これだけは押さえたいセキュリティ習慣
IT に詳しくなくても今日から実践できるセキュリティ対策。このページの内容を守るだけで、セキュリティ事故のリスクを大幅に低減できます。
セキュリティ事故の大半は「うっかり」で起きている
サイバー攻撃というと高度なハッキングを想像しがちですが、実際のセキュリティ事故の 6〜8 割は人的要因 です(Verizon DBIR 調査)。
| 原因 | 典型的なケース |
|---|---|
| メール誤送信 | CC と BCC を間違え、全顧客のアドレスが漏洩 |
| フィッシング | 偽のログイン画面にパスワードを入力してしまう |
| パスワードの使い回し | 1 つのサービスが漏洩 → 連鎖的に全アカウント乗っ取り |
| 端末の紛失 | 暗号化していない PC を電車に置き忘れ |
| 設定ミス | クラウドストレージを「全員に公開」のまま放置 |
| アカウント放置 | 退職者のアカウントが削除されず不正利用 |
つまり、特別な技術知識がなくても、日常の習慣を変えるだけで大半の事故は防げます。
以下の 6 つの習慣を身につけましょう。
1. パスワードは「長く」「使い回さない」
最も効果が高く、今すぐできる対策です。
パスワードの使い回しは、1 つのサービスが漏洩しただけで全アカウントが乗っ取られるリスクがあります。
| やること | 具体的な方法 |
|---|---|
| パスワードマネージャーを使う | サービスごとにランダムな長いパスワードを自動生成。覚える必要なし |
| マスターパスワードだけ覚える | 15 文字以上のパスフレーズがおすすめ(例: 好きな歌詞の一節を改変) |
| 多要素認証(MFA)を有効にする | パスワードが漏れても、スマホの認証コードがないとログインできない |
ブラウザの「パスワードを保存しますか?」は便利ですが、専用のパスワードマネージャーのほうが安全性が高いです。
詳しく知る: パスワードポリシー
2. 受信メールの「怪しいリンク・添付」を見分ける
フィッシング詐欺や標的型メール攻撃は年々巧妙になっています。
メールや SMS の「緊急」「アカウント停止」「不正アクセスを検知」といった文言は、焦らせて判断力を奪う のが目的です。
危険はリンクだけでなく、添付ファイル からも感染します(Emotet のように Word マクロ付き文書や ZIP ファイルで広がるマルウェアは現在も主流)。
| チェックポイント | 見分け方 |
|---|---|
| 送信元アドレス | @paypa1.com(paypal ではなく paypa1)のような偽ドメインに注意 |
| リンク先の URL | クリック前にマウスオーバーして実際の URL を確認。短縮 URL も要注意 |
| 添付ファイル | 心当たりのない Office 文書 / ZIP / .lnk / .iso / .html は開かない。マクロ有効化を促すものは問答無用で削除 |
| 日本語の不自然さ | 機械翻訳特有の不自然な敬語や句読点のずれ |
| 緊急性の演出 | 「24 時間以内に対応しないとアカウントを削除」→ 正規サービスはそんなことをしない |
迷ったら、メール内のリンクは踏まず、添付ファイルも開かず、ブックマークや検索から公式サイトに直接アクセス してください。
取引先を装った請求書・配送通知でも、電話や別経路で相手に確認する一手間を惜しまないことが肝心です。
3. メール送信は「一呼吸おいてから」
メール誤送信は日本のセキュリティ事故で 毎年トップクラス の件数を記録しています。
送信ボタンを押す前の数秒が、情報漏洩を防ぐ最後のチャンスです。
| 送信前チェック | なぜ重要か |
|---|---|
| 宛先の再確認 | オートコンプリートで似た名前の別人を選んでいないか |
| TO / CC / BCC の区別 | 複数の外部宛先に送る場合、BCC を使わないとアドレスが互いに見える |
| 添付ファイルの中身 | ファイル名だけでなく中身を開いて確認。別の顧客の資料を添付していないか |
| 転送メールの引用部分 | 転送元のやりとりに送ってはいけない情報が含まれていないか |
組織としての対策: 送信遅延(取り消し猶予)機能の導入、外部ドメイン送信時の警告設定、添付ファイルの代わりにクラウドストレージのリンク共有を推奨。
詳しく知る: メール誤送信
4. 端末とデータを「暗号化」で守る
ノート PC やスマートフォンを紛失しても、ディスクが暗号化されていればデータは読めません。
OS のログインパスワードだけでは、ディスクを取り出して直接読むことが可能なため不十分です。
