読者です 読者をやめる 読者になる 読者になる

treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

セキュリティの効率を上げる考え方

PC セキュリティ 私流方法論

f:id:treedown:20151013130517p:plain

セキュリティは強固にしようとすればするほどお金も労力も掛かります。
ではセキュリティのあるべき状態、というのはどんな状態なんでしょうか?
今日はセキュリティ確保のための一つの考え方をご報告します。

対象は、

  • フリーランス・個人事業主でPC環境を利用している方
  • 家庭のPCでセキュリティを気にしてPCが使いづらくなっている方
  • 小規模なインフラ管理をしている方

このあたりです。

簡単に結論を申し上げますと、PC環境を分割する、ということをお勧めしたいという主旨です。
もっと言うとネットワークすら分離する、というのも一つの手です。
※本記事ではネットワーク部分は触れずPC環境を分離する、という点について掘り下げて記載しています。

保護するべき対象が世間で誤解されているケースが散見されていますが、保護すべきなのは環境ではなく「データ」なのです。
そして、PCに施すセキュリティ対策の必要水準が、そのPC利用方法と矛盾する(両立できない)場合には、そのPCの利用方法を分割して別PCで利用するのが明確な解決方法の一つと言えます。

あくまでも私の方法論です。他にもいろいろな考え方が世の中には玉石混交に表明されています。ただし、この記事に記載されている私の方法論に共感できるようでしたら、ご自身の管理対象となっているPC・インフラ環境でも「環境の分離」について考え始めることをお勧めします。
課題の分解は思考するだけでも価値があり、貴方の能力の向上に寄与します。

では詳細です。

セキュリティという観点で危ないのは何か、を考えると代表的なリスクは

  1. マルウェアスパイウェアなどのコンピュータウィルスによる情報搾取・漏洩
  2. ハッキングに起因した踏み台・ボットネットワーク参加による不正利用

の2点が大きく考えて注意すべき点です。

細かく分けるともっとたくさんあるないし複合化し複雑になっているのが現状ですが、ここではこの最低限かつ巷に多い自己防衛に絞ります。
セキュリティ対策ソフトは1種類(か2種類)でPCを保護されている方は多いと思います。ですが、自身が保有しているPCすべてにセキュリティソフトを導入し対策するとなると、なかなかのコストを負担しなければならない、というのが現状です。
で、このコストが負担できなくなってくると、無料のウィルス対策ソフトや無料の統合セキュリティ対策ソフトで対策をするPCも出てくると思います。なお後に解説しますが、無料版の是非/製品版の是非はここでは問いません。
巷では、セキュリティ対策ソフト(ウィルス対策ソフト)だけでは現代のサイバー攻撃は防御しきれない、といううたい文句が増え、新しいセキュリティ対策製品の売り込みがメーカーからいろいろと提示されているわけですが、これらをすべて購入して導入、となるとかなりのコストが必要になりますし、無料の対策ソフトであっても導入して正常に稼働させるには労力が必要(時間も必要)になってしまいます。

利用中によくあるのが、誤検知です。
誤検知が多いと、オオカミ少年にあるように攻撃には鈍感になってしまい、本当に重要なセキュリティ侵害が発生しているのに楽観的に誤検知だと考えてしまうこともあり得ます。
また、セキュリティ対策を多層防御の思想で1台のPCに組み込んでゆくと、

  1. ウィルス対策ソフト(統合セキュリティ対策ソフト)で全般防御
  2. Microsoft EMET(Enhanced Mitigation Experience Toolkit)や専用製品(例:DeP=Defense Platform 無料版有)でゼロディ・ふるまい検知などの局所防御
  3. RapportやPhishWallプレミアムのようなブラウザ特化のネットバンキングメインのセキュリティ対策
  4. HDD暗号化による物理的データ保護
  5. 生体認証・BIOSパスワードによる認証強化

ざっくりこのような感じになるでしょうか。
まれに、検出力の不安から(1)ウィルス対策ソフトの多層防御をなさっている方も見受けられます。
ここまでやると、
PCの使いはじめで毎回複数回認証、生体認証とパスワード認証の多重認証で数分ロス。
いざ使い始めると、統合セキュリティ対策ソフトが毎日アップデート要求、アップデートまで安全ではない状況なのでやむを得ずアップデート完了まで待ち時間。複数のウィルス対策ソフトが稼働していれば複数のアップデートを実施する必要があります。
ようやくアップデート完了後、ブラウザを開いてサイト閲覧をしていればふるまい検知が反応し、不安に駆られ…。
月例のWindowsUpdateすら(事前準備なしで)自動化すると不具合が発生する環境になります。

