« そのファイルは本物か?〔MD5 / SHA〕〜ごまかせないハッシュ値〜 | トップページ | リスクセパレータ環境づくり(1):リスク分類編/一覧表作成 »

2014年7月27日 (日)

リスクセパレータ環境づくり(2):個人単位 シミュレート編

リスクセパレータ環境づくり(1):リスク分類編/一覧表作成】の続きです。

061_list_2014_4_4

前ページで整理したこの分類表を使って話を進めていきます。

このページでは、いくつかのケースを例にして「リスクセパレータ(危険性分離)環境」の構築の必要性の有無も含めて、シミュレートしてみたいと思います。

 
【Aさんの場合:現在の状況】

 PC使用台数:2台
 PCの主な利用:
  職場では仕事用のPCが用意されており、主に文書作成のために使用。
  他には表計算ファイルにデータを入力したり、メールやサイト閲覧を
  するくらいで、他には利用しない。

  家でPCを使うのは主に夜。
  ネットでニュースサイトを見たり、商品を購入したり、
  たまに持ち帰った仕事に利用する。

  休日、外出しないときにはネットを彷徨い、色々なサイトを見て楽しむ。
  たまに怪しいサイトに飛ばされることがあるが、すぐにページを閉じるようにはしている。

さて、よくある一般的な事例だと思いますが、Aさんの状況を表を使って確認してみます。
List_2014_a_01_r2

リスクになりそうなポイントが3箇所あります。
ただ、この程度であれば、PC側のセキュリティ設定を固く設定すれば、リスクセパレータ環境を作るまでも無いような感じです。

では一つずつ見てみます。

List_2014_a_02_

実はRP1〜RP3はリスクポイント(RP)としてはどれもグレーゾーンです。
まず、FirefoxやChromeなどを使う、非IEユーザであれば、ActiveX のリスクは考慮しなくても構いません。

問題はFlashが動く環境になっているかどうかです。
上の表は赤枠の一部が点線になっていますが、Flashのインストール状況が不明なため、グレーゾーンになっています。

仮にFlashが動く環境であれば、上の表は以下のように変わります。

List_2014_a_03_r
あんまりよろしくない状況ですね。
Gumblar 型の餌食になるタイプです。
特に「怪しいページに飛ばされる〜」ことがあるということで、「RP3」からくるリスクも出てきます。

運が悪いとページを表示させただけで、マルウェアに感染しますので、注意すべきPC環境と言えます。

基本的にセキュリティというのは弱い所に引きづられます。
そこからシステム汚染がはじまり、そのPC内でやり取りしているデータや情報の漏えいリスクに曝されるわけです。

上の例だと、システム汚染時は仕事のデータや個人情報などが情報漏えいリスクに曝されることになります。


ちなみに、Flash機能を切っても良いのであれば、セキュリティを結構手軽に強化できます。

List_2014_a_04
怪しいサイトや汚染されたサイトにおけるFlashの脆弱性を狙った攻撃については、リスクは回避できます。

ただし、注意点として、Flashを利用したサービスは一切利用できません

一部のネット動画の視聴やFlash系オンラインゲーム等で支障が出る場合があります。

買い物やネット決済系ではFlashを利用したサイトはあまり見かけませんね。
無いとは言いませんが、恐らくFlashの脆弱性のリスクに巻き込まれるのを嫌がってFlashを使っていないケースが多いのでは無いかと思います。

ちなみに私の場合は個人情報のやり取りをする時、Flashを使っているサイトは利用しません。
 
さて、Flashの脆弱性リスクを避けるため、Flash機能を切る、もしくはアンインストールをしたい場合があると思います。
 
個人のPCの場合、それをやる、やらないは自由ですが、支給されたPCの場合は難しいですね。

立場的にPCの設定を勝手に変えるのは難しいケースもあれば、個人裁量に任されているケースもありと、状況はいろいろです。

会社側のIT管理者がセキュリティ方面に明るく、始めからFlashを切っていたり、WebブラウザをIE以外のFirefoxやChromeにセッティングしている場合もあります。

