MY 1st SECURITY MANUAL

自分のパソコンを守らないと仕事も始められない。

情報資産の洗い出し（単に資産でも良い）
資産価値評価
脅威の洗い出しと評価
脆弱性の洗い出しと評価（脆弱性は現状評価を踏まえる）
リスク評価
リスク対応計画

■Security Service & Tools

総合的なウイルス対策ソフト。安心のため用意したいソフトだですが、費用は相当です。最近は低価格型のものも出てきています。

ベンダー	商品・サービス	コスト
シマンテック	ノートンインターネットセキュリティ2006	8180円	セキュリティスィート定番
シマンテック	セキュリティチェック	無料	オンラインスキャンサービス。お薦め
トレンドマイクロ	ウイルスバスター2006インターネットセキュリティ	6480円
マカフィー	インターネットセキュリティスイート	8280円
イーフロンティア	ウイルスキラー2006	1932円
キングソフト	インターネットセキュリティ2006+	980円
キングソフト	キングソフトアンチスパイ	無料
マイクロソフト	悪意のあるソフトウエアの削除ツール	無料
マイクロソフト	Windowsファイアウォール
マイクロソフト	Windows Update		自動アップデート設定
マイクロソフト	Office Update		月１回程度チェック
アンラボ	ウイニーワクチン	無料
Ad-aware	Ad-aware	無料
Spybot	Spybot	無料
ウエブルート	スパイ　スイーパー	4980円	シールド機能あり
ジャングル	SGアンチスパイ2	4580円
ソースネクスト	ウイルスセキュリティ2006	1980円
Entersoft	Entersoft Password Manager	無料	ID/パスワード管理
コンピュータ・アソシエイツ	eTrustインターネットセキュリティスイート2006統合版	7280円
ソースネクスト	データプロテクト	1980円	マイドキュメントの自動暗号化

■「何を監視するか」/「こんな現象は出ていないか」

パソコンの動作速度。極端に遅くなる。
メールが勝手に送信される。
エラーメッセージが表示される。
いきなり再起動する。
ドライブやネットワークに頻繁にアクセスする。
IEの設定が変更されている。

■「被害にあってしまったら」

自分で問題を長く抱え込まないようにします。所属組織で適当な相談口がなければ公開サイトでも。電話もあるはずです。


警察庁サイバー犯罪対策	http://www.npa.go.jp/cyber/
インターネット安心・安全相談	http://www.cybersafety.go.jp/

■「Winny」

今、最も始末の悪い暴露型ウイルスの温床。

Winnyを使わない。
ファイルの拡張子を表示する設定にする。（誤ってクリックしないように）
Winnyを使用しているパソコンを持ち込まない。
Winnyを使用しているパソコンにデータを持ち込まない。
ウイルス対策を使う。

■「スパイウエア」

ECサイトにつきものだからクッキーは普通に利用されている。ある意味始末が悪い。

■「フィッシング詐欺」

アカウント情報そのものを盗み取るため被害も大きい。

個人情報をたずねるメールには返信しない。問い合わせフォームになっていても同じく要注意。
メールのアドレスとヘッダーを確認する
HTMLメール機能を無効にする。
サイトのSSLマークを確認する。
金融機関の場合は直接電話で問い合わせる。

■「迷惑メール」

迷惑メール/スパムメールはいまや世界の悪。彼らの意図は、単なる会員勧誘のサイトへのおびき寄せだけでなく、「ワンクリック課金サイトへの呼び込み」、「メールアドレス回収」、「スパイウエアへの感染」、「ウイルスのばら撒き」が目的。ですから、対策は一切無視すること。

フィルター類を使って受信しない。確信的なものはサーバー側で削除してしまう。仮に受信しても即削除。不確定なものは振り分けて確認してから削除

ツール		コスト
Outlook Express	振り分け機能を利用する	無料
@nifty

■「不正アクセス」

不正アクセスされてはいけないところは、自宅のパソコンとホームページです。

ホームページの不正アクセス防止はサービス会社に委ねるしかありません。ただし、IDとパスワードは利用者の管理責任です。ここで注意したいのはIDも見えないようなサイトを利用すべきということです。

自宅のパソコンはファイアウォールなどで守ります。

■「個人情報」

個人情報の流出・漏洩は、いままでの対策でかなり抑えられるが、日頃の不注意が漬け込まれる弱さになる。メモの管理などです。

以下のものは黙って「ごみ」にして出してはいけない。インターネット上に書き込みをしてはいけない。JIPDECの審査員検索サイトにはほぼ全員のメールアドレスが掲載されていていろいろな人に勝手に利用されていました。JIPDECは情報セキュリティの万人のはずが情報漏えいの先棒を担ぐのですからこれくらい怖いものはありません。

名前
住所
電話番号
メールアドレス
アカウント　ID
パスワード
クレジットカード番号
会員番号
口座番号
所属組織（学校・会社・団体）
出身組織（学校・会社・団体）

■「無線LAN」

無線LANは厄介です。近隣ですから。ただ乗りされる危険はある意味では素通りするだけなら構わないですが、リスキーであることには違いないです。

◇ESS-IDの設定

ESS-IDはネットワーク上に設定できる最大３２文字の名前。ESS-IDを設定した機器同士でしか利用できないようにできる。ほかのユーザーにESS-IDを公開しないESS-IDステルス機能も有効。

◇MACアドレス・フィルタリング

MACアドレスを登録制にして、登録済み機器のみ接続する設定にする。

◇無線の暗号化

WEP：４０ビットまたは１２８ビットの暗号キーで暗号化する方式。
WPA-PSK(TKIP)：WEPの暗号キーを一定時間ごとに自動的に変更し安全性を高める方式。
WPA-PSK(AES)：WEPの暗号キーを最大２５６ビットまで拡張した次世代WEP。

◇ルータ機能による監視

ファイアウォール機能

パケットフィルタリング
ステートフル・パケット・インスペクション（SPI)
Dos攻撃検出

■「ネットカフェ」

ネットカフェとあるからインターネット環境のある喫茶店だと思ったら思ったら大間違い。パソコンも共用で提供されるところならどこでもその利用は危険。パソコンの脆弱性を知らないで使うことになるわけですから無謀としかいえません。単なるホットスポットの場合もリスクがないわけではないから、利用の機会は減らしたい。

やむを得ず利用した場合は痕跡を消すこと。それでも共用パソコンは緊急の用事が入ったり時間ぎりぎりまで使うと結局痕跡を残すことになって非常に危険。

URL入力履歴
オートコンプリート
クッキー
ブラウザーのキャッシュ
最近使ったファイル
ファイル検索履歴
テンポラリーフォルダー
メディアプレイヤーの履歴

今のところ、一発で痕跡を消せるツールがありません。