お金をかけられない人のためのセキュリティ対策2021(Updated2023)
システムには金がかかる セキュリティにはもっと金がかかる これがこの世界の常識であり物理法則であり憲法であるので(この世界で金をもらう側にいるひととしては)基本的にこれを否定することはできない・・・ が、実は「見方によっては」金を使わなくてもそこそこ効果を出すことができるのがセキュリティの不思議なところ。本稿では様々な理由でお金をかけらえない人のためのセキュリティ対策について述べる。ただし最後にこのからくりの種明かしについても記載する
1.セキュリティ・サイバーセキュリティとは
サイバーセキュリティ、つまりITを使って何も起こらなければ、それは要らないということになる
エアバッグもシートベルトもなくても、事故が起こらなければ、それは要らないということになる
実際多くの人がエアバッグにもシートベルトにもお世話にならずに一生を終える・・・
だが、今時エアバッグもシートベルトも要らないという人はいないか、ちょっとおかしな人だろう。高度運転サポートが欲しいと思うので常識的な感覚である。
2.サイバーセキュリティの全体像
サイバーセキュリティのツールは大きく分けると 防御を目的としたものと それ以外を目的としたもの に分けられる
前者はアンチウイルスソフト、あるいはその機能をいろいろと拡張したもの
これは厳密には開発や運用に多大なコストがかかり、かつかかり続けるのでフリーではないのだが
後者は防御を目的としないもの、だから検知するだけだったり、なんか怪しいっていうものだったり、
あるいは攻撃ツールそのもの(もちろん攻撃してみて、たたいてみて壊れないことを確認するために)だったりする。
さらに、ツールはないものも無料のセキュリティに挙げられる。たとえば定期的にパッチを充てるとか脆弱性の情報を収集して回避策を講じるとかである。これはこれで1つのセキュリティリスクになったりもするが、しかしやらないのと比べるとセキュリティレベルを高めることができる。
3.防御のフリーツール
3.1 フリーアンチウイルスソフト
(例)MicrosoftDefender
トップバッターはこれだが必要最低限の機能な上にかなり重いが、これで我慢できるひとはまずこれにしてみるという手はある
フリーアンチウイルスソフト
(例)アバスト無料アンチウイルス
https://www.avast.co.jp/free-antivirus-download#pc
3.2 セキュアブラウザ sandbox
Sandboxie
https://sandboxie-plus.com/sandboxie/
4. 検知のフリーツール
4.1 脆弱性回り
「OSV-Scanner」
Googleが公表している 脆弱性情報検索のフロントエンド。
iLogScanner
脆弱性に対する攻撃を受けていないか確認するツール
痕跡が見つかった時にはすでに攻撃を受けた後ということ。
もちろん攻撃を受けていない場合にはどんなに危険な脆弱性があろうともわからない。
OWASP ZAP
Webアプリケーションの脆弱性検査ツール
Nikto
Webサーバの脆弱性をスキャンしてくれるツール。
Nessus
高度なスキャンで管理するサーバの脆弱性を検査してくれる
4.4 ペンテスティングツール
攻撃と紙一重なので趣味人向け
Fiddler
Burp Suite
OpenVAS
===注意 使い方によってはすごく怒られる
Nmap
===危険 使い方によっては捕まる
Metasploit
hydra
John the Ripper
4.3 監視ツール
セキュリティ用と限定ではないが、OSSでは監視ソフトも
https://www.designet.co.jp/ossinfo/selection/monitoring-server.html
4.4 サービス
virus total
https://www.virustotal.com/gui/
怪しいファイルを見つけた時に、開く前にまず確認!Googleグループ
site safety center
https://global.sitesafety.trendmicro.com/
トレンドマイクロのURL評価サービス
SHODAN
https://www.shodan.io/
自社が公開しているサービスの脆弱なところ(設定不備含め)がそとからどう見えているかわかる
5.本当のフリーツール
本当のフリーツールは、人間の意識。
今や攻撃の入り口は主に3つに整理されている
ウェブ
メール
脆弱性
ウェブはいつもいくサイトとちょっと怪しいサイトを回る時に環境やブラウザを分けるという方法もある
最近だとプライベートブラウジングモードがあるブラウザがあり、利便性は落ちるが
メールは基本的に開かない 特に正規メールと非正規メールの区別なんて絶対につかないから、テキストタイトルで概要を確認したら、基本的には当該サービスにログオンして内容を確認する。
たいていの場合それでなんとかなるはずだし、ならなければ怪しんだほうが良い
脆弱性についてはパッチを充てればOK.問題はWindowsUpdate程度ならば別にいいんだけど、自分の端末で動作しているものは全部当てないとダメ、ということ。
ここはどの頻度で確認して最新にするかというのは無理のない範囲で模索する必要がある。
特にブラウザなどは最新のほうが良い。
欲を言えば攻撃者の対象になりやすいのはみんながよくつかうプラットフォームだから、Linuxあたりのデスクトップを使ってれば以外と安全性が高いのではなかろうか
6.結論
お金をかけないセキュリティとは
お金を使わずに
知恵を使う(パッチを吟味する手間、ブラウザを切り替える手間)
手を使う(パッチを充てたり、都度設定を見直したり)
でもやっぱりそんなことしてるとめんどいし、人生は有限なのでそれ自体が面白くない人はお金で解決したほうが絶対にいいよ というお話(そしてプロにお金を払っとくのがいいよ、というお話)