無事に新年を迎え、平穏に毎日が過ぎ、年初に立てた今年の抱負を忘れてしまった方も多いかもしれません。しかしながら、今年を無事に過ごすための情報セキュリティの新たな習慣を身に付けたり、今までの悪い習慣を見直したりするのに遅すぎるわけではありません。そこで、ウォッチガードの研究チームは、 2018 年にオンライン環境を安全に利用するのに役立つ、ネットワーク管理者とユーザ向けのリストを作成しました。

ネットワーク管理者であれば、以下にご紹介するヒントを参考にすることで、会社のネットワークセキュリティを強化できるでしょう。また、一般ユーザにとっても、ビットコインの盗難、Intel チップの脆弱性、国家主導のスパイ活動などのニュースで驚くようなハッキング方法が次々と報道される今、以下にご紹介する簡単なヒントを参考にすることで、日常生活に影響を与えることなく、デジタルセキュリティが大幅に強化されるはずです。

ネットワーク管理者向けのヒント

1. 全社に多要素認証（MFA）を実装する
   従業員によっては、パスワードを正しく選択していなかったり、会社と個人の両方のアカウントで同じパスワードを使用していたりする人もいるかもしれません。パスワードデータベースの流出が相次いだことで、これがさらに大きな問題へと発展しましたが、MFA によって、この問題が解決されます。かつては、複雑かつ高価であるために、ほとんどの企業にとって導入が難しいとされていた MFA でしたが、今はそうではありません。全社に MFAを導入し、ログイン、クラウドアプリケーション、VPN などの保護を可能にするよう真剣に検討することをお勧めします。
2. 事業継続／災害復旧（BC／DR）計画を作成し、テストする
   絶対に使いたくないともののために多大な時間と労力をかけるのはおかしなことではありますが、ランサムウェアを始めとするサイバーセキュリティインシデントに何百万ドルもの費用と時間を費やすことになった企業が驚くほど多いのも事実です。病院の場合、このような問題が発生すると、生死に関わる可能性もあります。バックアップがこの計画の重要な部分であるのは明白ですが、サービスやコンピューティングリソース、データについても十分に考慮しておく必要があります。
3. セキュリティ意識向上トレーニングを定期的に実施する
   ネットワーク管理者の中には、「無知の修正プログラムはない」と言う人もいますが、そんなことはありません。教育こそが、無知の修正プログラムなのです。トレーニングによって、従業員が絶対に間違いを犯さなくなり、常に正しく行動するようになるわけではありませんが、間違いが少なくなるのは統計的に明らかであり、結果として、後始末が必要となる事故を減らすことができます。テクノロジによる対策は不可欠ではありますが、ユーザの努力なくして軽減できないリスクも存在します。
4. サイバー関連の法律の整備に貢献する
   サイバーセキュリティの話題がニュースでも大きく取り上げられるようになりました。選挙関連のハッキング、データ流出、大量の脆弱性、IoTなどのサイバー攻撃に関する問題に対処しようと、皆さんの国においても、法律整備のための議論が議員の間で進んでいるのではないでしょうか。しかしながら、このような法律の立案に携わる議員は、専門家ではありません。専門家である皆さんが、公開討論などにも参加して、積極的に発言してください。
5. 独善的なセキュリティ戦略を計画しない
   ITによって作成されたサイバーセキュリティとポリシーが、会社全体に影響します。CEOは、このプロセスで積極的な役割を果たそうと考えるはずであり、それは、重大なセキュリティ違反が事業の存続を左右する可能性があると知っているためです。さらに重要な点として、データの行き先やその他のリスクについては、他部門の方が良く理解していることも多いため、関連部門のリーダーにセキュリティ計画への参加を呼びかけ、できるだけ多くの知識やリソースを早い段階から確保しておくようにします。
6. 予防型のセキュリティテクノロジだけに頼らない
   セキュリティ専門家は、攻撃を防止するための仕組みに予算の多くを投資します。このような分野に一定の投資が必要であるのは確かですが、残念ながら、テクノロジですべての脅威をブロックできるわけではありません。セキュリティへの投資とテクノロジのバランスを適切に調整し、ネットワークに侵入する脅威をすばやく見つけて根絶できるようにします。
7. 自己満足に陥ったり過度に落胆したりしない
   現代社会においては、データ流出やサイバーセキュリティの事件が発生するとすぐに報道されるため、恐ろしいニュースを次々と耳にし、辟易としてしまうかもしれません。けれども、本当に深刻なリスクには、想像よりも簡単に対処できるものです。重大な事件が発生するのには、それなりの理由があるのです。大量のニュースに圧倒されることなく、セキュリティ関連の重要な問題に常に注目するように心がけます。