しかし、「アンチウイルス等のセキュリティソフトを入れて」、後は現場にPCをポイというケースも結構多いと思います。

また、場合によってはFlashやIE依存のソフトを使用していて、切り替えるのが面倒くさい、または難しいので放置されている、という場合もあります。

そこらへんになってくると、経営者側の判断も絡んでくるので、一個人としては対応が何とも難しいところがあります。

まぁ、何かトラブルが起きたとしても、こちら側に非が無ければ、会社側(または、存在すればIT管理部門等)が責任を取らざるを得なくなるでしょう。
 
 
さて、自分のPCがFlashが稼働する状況かを確認したい人もいると思います。
Adobe社による「Flash Player の状況確認」というサイトがあるのですが、このページで確認可能です。
 http://helpx.adobe.com/jp/flash-player/kb/235703.html

Flash機能の切り方や、アンインストールについては解説サイトが山ほどあるので、気になる方は自身で調べてみてください。

ちなみにDebianではデフォルトではFlashがインストールされないので、デフォルト仕様の方はアンインストールなどの余計な心配はしなくて良いです。

さて、Flashを切れば、Flashの脆弱性を狙った攻撃は回避できますが、ブラウザやOSの脆弱性を狙った攻撃自体は回避できないので、念の為。

怪しいサイトや汚染されたサイトはこれらも狙ってきます。

ネットワークに接続する方は、ブラウザとOSの脆弱性情報だけでも最低限注意をするようにしてください。

Flashを切った上記のような例であれば、わざわざリスクセパレータ環境を構築するほどでも無いと思います。
 
 
【Bさんの場合:現在の状況】

 PC使用台数:1台
 PCの主な利用:
  大学に入学し、レポート作成等に必要だという事で、自分専用のPCを購入。
  調べ物をするにも、ネットをよく利用する。
  友人とのメールのやり取りはスマホでやり取りをするが、
  ファイルの送受信はPCのメールを使用。
  一部の買い物はネットで行い、旅行予約等もするようになる。
  友人に誘われ、ネトゲにハマり、様々なオンラインゲームをやりはじめる。
  ゲーム情報を探していたら、攻略動画を見つけたが、そこでMADに出会い、MAD中毒者に。
  はじめはYoutubeやニコニコ動画だけだったが、その他の動画サイトにも
  出向くようになり、MADを探す日々を送るようになる。
  しかし、せっかくピカイチな動画を見つけても、時を経ると
  削除されてしまうものもあり、何とかできないものかと調べてみると
  様々なソフトを使えばMADをPCに保存することが出来ることを知り、
  MADコレクター化。
  怪しいサイトも出入りし、様々な情報を集めていくようになる。

List_2014_b_2
MADについては極端な話ですが、これに近いケースは結構ありがちです。多少の差異はあるでしょうけれども。
このタイプは男子学生が特に多いでしょうかね。

レポートについては、一応「仕事系」に分類しておきました。
理系の学生の場合は、この他に特殊なソフトを導入する場合があるかもしれません。

さて、このケース。リスクポイントが多すぎて、超が付くほど危険なケースの一つです。
Flashやブラウザの脆弱性リスクを飛び越えて、マルウェアをインストールしているリスクも相当高くなっているはず・・・、というかかなりの率で感染しているのではないかと。
システム汚染されていれば、大学のレポートファイル関係だけでなく、やり取りした「メール」やネットで購入時に入力した「個人情報」関係も全て情報漏えいのリスクに曝されます。

以前、PCをマルウェアの巣窟にした友人がまさにこのタイプでしたね。
よくわからんソフトのショートカットが、デスクトップ画面いっぱいに埋め尽くされていました。

05_fb_rb_v

こういった方には「リスクセパレータ環境」が必須だと思います。

私ならばPCをもう1台用意して、次のように「リスクセパレータ環境」を構築すると思います。

List_2014_b_01_3

「遊びは遊びで、仕事は仕事。PCは仕事用と遊び用に分けましょう♪」という奴です。
危険そうな作業はリスクセパレータ機(R/S機)に全てを押し付けます
個人情報のやり取りはR/S機では一切やりません

仮にR/S機がシステム汚染されたとしても、「仕事/PV用」のPC側(非R/S機)の方の情報やデータは守られるわけです。

ただし、以下の注意が必要です。

例え自分が注意していたとしても、家族が自分の知らぬ間にR/S機で「何かのネット申し込みしてしまった」とか、「家族共用の外付けHDDにアクセスした」「家族写真を印刷するために利用した」なんてことがあると、もう目も当てられません。