一言でいえば、使いにくい。

無計画に、というわけでもないのに、セキュリティという大義名分によって導入した世間一般の企業が要求する水準のセキュリティ対策を導入すると、PCが使いにくくて仕方がない、状況に陥ってしまうのです。
でもだからといってセキュリティ基準を落として(リスクを飲んで)利便性を取る、ということが毎度毎度できるわけでもない、という一面はあります。(セキュリティ水準が取引条件となっていれば、やはり契約がありますからセキュリティ水準は保つ必要があります。)
ちなみに(企業にも依りますが)上記で挙げた5点のセキュリティ対策はほんの最小限であり、実際に取引先企業がPマークを取得している企業であれば、貴方に発注するために要求してくるセキュリティのレベルはさらに高いレベルが要求されることが多いです。これをヒアリングシートや調査票のような形式で聞き取り調査して監督する義務を雇い主側が負っているからです。

私は時折、「私はセキュリティ対策をするためにPCを購入したんじゃない。」と心から思う(心の声が聞こえる)ことがあります。
おおむねそういう時は、セキュリティ対策ソフトの動作が安定せずセキュリティ対策ソフトのためにコンピュータリソースが占領されています。そしてセキュリティ保護のためにセキュリティ対策ソフトに人間が使われいてる状況に陥っています。本来PCを使う側の人間が、セキュリティ対策をするためにセキュリティ対策ソフトに使われているような状況です。
ようするにPCと人間の立場が逆転します。
セキュリティ対策ソフトの批判は大きく分けると「重い(遅い)」「安定しない(エラーばっかり)」「検出しない(保護してくれない)」の3点といったところでしょうか。
これにはセキュリティ対策ソフトの出来不出来とセキュリティ対策ソフトをインストールするPC環境の両方が影響してきます。受け入れるOSにセキュリティ対策ソフトの動作を阻害する要因があれば上記の3点批判のどれかが発生します。
購入したのに使えないセキュリティ対策ソフト、決して安くはないのに後悔する買い物になりますね。

ようやく本題に移ります。
ここは特にSOHO・フリーランス・個人事業主の方に該当する話ですが、まずは
「業務用のPCと私的利用のPCを物理的に分けて、2台(か3台)のPCを使い分け」
をご提案したいところです。
個人事業主の方は「事業用の財布(会計)」と「私的利用の財布(会計)」を財布・銀行口座からして明確に分割しておくことが望ましいのと同じ考え方です。

本来事務作業と家庭内利用に要求されるPCのスペックは毛色が異なります。
もう少し具体的に例を挙げると、ドキュメント作成に代表される事務作業としてOfficeの利用や会計ソフト、電子メールやSkype通話、こういった業務利用に要求されるPCスペックは、家庭内で主な利用方法となるゲームや動画視聴・エンコード、CDの音楽をソフトで取り込んでプレイヤーに転送、といったPC利用に要求されるスペックと全く異なる、ということです。
各々のPCに保管されるデータの重要度も全く異なる重要度となります。
業務用(事業用)データは漏洩すると社会的な問題です。取引先の信用問題となり仕事=生計に支障をきたすダメージです。
家庭用のデータは漏洩したとしても、社会的な問題・影響は事業用のデータよりは軽微です。プライバシーの点においてダメージが大きい私的なデータはありますけどね。

「データの重要度やデータによって発生する問題の種別によって環境を分ける」
という点がセキュリティ対策を実施する場合の視点として必要です。
社会的制裁を受ける業務データ、と、家族との写真や動画、を保護する施策は同じセキュリティ要求事項ではありません。当然社会的制裁を受ける業務データは最大限の保護をするべきなのです。
業務中にはそれほど怪しいサイトを見に行かない(はずですよね?)、しかし、家庭では多少怪しいサイトを見に行くので知らないうちに望まないデータ受信があり得るかもしれません。ここのセキュリティレベルも大きく異なります。
怪しいサイトを見ない近づかない、のであれば、それほどの強固なセキュリティでなくホドホドのセキュリティ対策であっても大丈夫ですが、怪しいサイトを(敢えてそれでも)見る、ということだとセキュリティ対策としては(武装を)固めておく必要があります。
この「データによってセキュリティ対策をレベル分けする」という考え方なので、ちょっと前に触れましたが"セキュリティ対策ソフトの無料版を使うか製品版を使うか"という点は、あまり本記事ではポイントにならないのです。つまり守るべきデータとそのPC環境の利用方法によってセキュリティ対策ソフトは無料版でも十分に足りる水準になりえますし、データによっては製品版を購入して、もっと言えば複合的な保護を用意して守るべきデータを保護する必要に駆られる環境もある、ということなのです。


説明が長くなってすいません。
大きくPC環境を分けると、

  1. 業務用PC(業務利用、事業用データ)
  2. 家庭用PC1(一般利用、家庭データ)
  3. 家庭用PC2(特殊利用、データなしでネットサーフィンする)

と、このように3分割するのです。
もし貴方が、SOHOやフリーランス・個人事業主ではない、ということですと、(1)業務用PCは用意不要ですし、怪しいサイトを見ないのであれば(3)家庭用PC2は用意不要です。
ただし、この3つの用途を1台の物理的なPCの中に内包しないようにすることで、セキュリティ対策機能を十重二十重に用意するよりも、効果も高いしなにより動作がキビキビ安定する、という点がメリットです。

