TOP | 2016年度 | 国際版!サイバーセキュリティ ひとこと言いたい! | (タイ)メールを安全に使用するための提言

メールを安全に使用するための提言
ThaiCERT/ETDA
ThaiCERT Engineer
Mr. Artthawit Hung

 
 メールは昨今、迅速かつ便利で、ユーザにはほとんどコストがかからない重要な通信手段になりました。我々はメールを個人的又は業務で、日常的に様々な方法で使用します。メールシステムでは機微な情報が大量に送受信又は保存されていますが、人々はメールアカウントを保護する重要性を理解していない場合が多く、結果として個人情報が盗み取られています。メールサービス事業者はセキュリティ対策を導入していますが、ユーザの情報にアクセスして盗み取ろうとするハッカーから身を守る方法をユーザ自身が学ばなければなりません。我々は以下の対策を推奨します:
 

1.二段階検証

メールサービスにアクセスする場合、我々は自身のIDを確認する必要があります。一般的に、検証方法は以下の三種類に分類されます:
 ・知識によるもの(例、ユーザ名、パスワード)
 ・保有物によるもの(例、携帯電話、スマートカード)
 ・生体によるもの(例、指紋、声紋)
セキュリティを強化するためには、二段階の検証プロセスを推奨します。
二段階による検証は、二種類の検証方法を組み合わせて使い、サービスにアクセスするためのログイン時のセキュリティを強化する認証方法です。例えば、ユーザ名やパスワードによる認証に、携帯電話からのワンタイムパスワードを組み合わせて使用することで、パスワードが流出してしまった場合でも自身を守ることができます。広く使われる無料メールサービスの多くで、二段階検証のセキュリティを設定することができます。
 
 

2.パスワード

 ユーザ名とパスワードは、インターネット上で自分を特定・検証する最も一般的な手段です。不正なアクセスを阻止するためには、強力なパスワードを設定することが重要です。
 ・8文字以上で構成されるパスワード。
 ・様々な文字種を含むパスワード(例、小文字、大文字、数字、特殊文字等)。
さらに、
 ・似たようなユーザ名を使用する別のシステムで、既に使っているパスワードは使い回さない。
 ・辞書に登場する単語は使用しない。
 ・定期的にパスワードを変更する。
強力なパスワードを設定することに加えて、ユーザはパスワードの使い方にも留意する必要があります。
 ・ユーザ名やパスワードを書き留めたり、公共の場に放置したりしない。
 ・ユーザ名やパスワードを他人と共有しない。
 ・ウェブブラウザにパスワードを記憶させない。
 

3.公衆コンピュータを使用する場合の注意点

 公衆コンピュータを使用する場合には、たくさんのリスクが存在します。公衆コンピュータにどのようなソフトウェアがインストールされているかは不明であり、信頼できるかどうかわかりません。ユーザが機微な活動を行う場合、公衆コンピュータの使用は避けなければなりません。インターネットに接続中は、ウェブブラウザをプライベート又は匿名モードに設定し、ブラウザがパスワードを保存するか尋ねられた場合は常に拒否します。また、パスワードや機微な情報を入力する場合、キーロガーソフトウェアを阻止するためにスクリーンキーボード(仮想キーボード、多くのOSで標準装備)を使う必要があります。
 

4.定期的にアカウントの活動やセキュリティ設定を確認
ユーザは、定期的に活動ログを確認して、見慣れないログイン場所、認識されないデバイス、異常なログイン時間等の不規則又は疑わしい活動の存在を探すようにします。例えば、海外から真夜中にログインされた記録など、前述の情報を確認することで不自然な活動に気付くことができます。また、セキュリティ設定も確認しなければなりません。この中には、ログイン設定、パスワード回復オプション、第二メールアカウント等があります。疑わしい活動を発見した場合は、直ちにパスワードを変更して、当該メールアカウントを使用するすべてのデバイスを検査する必要があります。
 

 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。