)。いやそんなことはないですけど、要するに、自分の個人情報を自分で守れない時代になったということは意識しておいたほうがいいと思いますね。

【心得その二】
自分のパソコンにデータを詰め込まない!

★一方で、自分のパソコンから情報が漏えいした場合、自分が被害者になるだけではなく、加害者になってしまうという側面もありますが、これも決定的な対策はないのでしょうか?

―自分が人に迷惑をかけないようにできることはありますよ。たとえば、ハードディスクの中に、なんでもかんでも詰め込んで置いておかないこと。仕事をしている人などは特に、いろいろな情報をローカルコピーして自分のパソコンに置いておきたいという気持ちがある人が多いように思えますが、いらない情報はなるべく普段使うパソコン上に置かないことです。古いメールでいらなくなったものは、外部媒体に保存しておく。これはまずいなと思う情報は削除してしまう。

★武田先生ご自身はどうなさってますか?

―たとえばデジカメでとった家族の写真など普段使わないプライベートのデータはネットにつながるパソコンには格納していません。あとこれは危険だなというもの、たとえば名簿情報などは絶対にパソコン上には保管しないですね。今でも送ろうとする人がたまにいますけど「送らないでください」とお願いしています。あるいは、暗号化をする。個人情報であれば、それだけでは個人情報として特定できないような加工をするとかですね。

★個人のリテラシーが問われる部分ですね。情報セキュリティ対策については、「個人がしっかりリテラシーを高めていかなければいけません」という流れと、「個人があれこれ考えなくてもそもそもセキュアな仕組みを整備しなければならない」という流れがあります。これはどのように考えればよいのでしょうか。

―僕の意見としては、個人のユーザがセキュリティについて、一生懸命勉強して知る必要はないと思っています。ですから「リテラシーを高めてセキュアにしよう」という動きはあまり好きではないです。リテラシーに頼っていたら、リテラシーの弱い人がいたらだめになってしまいますよね。だから仕組みのところで安全に作っておく。 たとえば最近では指紋や静脈認証等の仕組みもだいぶ普及してパスワードを入力しなくてもスムーズなログインができるようになりました。これまでは「セキュリティと利便性は相反する」といわれてきましたが、これからは便利で安全なシステムが整備されていくと思いますよ。 ITリテラシーについては、中途半端に知っている人が実はいちばん危ないんです。中途半端に知っていていろいろなことに活用しようとして、その時にセキュリティに頭がまわらない。その最たる例がウィニーを使ってしまう人です。いろんな情報を得ようとする半面、自分の情報が出ていくことに目を向けない。これが一番危険なんです。その一方で、「ネットで怖いんで買い物したくない」という人はそれはそれで安全ですが、もっと活用してもいいとは思いますね。セキュリティを理由に便利なものを使わないというのは、ちょっと損しているかなあという気がします。

【心得その三】
何が起こったらいちばん嫌なのか??むやみやたらと怖がらないで対策を考える!

★しかし、多くのエンドユーザにとって、「インターネットの世界で誰かにだまされてしまうかもしれない」といった漠然とした不安というのは常にあると思うんですよね。

―やみくもに怖がるのではなくて、「何が起きたらいちばん嫌なのか」ということを考えてみるといいと思います。まず考えられるのが、オンラインバンキングで勝手に送金されてしまうとか、クレジットカードを勝手に使われてしまうといった被害ではないでしょうか。実は、これらの被害については、手間はかかりますが補償されるケースも多いようです。身に覚えのない請求があったとしても「これには覚えがないよ」といえば返してもらえることが多い。明細を見ておかしなところがあったらどんどん指摘をすればいいんです。 そもそもクレジットカード番号を伝えただけで買い物ができてしまうというのは、非常に脆弱なシステムだと思いませんか? しかしクレジットカード会社はそのシステムの単純さによってメリットを得ている。だから多少歩留りが悪くて、被害が出て、それを補填しても利益はあるというわけです。そうであるうちは、我々が過度に神経質にならなくても、被害があったら言えばいい。クレジットカード会社側が、被害が多すぎてだめだと判断すればもっと安全な仕組みに移行するでしょう。エンドユーザとしては、被害が起こったときに、何らかの方法でリカバーできればいい、くらいに考えておけばいいと思います。

★補償も視野にいれればそんなに神経質になる必要はないということですね。少し安心しました。ほかに考えられる嫌なことといえば...

―セキュリティというとハッカーとかに目が行きがちですが、ハードディスクがクラッシュする、これもすごく嫌なことだと思うんですよ。対策は何かというとバックアップをとる。個人でできる対策とはそういうことなんです。こういったことを、なるべくストレスなくできるようにしてエンドユーザに負担のないようにすることが重要だと思います。「セキュリティのことをちゃんとわかれ」と押しつけるべきではないですね。

【心得その四】
パスワードは紙に書いて保管する?!

★ハードディスクがクラッシュしないでもパスワードを忘れてしまって開けなくなってしまうのも嫌ですよね。

―僕は、パスワードは紙に書いていますよ。

★それは意外な事実です! パスワードは紙に書いていいんですか?

