« エボラ出血熱がヤバそうな雰囲気 | トップページ | マルウェア被害・解説・対策関連の記事 雑多リンク集 »

2014年8月 5日 (火)

リスクセパレータ環境づくり(5):Windowsセキュリティ設定 強化編

リスクセパレータ環境づくり、第5弾です。

今回はWindowsユーザ向けのお話です。
「非R/S機(非リスクセパレータ機)」がセキュアなPCで無いと「リスクセパレータ環境」がそもそも成立せず、意味がないのですが、Windowsの初期状態はセキュリティ的に見れば非常に心もとないものです。

ということで、今回はWindowsセキュリティ設定の強化についての話です。 

検索などで飛んできて、そもそもリスクセパレータ(R/S)とは何ぞや、という方は、
『リスクセパレータ環境』構築のススメ 〜情報漏えいから身を守るために〜
から、参照してください。


【リスクセパレータ環境が成り立つための大前提】
リスクセパレータ環境の考え方の基本は、
 「R/S機(リスクセパレータ機)」がリスクを受持ち、
 「非R/S機(非リスクセパレータ機)」がリスクを回避する
という、役割分担にあります。

011_std

List_r1_3

しかし、「非R/S機」がセキュリティ上、リスキーなPCであっては意味がありません。

Windowsの場合、初期設定状態では残念ながらセキュアな状態では無いので、いくらか設定を変える方が望ましいです。

ただし、「利便性と安全性はトレードオフの関係」と、以前にも述べたことがありますが、安全性を考慮して設定変更した分については、いくらかの利便性が犠牲になる部分はあります。

安全性と利便性を天秤にかけてどちらが良いかということを吟味しながら、設定変更等を考えてもらえれば、と思います。
 
 
 
【Windows セキュリティ設定強化編】
 
【1:Autorun機能を切る】 

一時期USBメモリウイルスが流行っていましたね。(現在進行形?)

001_usb_r

まさに、ネズミ算式。

感染したPCに接続したUSBメモリはウイルスに感染。そのUSBメモリで接続した他のPCにまた感染。芋づる式で、感染範囲を広げていきます。
 
さて、このUSBメモリのウイルス。モノとしてはAutorunウイルスの一種です。

Autorun機能を切ることにより、このウイルス感染拡大については防ぐことが可能です。

MSも重い腰を上げ、Windows7あたりから、Autorun機能の一部をカットしているという話をどこかで聞いたことがあります。しかし、「Win 7編: 自動実行機能とAutorun.infファイルの参照を抑制し、安全性を高める」のような話もあるので、PCによっては違いがあるのかもしれません。ご自身で機能がカットされているか確認した方が良いかと。
 



【2:WebブラウザをIE以外のブラウザに変える】

IEの脆弱性、ActiveX のリスク回避のためです。

これらは、システム(OSであるWindows)に深く組み込まれている分、システムに深刻なダメージを与えるリスクも相対的に高くなっています。

他の多くのサイトでもIE以外のブラウザを推奨していますが、それはそういった背景があるためです。

Winユーザのブラウザの選択肢としては、Firefox系、Chrome系、Operaあたりになるのではないかと思います。

どれを使うかはお好みで。
Web_b_2

05__iceweasel


ところで、注意点が1つ。

IEの脆弱性、ActiveX のリスク回避はできますが、IE依存のサイト、ActiveX依存なサイトは閲覧ができません

企業で、そういうシステムを組んでしまった場合は、諦めるしかないでしょう。



【3:Flash機能を切る / Flashをアンインストールする】
Flashの脆弱性へのリスク回避のためです。
Flash関連の話は何度も挙げたので、ここでは話を割愛します。

