インターネットの安全・安心ハンドブック
2023年の1月31日に内閣サイバーセキュリティセンター(NISC)が「インターネットの安全・安心ハンドブックVer 5.00」を公開した。
意見が分かれそうな内容も記載されており、今後セキュリティ対策を考えていくうえでも参考になるため、特徴的なものを以下に記載していく。
・ログイン用のパスワード
英大文字小文字+数字+記号混じりで10 桁以上を安全圏として推奨。
・ウェブブラウザの自動入力機能は使用しない
離席時にPCを使用された場合や、PC紛失時にアカウント情報が利用されてしまうため、対策としては、紙に書くか、スマホのパスワード管理アプリを利用する方法。
スマホのパスワード管理アプリは、使用するためには指紋認証を必要とすることで不正に利用されるリスクを低減することができる。しかし、スマホを落とした場合すべてのパスワードを失うことになるため、バックアップを用意しておく必要がある。
・多要素認証
メールやSMSは安全面で非推奨。
ハードウェアトークンや生成アプリを利用を推奨する。
・秘密の質問の回答
誕生日や出身地、ペットの名前など推測しやすいものは禁止。
推測できないものとし、回答はパスワード管理アプリなどに保存する。
・データ消去
かつて米国国防省や軍などでは3から4回以上の繰り返し上書きを推奨していたが、2014年公表のNIST SP 800-88 Rev1では、上書き回数は1回でも十分で、ハードディスクの復旧は困難と見解を発表した。
SSDはSecure Erase用のソフトを利用する。またはSSDに対応したシュレッダーを利用する。
・ソーシャルログイン
IDとパスワードの管理がしっかりしたウェブサービスのアカウントで他のウェブサービスにログインして利用するもの。
グローバルで展開しているSNSサービスですら情報漏洩しているため、ソーシャルログインは非推奨。
■お役立ち資料
サイバーセキュリティ関係法令 Q&Aハンドブック(令和 2 年(2020 年)3 月2 日刊行)
https://security-portal.nisc.go.jp/guidance/pdf/law_handbook/law_handbook.pdf