PCを使う人が知っておくべき最低限のセキュリティ対策

パソコン セキュリティ対策のポイントは「平均よりもちょっと厳しい」

PCのセキュリティに「絶対安全」はありませんが、「だいたいこれくらいでいいだろう」というレベルは存在します。以前、テレビ番組で警察関係の方が「空き巣に入られないために大事なのは“両隣よりも厳しい防犯対策”」と言っていました。

両隣よりも相対的に厳しい対策を取ることで、自分の家を狙われにくくできます。両隣には申し訳ないのですが、そういうものです。

PCのセキュリティも同じで、「平均よりもちょっと厳しい」というのが設定のポイントです。幸か不幸か、「平均」は毎年向上していくため、セキュリティ設定も定期的に見直す必要があります。またセキュリティ対策機能も向上させるため、数年ごとにソフトウェアのバージョンアップを行います。ハードウェアと違い、ソフトウェアは劣化しませんが、世の中が変わっていくため、ソフトウェアを対応させる必要があるのです。

ソフトウェアはバージョンアップをしなければならない

ソフトウェアの定期的なバージョンアップが必要

セキュリティで重要になるのは「ソフトウェアのアップデート」です。多くのソフトウェアベンダーは、インターネットを通して、継続的に修正プログラムを公開しており、Windowsの場合は「Windows Update」を使って配布されています。

先に書いた通り、周りの様々な状況の変化に対応するため、ソフトウェアは日々更新されています。最新のソフトウェアにアップデートしておくことで、新たな脅威にも対応していくことが大切です。

古いソフトウェアでは修正プログラムの配布が打ち切られていることもありますので、最新のリスクに対応するためにも、ソフトウェアは最新のものにしておきましょう。

意外に使える「Windows Defender」

現在、ウイルスに代表される多くの「マルウェア（悪意を持ったソフトウェア）」が出回っています。マルウェアを完全に防止することは困難ですが、アンチウイルスソフトを使うことで、ほとんどのマルウェアを排除できます。

アンチウイルスソフトは、ファイルのダウンロードや保存を監視し、不正なプログラムの侵入を防ぎます。以前のアンチウイルスソフトは、ファイルチェックに時間がかかり、PCの速度を大きく落としてしまうという欠点がありました。現在では、速度低下は最小限に抑えられています。

また、最近のアンチウイルスソフトは、どの製品も実用上十分な検出率を持っています。ただ、ウイルス情報の更新頻度や、フィッシング（詐欺）の検出率などは差があるようです。

今後2020年1月14日にWindows 7、2020年10月13日にはOffice 2010の延長サポートが終了いたします。セキュリティ更新プログラム提供の終了を意味するためOSの脆弱性が発見されても修正が加えられることがなく非常にリスクが高い状態となります。最新OSへの早めの乗換えがおすすめです。

パソコン工房でWindows 10 ソフトウェアを見る

パソコン工房でMicrosoft Office ソフトウェアを見る

Windows 7 サポート期限迫る！乗り換え徹底解説

ファイルのダウンロードや保存を監視して不正なプログラムの侵入を防ぐ

アンチウイルスソフトとして意外に（と言っては失礼ですが）優秀なのがWindows標準の「Windows Defender」です。初期のWindows Defenderは、スパイウェア（PCから情報を抜き取り外部に流すソフトウェア）の対策機能しかありませんでしたが、現在のWindows 10搭載のものでは、一般的なウイルス対策機能をはじめ、従来製品から機能を強化しています。現在では、マイクロソフトが日々世界から収集・蓄積した最新の脅威情報をクラウドで迅速に反映する機能を備えているため、検知率の面でもサードパーティ製のアンチウイルス製品と遜色のないものとなっています。システムトラブルが非常に少ないという利点もあります。

Windows Defenderはシステムトラブルが非常に少ない

もちろん、より高度なものを求めるのであれば、セキュリティ企業が提供するサードパーティ製のアンチウイルスソフトを使用したほうがよいかもしれません。なお、ほとんどのサードパーティ製のアンチウイルスソフトは、原則1台に1種類のインストールを推奨しています。そのため、それらのサードパーティ製のアンチウイルスソフトをインストールするとWindows Defenderは、自動的に無効になるように設定されています。