| 対策 | 設定方法 |
|---|---|
| Windows: BitLocker を有効化 | 設定 → プライバシーとセキュリティ → デバイスの暗号化 |
| macOS: FileVault を有効化 | システム設定 → プライバシーとセキュリティ → FileVault |
| スマートフォン | iOS / Android ともにデフォルトで暗号化済み。パスコードを必ず設定する |
| USB メモリ | 原則使用禁止。どうしても必要なら暗号化対応の製品を使う |
紛失に気づいたら 即座に情報セキュリティ部門に報告 し、リモートロック・ワイプを依頼してください。
時間が経つほど被害が拡大します。
詳しく知る: 端末紛失・盗難
5. 「共有設定」を定期的に見直す
クラウドストレージの共有設定ミスは、攻撃者が何もしなくてもデータが丸見え になる最も危険なパターンの一つです。
| 見直しポイント | 確認すること |
|---|---|
| Google Drive / OneDrive / Box | 「リンクを知っている全員がアクセス可能」になっているファイルがないか |
| 共有フォルダの権限 | 退職者やプロジェクト終了したメンバーにアクセス権が残っていないか |
| 外部共有の棚卸し | 社外に共有したファイルのリンクが不要になったら削除する |
| 個人の SNS | 勤務先、組織構成、使用システムなどを不用意に投稿していないか |
月に 1 回、自分が共有しているファイルの一覧を確認する習慣をつけましょう。
詳しく知る: クラウド設定ミス
6. 「退職・異動」時のアカウント整理
これは管理者向けですが、全員が意識すべきポイントです。
退職者のアカウントが放置されると、不正アクセスに悪用されるリスクがあります。
| タイミング | やること |
|---|---|
| 退職日当日 | VPN・メール・クラウドサービスのアカウントを即日無効化 |
| 退職日当日 | IC カード・鍵・社用端末の回収 |
| 退職日当日 | 退職者がアクセスしていた共有アカウントのパスワード変更 |
| 四半期ごと | 全アカウントを人事データと突合し、不要なアカウントを検出 |
自分自身が退職・異動する場合 は、引き継ぎ時に自分しかアクセスできない共有リソース(パスワード、API キーなど)がないか確認し、適切に引き継ぎましょう。
まとめ: 6 つの習慣チェックリスト
| # | 習慣 | 効果 | 難易度 |
|---|---|---|---|
| 1 | パスワードマネージャー + MFA | パスワード漏洩・使い回しリスクをほぼゼロに | 低 |
| 2 | 受信メールのリンク・添付に注意 | フィッシングとマルウェア感染を大幅に低減 | 低 |
| 3 | メール送信前に宛先・添付を再確認 | 誤送信による情報漏洩を防止 | 低 |
| 4 | 端末のディスク暗号化 | 紛失・盗難時のデータ流出を防止 | 低 |
| 5 | 共有設定の定期見直し | 意図しない情報公開を防止 | 低 |
| 6 | 退職・異動時のアカウント整理 | 内部脅威・不正アクセスを防止 | 低 |
すべて 低コスト・低難易度 で、特別な技術知識は不要です。
まずは 1 つずつ、今日からはじめてみてください。
関連トピック
パスワードポリシー- パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。 フィッシング- 正規のサービスを装った偽サイトやメールでユーザーの認証情報・個人情報を詐取する攻撃。全サイバー攻撃の起点として最も多い手法。 メール誤送信・誤BCC- 宛先間違い・TO/CC/BCC の取り違え・添付ファイル誤りなど、メール送信時の人的ミスによる情報漏洩。日本の漏洩事故で毎年上位を占める。 端末の紛失・盗難- ノート PC・スマートフォン・USB メモリ・書類などの物理的な紛失や盗難による情報漏洩。暗号化やリモートワイプの未設定が被害を拡大させる。 内部脅威- 従業員や委託先など内部の人間による情報漏洩・不正アクセス。退職者のアカウント削除忘れや委託先の権限管理不備が重大インシデントにつながる。 クラウド設定ミス- クラウドストレージやサービスのアクセス権限・公開設定の誤りによる情報漏洩。S3 バケットの公開放置や Google Drive の共有設定ミスなど、設定一つで大規模漏洩に直結する。 アクセス先 URL の確認- リンクをクリックする前にアクセス先の URL を確認する習慣が、フィッシングやクリックジャッキングなどの攻撃から身を守る基本的な対策になる。