この分割をしておけば、怪しいサイトを閲覧してデータが収集される、ワンクリック詐欺でPCで利用している電子メールやアドレス帳に保管している情報が収集される、ということも(データなしで利用しているのなら)ありません。

セキュリティ対策ソフトの導入の水準も変わってきます。

  1. 業務用PC:
    ここは統合セキュリティ対策ソフトに頼り、補助的にネットバンキング向けの保護対策を導入します。このPCではネットサーフィンはするとしても意識して怪しいサイトには近づかない、という点は注意が必要です。(業務に必要なサイトだけなら、大丈夫ですよね?)業務上持ち出しもするのであればHDD暗号化や認証強化も要するところですが、モバイルが必要であれば「後述⇒※補足※業務用PCのモバイル」をご覧ください。
  2. 家庭用PC1(一般利用、家庭データ):
    ネットサーフィンを専用PCに任せるのであればウィルス対策ソフトでマルウェア防御でOKです。(ネットバンキングは業務用PCに任せましょう。)とにかく昔ながらの家庭内利用PCとしての用途で利用するPCとして用意するので、スペックもそれほど必要なく、お古のPCを再生すれば事足りるレベルのPCだと言えます。その用途にふるまい検知やHDD暗号化、もっと言えば生体認証なども必要なレベルとは言えません。
  3. 家庭用PC2(特殊利用、データなしでネットサーフィンする):
    ネットサーフィン専用とするからには知らないうちに感染、新種に感染が一番確率として高いPCとなります。統合セキュリティ対策ソフトで防御しつつ、複合的にふるまい検知をしておくのがベターです。が、家庭内のネットサーフィンでデータを保存しない、というルールを守ればHDD暗号化や認証強化は必要ではありません。

※補足※業務用PCのモバイル:
ここでもう一つPCの分解ポイントがあります。業務用途でPCを持ち出す場合には盗難・紛失、という点も気を使います。残念ですが盗難・紛失に対して統合セキュリティ対策ソフトは無力です。ここの保護はHDD暗号化や生体認証・BIOSパスワードといった物理的なデータ保護です。
そこで、過去記事(低コストシンクライアントというかVDIというか…。 - treedown’s Report)にてご紹介したfatクライアントを組み合わせたRDPでの持ち出し専用環境も検討の価値ありです。
具体的には業務用PC(据え置き)は上述の対策を実施し、モバイルPCのセキュリティ対策としてHDD暗号化や認証強化を実施、据え置き側にはHDD暗号化や認証強化は実施しない、という棲み分けをします。

※さらに補足:
以前に「ユーザにインストール権限を付与しない理由 - treedown’s Report」という記事を書きました。この記事でインストール権限をユーザに付与する場合、環境を分離する、という考え方をご提示しましたが、今回の考え方と全く同じです。
出自耳目の分からない(管理者フィルタを通らない)ソフトウェアを利用する場合には、今回の考え方をベースに環境を分離してユーザが日常利用するメール環境に保管されたデータや共有フォルダ/マイドキュメントに保管されている業務用のデータに触れられないよう、PC環境自体を物理的に分割する方策で自由な環境を提示することで、万が一であってもデータにアクセスされるリスクを最小限に抑える、という考え方ができます。


こういった対策で複数台PCを運用する手間は増えるかもしれませんが、1台にセキュリティ対策機能をゴテゴテ突っ込んで、セキュリティ対策機能同士がケンカしてしまうような状況より安定して使えるはずです。

整理しますと、

  • 物理的な安全確保のため、HDD暗号化や生体認証・BIOSパスワードなどのセキュリティ技術が必要、物理的に安全な場所での据え置き利用であれば必須条件ではない。
  • OSの動作全般の安全確保ためにウィルス対策ソフト(統合セキュリティ対策ソフト)は必須。ただし、ウィルス対策ソフトに特化するか、統合セキュリティ対策ソフトで丸ごと保護するか、という部分はPCの使用方法とPCに保管されるデータの重要性に基づいて判断する。
  • EMETに代表されるゼロディ対策・ふるまい検知はマイナーだが、ネットサーフィンやその他通信で発生するいつの間にか感染を防ぐためには有効。しかし制御が難しいので用途を絞ったPCで稼働すると使う側である人間の負担は少ない(はず)。
  • ネットバンキングを利用する場合にはネットバンキング特化のセキュリティ対策を実施する、という対策は有効。有効だがPC全般においてセキュリティ対策がしっかりできている、という下地が必須。

と、このような感じでしょうか?

各々のPCスペックは、

  1. 業務用PC:メモリ、ストレージ性能優先
  2. 家庭用PC1:旧世代のホドホドPCでよい
  3. 家庭用PC2:ネットブックでよい

★ただし、各々のPCにおいて、動画データを閲覧・取り扱う場合にはCPUの性能が要求されますので、動画に関わるPCはCPU性能をある程度(Core i3/i5程度は)確保するのが望ましいです。

セキュリティ対策を実施しているのに、セキュリティ対策ソフトに使われているような錯覚に陥っているPCユーザの方へ、セキュリティ対策ソフトに使われない生活はいかがでしょうか?