認証には大きく3つの種類がある

セキュリティで大事なのは、「本人確認」です。その本人確認の作業を「認証（authentication）」と呼びます。認証には大きく3つの種類があります。

・something you know（知っていること）
自分だけが知っている情報で本人確認を行います。パスワードはこの手法の代表です。手軽に使えますが、単なる情報なので情報漏えいのリスクがあります。

・something you have（持っているもの）
自分だけが持っている物で本人確認を行います。「自宅の鍵」などが該当します。安全性は高いのですが、盗難のリスクがあります。

・something you are（自分の身体）
指紋や顔など、身体の一部分で本人確認をします。確実なように思えますが、身体の障害により認証できなくなることがあります。

認証には大きく3つの種類がある

いずれの方法も利点と欠点があるため、セキュリティが重要な場面では複数の方法を組み合わせた「多要素認証」が使われます。

ここでは、広く使われている以下の4つの方法について紹介します。

・パスワード
・PIN
・バイオメトリックス認証
・二段階認証／多要素認証

パスワード

パスワードは「something you know」の代表で、多くのWebサイトが採用しています。PCにログオンするときも、ほとんどの人がパスワードを使っているでしょう。認証にパスワード使う場合の注意は以下の通りです。

①自分だけが知っていて、他人に推測されない
パスワードは個人を特定する重要な情報なので、人に教えてはいけません。容易に推測されるような単語は不適切です。

②桁数を増やす
極端な例として、パスワードの桁数が1文字で、英数字のみの場合を考えましょう。大文字と小文字をあわせて52文字、数字が10種類ですから、最大62回試行するとログオンできてしまいます。こうしたリスクを減らすには、パスワードの桁数を増やすことです。一般には6文字から8文字が最低長ですが、安全に利用するには15文字以上の長さが必要という意見もあります。

③使い回しをしない
サービスごとに異なるパスワードを利用すべきです。インターネットで提供されるサービスには、運用管理体制がしっかりしていないところもあります。パスワードが流出した場合、芋づる式に他のサービスにも侵入されてしまいます。

④複数の人で共有しない
2人が知っている情報はどんなに気をつけても漏えいのリスクがついて回ります。やむを得ず複数の人で同じパスワードを使う場合は定期的に変更し、漏えいに備えるべきです。

⑤有効期限の設定は不要か
パスワードに有効期限を設定し、定期的に変更することがあります。セキュリティの専門家の中には、「自分だけが使うユーザーアカウントの場合はパスワードに有効期限を設定する必要はない」人もいます。確かに高いセキュリティ対策が施された信頼できる組織が運営しているサービスでのみ使用し、他で使用していないパスワードの場合は、頻繁に変更する必要性は低いかもしれません。ただし、パスワードの流出が起きた場合は、すぐに変更してください。

これまでのセキュリティの常識では、パスワードは定期的に変更することが「推奨」だと考えられてきましたが、近年ではそれに異を唱える専門家が増えてきました。その理由の1つとしては、定期的にパスワードを変更してしまうと、ユーザーはいちいち覚えることができず、推測されやすいパスワードを使用するようになったり似たようなパスワードを使い回すようになったりする傾向があるからです。

実際に、アメリカの政府機関、米国立標準技術研究所（NIST）も、こうした考えのもとガイドラインを2017年に変更し、現在では総務省もこれまでの方針を覆し「定期的な変更は不要」を推奨しています。

パスワードの使い回しはリスクが大きい

お勧めのパスワード管理手法

パスワードを安全に利用するのは案外難しいものです。簡単すぎるパスワードはすぐばれてしまいますし、複雑すぎると覚えられません。調査によると、日本でも米国でもヘルプデスクの問い合わせのトップは「パスワードが分からなくなった」だそうです。お勧めは、パスワードを紙に書いて安全なところに保存することです。もちろん、メモを目立つところに置いてはいけません。

