セキュリティ対策の心構え<情報倫理・セキュリティ<Web教材<木暮

Web教材一覧情報倫理・セキュリティ

セキュリティ対策の心構え

インターネット初心者にセキュリティ対策についての基本的な心構えを知ってもらうことを目的とします。教職課程のみなさんが、生徒に説明するときの参考にしてください。


セキュリティ対策の重要性

インターネットは高速道路。運転免許が必要だ

交通事故を防ぐために、交通法規や道路標識があり、運転者には運転免許の取得や安全点検が義務付けられています。インターネットは情報の高速道路だといえます、インターネットで自分や他人に被害を与えないためには、インターネットでの危険について、一定の知識と訓練が必要になります。それを知らずにインターネットを利用するのは、無免許で高速道路を走るようなもので、無謀というしかありません。

しかも、インターネットでの交通ルールは未整備な状況なので、自動車運転よりもいっそうの注意が必要です。また、ブロードバンドでの常時接続の環境は、いったんWebページを見たりメールの送受信をすると、シャットダウンしたり電源を切らない限り、常にインターネットにつながっている(高速道路にいる)環境なのです。

ウイルス・不正アクセスの目的が変化してきた

1990年代後半になると、インターネットの普及に伴い悪質なウイルスがパンデミック化して社会的問題になってきましたが、それでも、ウイルス作者は好奇心や顕示欲による愉快犯だと認識されていました。
 ところが、2000年代になると、個人情報搾取や脅迫などの犯罪目的、外交や政治目的に変貌しました。それに伴い、犯罪組織も発生しました、ビジネスとしてのウイルスや不正アクセスになったのです。さらに、2010年代になると大規模組織によるサイバーテロに発展し、社会インフラへのサイバーテロが話題になるように、インターネットは国防上の対象にまでなってきました。
参照:「ウイルスの歴史」

自己防衛のためではない。犯罪に加担しないためなのだ

インターネットでの騙しの手口は、ますます多様に巧妙になってきました(参照: 「Webでの騙しの手口」)。これから身を守るだけでも大変なことです。
 しかし、セキュリティ対策の目的は「被害者になるな」から「加害者にさせられるな」へと発展しています。

極論ですが、自己防衛は自己責任だといえます。「自分のパソコンにトラブルが発生する」「クレジット番号やパスワードを知られて財産を失う」「個人情報を知られて中傷誹謗、恐喝される」ような被害は深刻な問題ですが、それらは「鍵を掛けずに外出する」「サイフや手帳を無造作に放置する」ようなことです。便利・費用のために安全を代償にしているのですから、個人の自由だともいえます(それでも犯罪を誘発するという責任があります →参照:「性弱説」)。
 昔の顕示欲目的のウイルスは、感染パソコンに被害を与えましたが、犯罪目的、特に第三者攻撃目的の場合には、ウイルス感染に気づかれないことが重要なため、感染パソコン自体に障害を起こすウイルスは少なくなりました。それで初心者は「ウイルスに感染されたことも、被害にあったこともない」と思い、対策に手を抜きがちです。

セキュリティ対策が不十分だと、自分が知らないうちに加害者になってしまうことを認識させることが重要です。交通法規が他人に迷惑をかけないことが主目的であるように、セキュリティ対策は社会的義務なのだと認識させましょう。
参照:「情報セキュリティ対策の社会的責任」

銀行強盗をするときは自分の車を使わない。なりすましをされるな

犯罪者が標的を攻撃するには、第三者のパソコンを踏み台にするのは常識です。近年に話題になったいくつかの例を掲げます。

なりすましされた人が被害者なのは当然ですが、あえていえば、なりすましされる状況にしていたのが原因であり、加害者の片棒をかついでしまったのだともいえます。

DoS攻撃の踏み台にされるな

DoS攻撃とは、標的となるWebサイトに大量のデータを送り付けて、本来のサービスができなくなるようにする攻撃です。著名な販売サイトや公官庁が標的にされます。
 多数のパソコンにあらかじめ「トロイの木馬」あるいは「ボット」と呼ばれるウイルスに感染させておき、攻撃者の指示により一斉に標的サイトに大量のデータを発信させるのです。標的サイトからは踏み台になったパソコンが攻撃してきたように見えます。
 それら踏み台になるパソコンは多段階にネットワーク化され「ボットネット」と呼ばれます。ボットネットの構築者が、ボットネットを攻撃者に売るようなアングラ市場も普及しているそうです。また、実際には攻撃せずに、脅迫材料に使うことも行われています。まさに犯罪ツールなのです。

迷惑メールに反応するな

身近なことにも関心をもたせましょう。メールの80%以上が迷惑メールだといわれています。迷惑メールは、不特定多数受信者に労力をかけさせるだけでなく、インターネット環境(社会的インフラ)の無駄遣いになっています。
 迷惑メールが存在するのは、「0×∞=大」の法則によります。ビラ配りなどに比べて、インターネットの大量メール送信はコストが極端に安いので、少しでも客がつけば十分にペイします。取引にはならなくても、なんらかの返信があれば(拒絶要求でも)、そのアドレスは見込客として高価商品になるのです。すなわち、このようなメールに反応することは、この市場を支援する反社会的行為であり不特定多数への加害者になっているのです。
 さらに、迷惑メールに誘導されたサイトで魅力的な無料アプリを示され、ダウンロードしたらウイルスだったという例が非常に多いのです。

個人でのセキュリティ対策

常識的な対策でよいのだ

では、一般個人のパソコンでは、どの程度の対策を講じるべきでしょうか。攻撃する価値のある特定の標的に対しては、攻撃者は真剣に労力や費用を惜しまず研究するでしょう。通常の個人パソコンがその標的にされたら、負けるのに決まっています。

しかし、攻撃者もビジネスなのですからコストパフォーマンスが重視されます。不特定多数を対象に攻撃するのに、労力や費用はかけられません。単純なワナをばらまいておき、それに引っかかったパソコンにウイルスを感染させることになります。
 それを防ぐには、セキュリティ対策ソフトを入れておく、不審なメールを開かない、いかがわしいWebページを見ない、信頼のないアプリをダウンロードしないなど、常識的な対策をしていればほとんどは防げるのです。
参考:ウイルス対策(IPA)

最低限の「義務」を実践しよう

上記のような常識的な対策を知らない人は少ないでしょう。「知っているが実践していない」ことが問題なのです。実践させるには、当初から高度な対策を強要するのではなく、簡単なレベルから始めることが大切です。次の2つだけを実践するだけでも大きな効果があるといわれています。


情報倫理・セキュリティへ