個人事業やフリーランスのセキュリティ対策はどこまで必要か
先日、あるお客様からこんなご相談を受けました。
「情報漏洩に対する賠償責任保険への加入を勧められています。顧客データなどはクラウドに保存しているんですが、パソコンにウイルス対策ソフトを入れていれば、保険に入る必要はないんでしょうか?」
情報漏洩などのセキュリティ対策をどこまでやるか、これはとても悩ましい問題です。セキュリティ対策というのはやればやるほど、費用がかかり利便性が失われていくものです。そして絶対に安全な対策というのはありません。セコムに入っていても泥棒に入られることはありますし、パソコンをネットから遮断して金庫にいれておけば安全性は高まりますが、あんまり便利ではなさそうです。
100%安全はあり得ない
クラウドに保存するのと自分のPCに保存するのとどちらが安全か、これも一概にはいえないですね。クラウドの事業者がハッキングの被害にあって情報漏洩したという事件はたくさん起きています。酔っ払ってノートPCを電車に起き忘れた知人も何人か知っています。なので100%安全というのはあり得ないということをまず念頭に置いて、対策を考える必要があります。
ウイルス対策は必要か
そもそもどうしてウイルス対策が必要かというと、ウイルス(悪いことをするプログラム)を実行してしまう恐れがあるからです。ではそのウイルスはどこからやってくるのか。まず考えられるのはメールの添付ファイルですかね。Gmailでしたら、添付ファイルは自動的にウイルスチェックをやってくれます。これだけでずいぶん安心感が増しますね。では他の経路はというと、インターネットからダウンロードしたとか、USBメモリからコピーしたとかでしょうか。最近のブラウザはかなりセキュリティを考慮して作られていますので、サイトを開いただけで感染するというのはまずあり得ないです(ちょっと前に話題になったブラクラはどうでもいいです)。ということは自分で怪しげなサイトなりUSBメモリからダウンロードしてファイルを開く必要があります。それでもMacなら通常AppStore以外からアプリをインストールできないので、知らない間にウイルスがインストールされる危険性はけっこう低いです。なのでMacを使っている人にはわざわざウイルス対策ソフト入れるより先にもっと費用対効果の高い対策があるんじゃないかなあと思います。最近はパソコン持ってない人も増えましたよね。iPhoneもMac同様、ウイルス動かすのは難しいです。WindowsやAndroidの人は余裕があれば何かしら対策した方が安心かも。
じゃあ何をするか
といえば、まず自分のPCやMacのOSを最新にアップデートしましょう。それからブラウザなど使っているアプリも最新にしましょう。これが保険やらウイルス対策やらいう前にまずやることです。悪い人(ここではハッカーとかいわずに単に悪い人と呼びます)が使う攻撃の手法というのは基本的には、攻撃が広まっている頃にはすでに対策がとられているものです。悪い人は誰でも知っているような手段でものすごい数の攻撃をしてくるのです。その餌食になるのは、面倒臭がって定期的にOSやアプリをアップデートしない人たちです。うちも毎日何千回と悪い人たちから攻撃を受けていますが、それらの大半はワードプレス向けのよく知られた手法によるものです。うちワードプレスじゃないですよと教えてあげたいのですが彼らはそんなのお構い無しで、手当たり次第に見つけた相手に攻撃してきます。
その次にやることは、パスワード管理を真面目にやりましょう。今時のMacやiPhoneは保存されているデータがすべて暗号化されています。Windowsはオプションだったかもしれません。うーんやっぱりよくわからない人はMacとiPhoneを使ってください。自分のiPhone誰にも使われたくないですよね? だからパスコードかけてると思うんですが、紛失してもきちんとパスワードさえかけていればデータ流出はしないです。
自分もそうなんですが、最近ものすごいいろんなウェブサービスのアカウントを持ってますよね。それ全部違うパスワードにしてください。なんでかっていうと、同じパスワードだと、どれか一個のパスワードが流出しただけで全部のアカウントが乗っ取られてしまうからです。パスワードの流出なんてしょっちゅう起こります。全部違うパスワードにしたら覚えられない? 覚えられるパスワードにする方法を考えてみましょう。こちらに書かれているように、ツールを使って管理するのもおすすめです。
昔はパスワードは定期的に変更しろと教わったかもしれませんがそれはむしろやらないほうがよいです。ポイントは長いパスワード、1アカウントに1つだけのパスワード、できる限り2要素認証を使いましょう。あとどうでもいいサービスや素性のよくわからないサービスには私は漏れてもいい捨てパスワードを使います。今は面倒ですが、この辺はそのうちスマホの生体認証で色々できるようになってくるはずなのでそれまで頑張ってみてください。
信頼できるクラウドサービスを選ぶ
これで自分のPCやクラウドサービスのアカウントを乗っ取られる可能性はぐっと低くなりました。でも果たしてそのクラウドサービスは安全なのかという懸念があります。どんな会社だって、うちのサービスは安全です!というでしょう。お前んとこはどうなんだと思われるでしょうが、うちももちろん細心の注意を払ってセキュリティ対策をやっております。そのサービスが信頼できるかどうかを見分けるのはとても難しいのですが、あるとすれば今サイトがSSLじゃないのはもう問題外といっていいです(アドレスがhttpsではなくhttpから始まるやつです)。最近はスマホなんかでも「安全ではありません」というメッセージが表示されるようになりました。このSSLですが、ただ設置すればいいというものではありません。例えば下のリンクを開いて、使っているサイトのURLを入力してみてください。
しばらく待つとAとかCとかのランクが表示されたと思います。AやBなら問題はありませんが、D以下の場合は攻撃される恐れのある技術や設定が用いられているということです。この結果はセキュリティに関心が高い企業かどうかのひとつの目安になるかもしれません。
あとWi-Fiからデータを盗聴されるからホテルのWi-Fiを使うのはやめたほうがいいという話を聞いたことがあります。これは嘘で、利用しているサイトがSSLで暗号化されていれば盗聴されても情報を読み取られることはありません。そういう理由からも正しくSSLが運用されていることが必須です。
あとはサービスによってはセキュリティポリシーやチェックシートを公開しているところもあるので、参考にしてみてはいかがでしょうか。クローバのセキュリティチェックシートはこちらに公開されています。ただこれもあまり神経質になっても仕方がないので、とっても重要な情報はとっても信頼できるところに置くというくらいでいいんじゃないかなと思います。わたしでいうなら、スカイプやツイッターのアカウントが乗っ取られても大きなダメージはないのでそんなに気にしません。あまり信頼できないならクレジットカードの情報は保存しないとか。ちなみにうちではクレジットカード情報は保持してないです。
それでも心配なら
クライアントに迷惑をかけないために保険に入るのもひとつの手かと思います。個人事業でしたら、年会費1万円でフリーランス協会の会員になると賠償責任保険の特典が受けられます。情報漏洩や著作権侵害もカバーしているそうなのでお得な感じがします(うちはフリーランス協会の賛助会員になっていますが特にステマとかではありませんのでご加入の際はよくご検討ください!)
セキュリティ対策全般でいえることですが、仕組みがよくわからないけどこわい!というふうになりがちなので、まずはこまめなアップデートやパスワード管理など誰でもできる対策について、正しい知識をつけて実践いただくことをおすすめしています。