PC上にファイルとして保存する方法もあります。この場合、パスワードそのものではなく、パスワードのヒントを書くようにします。これは、何らかのウイルスによってPC内のファイルが流出する可能性があるからです。

「パスワード管理ツール」を使うのもよい方法です。一部のアンチウイルスソフトはパスワード管理機能を持っており、指定したWebサイトにアクセスするとあらかじめ保存してあるユーザー名とパスワードが自動的に入力されます。Webブラウザにも簡単なパスワード管理機能があります。これも積極的に使って構いません。

Webブラウザにも簡単なパスワード管理機能がある

マイクロソフト意外にもセキュリティソフトメーカー「トレンドマイクロ」のパスワード管理ソフトなどもあり、こちらも便利でお勧めです。

パソコン工房でパスワード管理セキュリティソフト
を見る(ダウンロード)

また、マイクロソフト「OneNote」など、パスワード管理に使えるように保護機能を持っているアプリケーションもあります。パスワード管理用のパスワード（マスターパスワードのような位置付け）を覚えるだけで、すべてのパスワードを参照できます。追加のアプリケーションを使う必要がないので、こちらもお勧めです。

パスワード管理に使えるように保護機能を持っているアプリケーションもある

パソコン工房でOffice Home and Business 2016
(OneNote付属)を見る(ダウンロード)

パソコン工房でOffice 365 Solo
(OneNote付属)を見る(ダウンロード)

PIN（Personal Identification Number）

Windows PCではマイクロソフトアカウントとしてそのパスワードを使ってログインしている方も多いと思います。しかしこのほかにも、パスワードとよく似た仕組みの「PIN（Personal Identification Number)」を使用することができます。多くの方はスマートフォンでおなじみかと思いますが、多くの場合、4桁から8桁の数字でパスワードのように使います。

この認証方式では、桁数が少ないと総当たりで突破されてしまう可能性がありますし、そもそも数字だけなので、パスワードよりも安全性が低いと思う人もいるようですが、必ずしもそうではありません。

一般的なパスワードがネットワーク上に流れるのに対して、PINはその端末だけで処理されます。この点がセキュリティの強度を高めています。例えば、あるWebサービスを利用していて、アカウントIDとパスワードを持っていたとしましょう。もしそのパスワードが誰かに知れ渡ってしまえば、第三者が自身の端末を用いてログインし簡単にアカウントを乗っ取ることができてしまいますが、一方で、端末に紐付いているPINの場合、それが流出しても第三者の端末で使用しても意味がないからです。そのためマイクロソフトもWindowsのログインにはパスワードでなくPINの使用を推奨しています。ネットワークの盗聴や、サーバへの侵入があっても盗まれる可能性が極めて少ないのが、PINの特徴の1つでしょう。

バイオメトリックス認証

身体の一部で認証する「something you are」が、指紋認証や顔認証といった生体情報（バイオメトリックス）を使う認証です。こちらもスマートフォンに搭載されだいぶおなじみになりました。

顔認証は、Windows 10にも搭載されており、PCに内蔵されたカメラで顔を認識するだけでログオンが完了します。マスクをしていたら認識できない、化粧をして登録した人がすっぴんでは認識しなかったという例もあるなど、これ自体では完璧な認証方法ではありませんが、なりすましが極めて難しく、その意味で高いセキュリティを得られるのがバイオメトリックス認証のメリットです。

管理性が良いことも特徴です。「something you have」つまり物理的な物はどんなに注意しても紛失のリスクは避けられません。またパスワードなどの「something you know」も、自分自身の記憶に頼るため、大量のパスワードを保持していると管理が大変になってしまうデメリットがあります。それに対して生体情報のメリットは大きく、言い換えれば物と情報の管理が苦手な方に向いているといえるかもしれません。

生体認証の代表的な例は指紋認証です。指を怪我したりなど、何らかの原因で自分の指紋を正しく認識されないことがある点は注意が必要ですが、他人の指紋が自分のものに誤認識されるのは極めて危険なので、その可能性は実用上無視できる程度の精度を持っています。