―書くのはいいんです。それをパソコンに貼っちゃうからいけないんです(笑)。 僕は人間ほど信用できないものはないと思っています。中でも自分が一番信用できない。だからパスワードは紙に書く。自分の記憶ほどあてにならないものはありませんからね。紙に書いて、金庫にしまっておけばいいんです。物だったら管理できるじゃないですか。金庫じゃなくても財布に入れておくとかね。財布を落としても、何のパスワードなのか、情報が一致しなければ大丈夫です。 人間の記憶量なんて限りがあるから、パスワードを攻略されて侵入されるよりも、パスワードを忘れて使えなくなる確率のほうがずっと高いわけです。どっちにコストをかけるのかと考えたら、確率の高いほうのリスク、つまり「パスワードを忘れてログオンできなくなる」というリスクに対する対策として、紙に書いてしかるべきところにしまっておくという方法をとる方がいいんです。 紙に書かないと弱いパスワードをつけてしまったり、複数のアカウントで全部同じパスワードということもありますしね。だったら、紙に書いて強いパスワードを作ったほうがいい。

★なるほど。紙に書いて物理的に管理するというポリシーを自分で決めてしまえば、難しいパスワードをつけることにも戸惑いませんね。よく誕生日など、わかりやすいパスワードを入れてはいけないといわれますが、実際、複雑なパスワードをつけた方がより安全になるものなんでしょうか?

―もちろんです。オークションやオンラインゲームのアカウントが破られるなんていうのは最たる事例ですね。 ここでちょっと破る立場の視点にたって話しますと、最初にまず弱いパスワードからあたっていくんですね。よくあるのが、「password」というパスワード。何千人もいれば、何人かはそういうパスワードをつけている人が必ずいる。皆がよくつける安易なパスワードの表のようなものがあるんですが、それを順に試していきます。その次は、ID、ユーザ名から派生した組み換えを試していく。このように、可能性の高いものからどんどん破られていくわけです。 ある特定の人物に対し「この人のアカウントを破りなさい」という場合、その人がきちんとしたパスワードをつけていたらそれを破るのは難しいです。でも、たとえば「1万人ユーザがいる中から、どれでもいいから入ってください」と言われたら、弱いのから順番に試していけば、どこかで引っかかる。そうすると弱い人から犠牲になっていきます。ですから、そこでちょっと難易度の高いパスワードをつけておけば、被害に遭う確率も低くなります。

★なるほど。複雑なパスワードをつけることで、無差別な攻撃、ローラー作戦的なアタックのターゲットになることは避けられるというわけですね。個人でできる数少ない対策ということができそうですね。

―そうですね。ちょっと他より手間をかけること。ハッキングの多くは何をやっているのかといえば、「開くかな? 開かないかな?」と、片っぱしからドアをガチャガチャっとやっていくようなものです。そして、開いたら入っていく。だから鍵をかけておく。本格的にピッキングされたら入れてしまうような単純な鍵でも、かけないよりは確率が下がります。

★何がいちばん嫌なことで、それに対して何ができるかということをはっきりとさせる。だいぶ頭がクリアになったような気がします。 また、自分の情報をむやみに電子化しないことであったり、パスワードを紙に書き留めておくことだったり、IT以外でできることがたくさんあることがわかりました。

―実際、物理的な対応でかなりのリスクは回避できるものです。パソコンが難しくてパソコン上の情報が管理できないというのなら、物理的な管理ができるように置き換えればいいんです。

★何だかよくわからないセキュリティの技術に恐れるのではなく、自分の管理の手の届くところに情報を置くことで安心できる。「見えているからこそ安心」という前編のお話にも通ずるものがありますね。今日はどうもありがとうございました。

<おまけコーナー>
【武田教授の日常?情報収集編】

★当ブログをご覧になった感想はいかがですか?

―いろいろな話題がわかりやすくまとめられていると思います。

★武田先生もブログをなさっていますが、気をつけていることなどはありますか?

―はじめにブログありきではなく、何か伝えたいことがある場合のツールなので、ブログの維持という視点では捉えていないですね。 何か言いたいことがあるとき、それから、買ってよかったものとか、読んでおもしろかったものとかを伝えたいときに書く。ネタがないときは書かないです。

★ほかの方のブログはまめにチェックするタイプですか?

―ブログに限らず、情報収集はしていますね。やはりセキュリティ系の最新情報というのはウェブでのチェックが欠かせませんから。国内だけでなく、海外からの情報のチェックもしています。最近はポッドキャスト(iPodで聞けるラジオ番組のこと)がお気に入りです。海外のセキュリティ関係者がやっているコンテンツなど、普通のラジオ番組並に充実しているものがあります。移動時間などに聴いています。

★セキュリティ系のお話を?

―はい。世界各国で話題になっていることなどをチェックしています。あと自分が英語で教えなければならないので、新しい概念など、英語で何と表現するのか、そういう情報収集はやはり耳で聴くのが一番なので、ポッドキャストがいいです。

★実は当ブログでも、セキュリティ落語をポッドキャストで配信しています。

―すみません、それは知りませんでした(笑)。

★普通のラジオ番組並にということは、DJがしゃべっていたりするのですか?

―そんな感じです。質は高いですよ。米国のボット対策とか、リアルタイムで入ってきます。専門的な内容だけでなく、「Windows Vistaのセキュリティはどうか?」といったテーマもあります。十分普通のラジオ番組としても面白いのでお勧めですよ。

★こちらでもぜひ参考にしてみたいと思います。今日は貴重なお話の数々をありがとうございました。

武田教授の情報セキュリティ課外授業 前編へ

関連キーワード:

ウィニー

  • マカフィー社が2008年の脅威トップ10を予想
  • カテゴリートップへ
  • セキュリティに関する回答が上位?インターネットの「恐怖」に関する調査?
あなたへのオススメ
2010年11月22日
2010年10月のIT総括
2006年4月27日
Winny脆弱性、接続数に減少傾向無し