誰でも10分で出来る社内のセキュリティ対策

1.日本のサイバーセキュリティ事情

日本ではサイバーセキュリティの技術者はとても不足しています。わたしが今日ツイートした通り、

やはり国の安全保障で最も必要とされる分野なので、国をあげての人材教育を行う必要があるのと思うのです。

イギリス・ロンドンに拠点を国際的戦略研究所（IISS）という施設が世界各国のデジタル総合力の評価（CYBER CAPABILITIES AND NATIONAL POWER: A NET ASSESSMENT）をまとめています。

これを見ると、インド、インドネシア、イラン、マレーシア、北朝鮮、ベトナムと共に、

なんと日本は最下位の３グループ目！

ちなみに1番目グループはアメリカ、2番目グループは、オーストラリア、カナダ、中国、フランス、イスラエル、ロシア、イギリスでした。

ファイブアイズというものを知っていますか？アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドによる情報共有の枠組みです。そこに最近、日本が加わるかもしれないというニュースが流れています。とても大切な話です。しかしこれ、ニュージーランド以外は、全て、先程の評価で1グループ目、2グループ目の国ばかりです。このまま簡単にうまくいくのでしょうか。日本にはもっとサイバーセキュリティ人材の育成を頑張ってもらいたいと思います。

さて前置きはさておき、民間でも、なかなかサイバーセキュリティに対して認識がある会社は多くはありません。でも、だからといって狙われないわけでは全くありません。今は、どの会社もインターネットには接続されています。

一旦漏洩事故が起こると、企業としての信頼は失墜します。顧客も減ってしまうと思います。なので絶対起こしてはいけません。


でも、IT担当者がいない会社には、難しくて対策なんて出来ない。そう思いがちだと思います。

そこで！

IT担当者がいなくても10分ですぐに行えるサイバーセキュリティ対策を紹介します。

2.インターネット上に公開されるべきでないファイルのチェック

数年前からちらほらと

「意図せず個人情報が掲載されたファイルがインターネット上に公開されてしまう」

という事件を記事で見かけるようになりました。ここでは、IT担当者がいなくてもすぐに調べられる、自社のファイル漏洩チェックをご説明します。

基本的にクラッカーは、一つ一つのサーバーにアタックを仕掛けていては効率が悪いので、まず、網羅的にセキュリティの甘い所を探します。

それを利用して、自社のファイル漏洩チェックができます。簡単です。検索エンジンであるGoogleを使います。

検索ボックスに、

site:{あなたの会社のドメイン} filetype:{漏洩が気になるファイルの拡張子}

を入力して下さい。例えばヴィクセスがエクセルファイルを意図せず公開しているかどうか調べたかったら、Googleの検索ボックスに

site:vixcess.com filetype:xlsx

と入力します。

これで、あなたの会社の管理しているドメイン内に、漏洩が気になるファイルの拡張子があるかどうかを調べることができます。filetypeの所を”xlsx”であったり”docx”などと色々と変えてみることで、自社で、これらを拡張子に持つファイルが公開されているかどうかを調べることが出来ます。

もし見つかった場合には、そのファイルが意図して公開したものでない場合はすぐに非公開にしましょう。

3.クラウドサービスでアカウントが漏洩しているかどうかの調査

もし会社の社員の方が、何らかのクラウドサービスでアカウントを持っていたとします。そしてこのアカウント情報が漏洩したとすると・・・。

恐ろしいですね。もしかしたらクラッカーは、そのクラウドサービスに漏れ出たアカウントでログインし、情報を抜き出すかもしれません。ログイン後見れるデータが顧客情報だった場合には、会社に甚大な被害を及ぼします。なので、これを調べます。

海外のサイトで、メールアカウントを元にしたアカウント情報が漏れ出ていないか、もし漏れ出ているのであればどのサービスから漏れ出ているのかを教えてくれるサービスがあります。Haveibeenporned、というサービスで、ハブ・アイ・ビーン・ポーンドと読みます。ハブ・アイ・ビーン・ポーンドのサイトはこちら（新しいウィンドウが開きます）。

すると以下の様な画面が開きます。何やら怪しいのでは？と思うかもしれませんが、歴史のある怪しくないサイトなのでご安心を。ここで、下の枠で囲った所にメールアドレスを入力して、その横のボタンを押すだけです。

すると、もしこの様に「Good News」という文字とともに緑色のエリアが表示されていれば、安心です。漏れていないということです。

逆にもしここで、「Oh no — pwned!」という文字とともに、小豆色の背景のエリアが表示されると、漏洩している、ということになります。その場合には、下に漏洩の元になったクラウドサービスが表示されています。なのでこちらのクラウドサービスのアカウントを削除するか、パスワードをすぐに変えましょう。

でも、これだけじゃ、不安ですよね。

組織全体のメールアドレスを、これまでの過去分の漏洩チェックと、もし今後漏洩したら教えてほしいそう思ったはずです。

安心して下さい。それもできます。

そのためには上のメニューの「Domain search」というメニューをクリクします。

このような画面になります。

ここで、ドメインを入力して、ここの「subscribe me」というところにチェックを入れます。その後、代表のメールアドレスを入力します。そしてボタンをクリックします。

すると、次の画面になります。

これは、登録のドメインが漏洩しているかどうかを誰かが勝手に行えないように、そのドメインが間違いなくあなたの会社が所有しているものですよ、と証明するために必要になります。やり方は枠で囲ったとおり４つありますが、この内最も簡単なのは、一番上の方法になります。

『メールアドレスにメールを送りますので、本当にこのドメインの所有者かどうか、メールを受け取ることによって証明して下さい。』

ということですね。そして、メールを受信するメールアドレスをチェックします。無い場合には、作る必要があります。先に作りましょう。

メールアドレスを作ってメールを受け取る準備ができたら、その下の「send verification email」ボタンをクリックします。ここで重要なのは、完全に登録が終わるまで、この画面は閉じないようにして下さい。でないともし何かあった場合、最初からやり直しになります。

クリックすると、先程指定したメールアドレスに、メールが届いています。以下のようなものです。

メールの中に、トークンと呼ばれる文字列が書かれていますので、こちらをコピーします。上の赤枠の所です。

一方サイトに戻ると、以下のような画面になっています。そこで、枠で囲った部分にコピーしたトークンをペーストします。そして、「verify token」ボタンを押します。

すると以下の画面になります。下の一番左の赤枠がウェブページとしての表示、真ん中の赤枠がエクセル形式でダウンロードになります。右は気にする必要ありません。

そして、ウェブページで表示のアイコンをクリックすると、以下のように表示されます。これで、これまで過去に漏洩した指定のドメインが確認できたことになります。

そして、今後何らかのクラウドサービスで情報漏洩が起こったとします。そのクラウドサービスが漏洩しているという情報がハブ・アイ・ビーン・ポーンドに登録され、その中に指定のドメインのアカウントが含まれていた場合、メールが届くようになります。もし届いたら、やはりすぐにアカウントを削除するか、パスワードを変更するようにして下さい。

4.最後に

IT担当者無しで出来るセキュリティ対策は、そう多くはありません。やはりある程度技術的な面が出てきます。しかしここで上げた2つは技術的な面が絡まないので、IT担当者がいない会社様でも対処ができます。しかもやらないよりはやった方がずっと良いので、是非やってみて下さい。わからなければ、いつでもご相談を。