バイオメトリックス認証はセキュリティのメリットもありますが、キー（画面）をタイプ（タッチ）するなどの手間が不要ですぐに認証が完了するという効率アップにも役立つので、ぜひ賢く活用していきたいものです。

各メーカーから様々な生体認証デバイスが販売されいてます。検討してみてはいかがでしょうか。

パソコン工房で生体認証デバイスを見る

二段階認証／多要素認証

SNSを中心に、通常のパスワード以外に、ショートメッセージなどによる追加認証を行う「二段階認証」または「多要素認証」と呼ばれる仕組みが増えています。これは、例えば以下のように使います。

①パスワードを使ってログオン
②サーバは、以下など方法で認証キーを送信する
・携帯電話回線を使ったショートメッセージ
・スマートフォンの専用アプリ
・電子メール
③受信した認証キーを入力

厳密に言うと二段階認証と多要素認証は同一ではなく、前者はパスワード（something you know）を2つ使うなど、認証を複数の段階にするだけですが、後者は、パスワードと個人所有の携帯電話（something you have）もしくはパスワードと生体認証（something you are）という異なる要素を組み合わせたものです。もちろん後者の方が安全性は高いです。

ショートメッセージや専用アプリの場合、スマートフォンを持っていないと認証が完了しないという大きなリスクがあります。スマートフォンを紛失したり、破損したりすると、一切のサービスが使えないという困った状況になるので、緊急時に多要素認証をスキップする方法もあらかじめ調べておいた方がよいでしょう。

通常のパスワード以外にスマートフォンのアプリなどで追加認証を行う

詐欺メールを「発見」する基本手順

迷惑メールの一種に、正しいメールを装った「詐欺」があります。例えば「あなたのアカウントは不正アクセスがあったので、ここをクリックして、すぐにパスワードを変更してください」といった文面の偽メールです。

この種の詐欺メールは以前から存在しますが、最近は画像や文面を本物から完全にコピーするなど巧妙になり、なかなか見破ることができません。詐欺メールを間違いなく見破るのは難しいですが、ある程度推測することは可能です。ここでは、詐欺メール発見の基本的な手順を紹介します。

パスワードリセットを求めてくるメールは常に詐欺の可能性があると疑う
何かと理由を付けて対応を急かせるのは、正常な判断を行わせないための典型的な詐欺テクニックです。

送信元を確認する
送信元の氏名だけではなく、メールアドレスを確認しましょう。楽天からのお知らせなのに、送信元のメールアドレスがgmail.comドメインというのは明らかに変です。

リンクをいきなりクリックしない
リンク先として画面に表示されているドメインが、クリックして接続されるドメインと同じとは限りません。リンク先文字列をいったんコピーしてメモ帳などに貼り付け、想定されるドメインかどうかを確認しましょう。アップルからのお知らせなのに、リンク先がappleではなくapp1e（“エル”ではなく数字の“1”）になっていたら、そこにアクセスすべきではありません。アンチウイルスソフトには、メジャーな詐欺サイトを自動的にブロックする機能を持っているものもありますが、詐欺サイトは毎日新しいものができているため、油断はできません。

パソコン セキュリティ対策のために最低限実践すべき「7つのルール」

ここで解説したものの他にも、多くのセキュリティ技術が登場しています。最新の情報を継続的に入手するようにしましょう。今回は、まとめとして、「そもそも何をすればよいのか」を列挙しておきます。

①セキュリティ更新は最新のものを適用する
②アンチウイルスソフトを使う（最低でもWindows Defenderを有効にする）
③パスワードは人に教えない
④パスワードを使い回さない
⑤パスワードは暗記だけに頼るのではなく、適切なパスワード管理手法を使う
⑥重要なサービスでは多要素認証を有効にする（ただしスマホの紛失に注意）
⑦パスワードリセットを求める電子メールは、まず詐欺だと疑う

残念ながら、インターネットには多くの犯罪者がいます。リスクを理解し、適切な対策を取りながら、便利にインターネットを使ってください。

ライタープロフィール パソコン工房NEXMAG
[ネクスマグ] 編集部