一般ユーザ向けのヒント

1. 無料の二要素認証（2FA）を利用できる場合は必ず使用する
   パスワードにはいくつもの問題があり、パスワードを正しく使用していないユーザも少なくありません。これを解決する最良の方法が、多要素認証です。大手のサイトやクラウドサービスのほとんどに無料の 2FA オプションが提供されるようになったため、利用できないから使わないという言い訳は通用しません。
2. パスワードマネージャを使用する
   MFA が最良のオプションではありますが、それを利用できないサイトにおいては、パスワードを正しく設定し、正しく使うよう、習慣づけます。つまり、何百もの長いランダムなパスワードを記憶するのは困難（不可能）だということを認識する必要があり、パスワードマネージャが、この問題を解決してくれます。使用している OS に組み込まれている場合は、必ず使用しましょう。
3. どのようなプラットフォームを使用する場合も、セキュリティのハードウェアやソフトウェアに投資する
   セキュリティソフトウェアのないデスクトップコンピュータは、傷を手当せずに海を泳ぐようなものです。Windowsシステムをお使いの方であれば、おそらくすでにそれに使用されていることでしょう。しかし、Mac や Android などのモバイルプロバイダーにも、セキュリティスイートが必要です。
4. バックアップする
   ほとんどの人がしていると答えますが、本当にしているのでしょうか。誰もがシステムを正しくバックアップしているのであれば、ランサムウェアは存在しないはずです。バックアップをしているとしても、バックアップをテストしたことがあるのでしょうか。保存すべきデータが本当にその場所に保存されていなければ、バックアップ作業が単なる時間の無駄になってしまいます。
5. パッチを定期的に適用する
   通常のデスクトップを利用している場合は、OS の設定でアップデートを自動的にダウンロードしてインストールするようにしておくことをお勧めします。パッチの適用を遅らせる必要がある場合もあるかもしれませんが、2 年前のソフトウェア脆弱性が存在するコンピュータをどうするかと考えるのではなく、例外としてまとめて処理すると良いでしょう。
6. テキストやメールだけの支払要求に応じない
   電信送金を要求するフィッシングメールやテキストメッセージが急増しています。上司や知り合いからそういった類のメールが届くことはほとんどありません。仮にそのようなメッセージを受け取った場合は、別の通信手段を使って相手に連絡して、真偽を確認します。
7. むやみにクリックしない
   リンク付きの電子メールやソーシャルネットワークの記事を毎日たくさん目にされることと思います。お得な情報は魅力的ではありますが、本当にクリックする必要があるのでしょうか。登録した覚えのないサイトからのメッセージに注意し、むやみにリンクをクリックするのは止めましょう。サイトに直接アクセスするか、何かをクリックしなければならない場合は、最初にリンクに注目し、ツールを使って短縮リンクを展開し、確認するようにします。
8. 公共や誰もが利用できる無線ネットワークに保護対策なしに接続しない
   まず初めにセキュリティソフトウェアに関する上記のヒントを参考し、さらに重要な点として、オープンネットワークを VPN なしでは使用しないようにします。
9. 「無料」という言葉に騙されない
   オンラインには、「無料」であると宣伝するアプリケーションやメディアが数多く存在し、広告やスパイウェアが届くだけですむこともありますが、最悪の場合、コンピュータに感染する恐れもあります。オープンソースで無害のものもありますが、「無料」という言葉には十分に注意する必要があります。
10. コンピュータを公の場で開いたままにしない
    自分の管理下にある環境においても、コンピュータのロック画面を設定し、ロックまでの時間を短め（数分）にします。

ビジネスとプライベートのどちらにおいても、正しい行動とは何かを理解し、それを持続することが重要であり、たった 1 度の過ちや判断の防止よりも有効なセキュリティ対策であることが多いものです。2018 年を安全に過ごすためのベストプラクティスとして、上記のヒントをぜひご活用ください。