ちなみに、IEの時と同様、Flashを切れば、Flashを使用するサイトは当然利用できません



【4:拡張子を表示する】
拡張子は、ユーザ自身がファイルの危険度合いを確認するのに有用な情報源です。

拡張子については
 『マルウェア対策-予備知識:「拡張子」と「2種のファイル実行パターン」
を参照のこと。

Windowsでは、残念ながら拡張子が標準では表示されません。
拡張子の表示設定をすると良いかと思います。


【5:アンチウイルスの導入】
これは、設定関連の話では無いのですが、他のページで書くほどでもないので、ついでに。

アンチウイルスは無いよりはあった方が良いです。

ちなみに、アンチウイルスベンダーによっては「有料なもの」と「家庭内での利用はフリーであるもの」を公開している場合があります。個人的な見解ですが、「フリーバージョン」で、十分だと思います。

理由は・・・ゴニョゴニョと。まぁ、ネットにいくらでも書かれていますので、そこら辺は自己責任のもと、自己判断してください。

ちなみに世の中には『アンチウイルスを騙った「偽アンチウイルス」』というものがありますので、ご注意を。
 
 
その他、注意すべき点としては、
アンチウイルスは2つ以上インストールしてはいけない
 (簡単に言うとアンチウイルス同士がケンカをするため)

・アンチウイルスはウイルス感染前に行うのが基本
近年はステルスタイプ芋づる式にマルウェアを組み込むタイプなど、ウイルスも高度化、複雑化しており、駆除そのものが難しいケースがあります。また、個別に駆除作業ができたと思っても、その他のマルウェアがすでに取り込まれているケースもあったりして、感染後にアンチウイルスを導入しても効果が無い場合があったりします。
そのため、「アンチウイルスのインストール」は、システムがクリーンな状態であるとはっきりわかっている時に行うのが基本です。
PC購入時や、OSの再インストール時に行うのがベストです。

また、アンチウイルスは万能では無いので念の為。
これについては何度か説明しているので割愛します。

 
以上、5点を挙げました。

・Autorun機能を切る
・Firefox、Chromeなどのブラウザの利用
・Flashを切る
・拡張子を表示させる
・アンチウイルス導入の各種注意点

これらは私がXPユーザ時代に行なっていた必要最低限の設定です。
Vista以降では、その他注意するポイントが変化している部分はあるかと思います。

自身でも他の情報を集め、セキュアなシステムの構築を目指してください。
 
 
 


マルウェア汚染が発覚した場合、「OSの再インストール」をしてしまった方が手っ取り早いことが多々あります。個別駆除は不可能とは言いませんが、面倒な処理も多く、システムが他のマルウェアに感染していない保証も全くありません。精神衛生上あまりよろしくないというのもありますし。

ちなみにOSの再インストールをしたのは良いが、必要なファイル等のバックアップを忘れたというのは、ありがちなミスです。

システム(OS)領域とデータ領域にパーティションが分割されているなどといった場合はまた変わってくるのですが、基本的には、

OSの再インストール ≒ データ全削除(ウイルスだけでなく、他のデータ全て)

です。

再インストール前のファイルのバックアップは忘れずに。

特に、メール関係(メールアドレス、内容履歴等)やWebブラウザのブックマークなどは忘れられやすいです。

バックアップについては、日頃からバックアップ対象のファイルをフォルダに整理しておくと、いざというときに対処が楽だと思います。

 

 
【関連ページ】
 ・マルウェア対策-予備知識:「拡張子」と「2種のファイル実行パターン」
 ・ウイルスにおける大いなる誤解
 ・マルウェアの種類:ウイルス・スパイウェア・トロイの木馬 などなど
 
 
 
〔リスクセパレータ:目次〕 

(0)『リスクセパレータ環境』構築のススメ 〜情報漏えいから身を守るために〜
(1)リスクセパレータ環境づくり(1):リスク分類編/一覧表作成
(2)リスクセパレータ環境づくり(2):個人単位 シミュレート編
(3)リスクセパレータ環境づくり(3):家庭単位 シミュレート編 ・・・準備中
(4)リスクセパレータ環境づくり(4):事例編
(5)リスクセパレータ環境づくり(5):Windowsセキュリティ設定 強化編
(6)リスクセパレータ環境づくり(6):PC中級者・上級者向けの話 〜FLOSSのススメ〜




 
 

« エボラ出血熱がヤバそうな雰囲気 | トップページ | マルウェア被害・解説・対策関連の記事 雑多リンク集 »

2021年5月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