また、逆に非R/S機によくわからんソフトをインストールされ、利用されてしまったというのも最悪です。それがマルウェアで無い保証など全くありません。
これなんかはクビになった銀行員の話そのものですね。

こういった事は結構ありがちな話です。

使用ルールを提示するか、自分専用ならばPCにログインパスワードをかけましょう。ログインパスワードを設定すれば、他者は簡単に利用できません。

ちなみに、次のルールを守れば、ちょっとしたヒューマンエラーは防げると思います。
List_r1_2

「R/S機は個人情報取扱いに制限を、非R/S機は使用ソフトウェアに制限を」です。


【Cさんの場合:現在の状況】

 PC使用台数:1台
 PCの主な利用:
  家計簿、ブログの更新、インターネットの利用がメイン。
  ネットでは、料理のレシピを調べたりブログの更新をしたり、
  たまにネットで欲しい物を探して、PCで注文。
  チケットの予約はPCだけでなくスマホでやることも多い。
  町内会の広報等等で、文書を作成、印刷などをすることもある。
  正月には年賀状印刷に利用する。

List_2014_c
状況的にはAさんと似ています。
非IEで、Flashさえ切っておけば、Gumblar 型の餌食になることは無いと思います。

List_2014_c_02
これで問題が無ければ、リスクセパレータ環境を構築する必要性は無いと思います。

ただ、ブログの一部にはFlashが必要なケースもあり、ブロガーにとっては困ることがあります。
そういった場合は、Flashの必要の無いブログに移るか、R/S機を導入するかのどちらかが良いのでは、と思います。


【Dさんの場合:現在の状況】

 PC使用台数:1台
 PCの主な利用:いろいろ
  機械の操作はあまり得意では無いが、おせっかいな友人(や家族)に薦められ、PCを使うことに。
  使い方は未だに良くわからないが、適当にやって何とかなることが多い。
  とりあえず、今のところ問題が無さそうなので、とりあえずオッケー。

List_2014_d2_2
使用者が自分のPCの状況を把握できていないというケースです。
これはこれで結構ありがちです。
共有PCもこんな感じになっているケースがあります。

完全にセキュリティ的にやばいな、という場合は直感ですぐにわかるのですが、見た目ではよくわからないケースもしばしあります。

私はこういうPCを「グレーなPC」と呼んでます。

はっきりいって、黒に近いグレーなのか、白に近いグレーなのか判断が付かないので、私の場合はこういったグレーなPCでは個人情報の取扱いはしません。


【Eさんの場合:現在の状況】

 PC所持台数:0台
 PCの主な利用:
  自分のPCは持っていないので、家族から借りて使用
  学校の宿題での調べ物に使ったり、Youtubeなどで好きなアーティストの動画を観る程度。
  それ以外は特に興味は無い。

List_2014_e

小・中学生をイメージしてくれれば良いかと。
A・C同様、非IEで、Flashさえ切っておけば特に問題無いと思います。
人畜無害型です。

「ネットで簡単に個人情報とか入力しちゃだめよ〜」とか、「変なファイルをクリックしちゃダメよ〜」とか「よくわからないソフトをインストールしちゃダメよ〜」などといったことを教える事の方が重要です。


 

(0)『リスクセパレータ環境』構築のススメ 〜情報漏えいから身を守るために〜
(1)リスクセパレータ環境づくり(1):リスク分類編/一覧表作成
(2)リスクセパレータ環境づくり(2):個人単位 シミュレート編
(3)リスクセパレータ環境づくり(3):家庭単位 シミュレート編 ・・・準備中
(4)リスクセパレータ環境づくり(4):事例編
(5)リスクセパレータ環境づくり(5):Windowsセキュリティ設定 強化編
(6)リスクセパレータ環境づくり(6):PC中級者・上級者向けの話 〜FLOSSのススメ〜 

 
 
 

« そのファイルは本物か?〔MD5 / SHA〕〜ごまかせないハッシュ値〜 | トップページ | リスクセパレータ環境づくり(1):リスク分類編/一覧表作成 »

2021年5月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