451 Views
February 18, 24
スライド概要
◆対象読者:
「セキュリティって何?」「めんどくさい」という方
◆概要:
どうすれば安全なのか?を身近なところを例に挙げて説明していますので
肩の力を抜いてご覧いただければと思います。
セキュリティへの関心が薄いと感じられている方の意識付けへ
初めの一歩になることができれば幸いです。
--
※本スライドは個人的な見解を含みます
※本内容によって生じた損害について、こちらでは一切責任を負いません
ゲーム作ってます
ゲーム開発以前の 情報セキュリティ意識 ※ 2024年2月 更新
自己紹介 ● 名前:ふるや ● 所属:大阪にある ゲーム・AR・VR関連の会社 ● 職種:エンジニア (ゲーム業界に約10年います) ● 趣味:ゲーム(する・作る) ボードゲーム🎲
まず初めに 当スライドに記載している内容は 個人的な見解を含みます。 当スライドによって生じた損害について、 当方では一切責任を負いませんので 予めご了承ください。
アジェンダ ● 情報セキュリティとは? ● 安全とは? ● 個人でできること ● 諸悪の根源「パスワード」の近況 ● まとめ
情報セキュリティとは?
情報セキュリティとは? Security = 「安全」の意 「安全に情報を利用する」ぐらいの認識で大丈夫です。 詳しく知りたい方へ 総務省が分かりやすく説明してくれています(本題ではないので割愛します) https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index.html
安全とは?
安全とは? 分かりにくいので、 逆に安全ではない具体的な事例を挙げます。
2011年4月に発生した事案 原因:サーバーの脆弱性 結果:不正アクセスがあった 個人情報の漏洩が確認されている😫 サービスはしばらく全面停止に PlayStation Network不正アクセスに関する記者会見詳報 - 4Gamer https://www.4gamer.net/games/036/G003636/20110501006/
2020年11月に発生した事案 原因:VPN装置が旧型 結果:ネットワーク経由で日本法人の機器に ランサムウェア(*)が仕込まれた *ファイルを暗号化して利用できなくし、 身代金を要求してくる手法 個人情報の漏洩が確認されている😫 プレスリリース「不正アクセスに関する調査結果のご報告【第4報】」 https://www.capcom.co.jp/ir/news/html/210413.html
2023年11月に発覚した事案 原因:Googleドライブの設定ミス 結果:約94万人分の個人情報が 「リンクを知っていれば誰でも閲覧できる状態」に😫 コーポレートニュース「個人情報漏えいの可能性に関するお知らせ」 https://www.a-tm.co.jp/news/43858/
その他の事案 個人情報漏洩事件・被害事例一覧 - サイバーセキュリティ .com https://cybersecurity-jp.com/leakage-of-personal-information → 個人情報 = 漏洩するもの な認識のほうが気持ちはラク → 漏洩しないように かつ 漏洩したとしても問題が発生しないように 安全 を目指したい! そのために、個人的に「最低限これはやるべき」と思うものを挙げていきます ⇒
個人でできること
1. 「http://」のURLにアクセスしない (1) ● ● http:// : 通信が暗号化されていない → 内容が盗み見られる可能性がある https:// : 通信が暗号化されている → リスクは減るがサーバー管理者に悪意がある場合は意味がない → 少なくとも http:// にはアクセスしない 参考:「httpとhttpsの違いとは? 知っておきたいウェブセキュリティの常識と今後」 https://japan.norton.com/what-is-https-8564
1. 「http://」のURLにアクセスしない (2) ● たまに身に覚えないメールやショートメッセージが届きませんか? 本文の「http://」のURLの場合は絶対にアクセスしないように👿 ○ ● 有名サイトと似たようなURLで「http://」の詐欺サイトが存在する 例: http://yahooo.co.jp メール本文のリンクにも注意を! ○ メール本文はHTMLタグを埋め込み可能なので、見た目は安全そうなサイトでも マウスオーバーすると「全然違うURLになってる!」ことは多々あります。 アクセスする前にリンク先をコピーする等、確認を推奨します。 (KPI取得の為に、URLを変えている場合がある)
2. 他と同じ・安易なパスワードにしない ● ● 生年月日を入れない ランダムな文字にする ○ パスワードはメモ帳にまとめておき、 使用の度にコピペする 「めんどくささ が あなたと周りを守ります」
3. 外部サイトでパスワード生成しない ● ● 生成されたと思っていたパスワードが、 あらかじめ用意された10万個からの抽出だったとしたら ・・・愕然としませんか? それらのパスワードがリスト型攻撃などに使われていたとしたら...😨 私は他の人に指摘され愕然として、簡単なやつを自作・利用しています。 https://pwgen.play-overflew.com/ ↑毎回ちゃんと生成しているのでどうぞご自由に使ってください😊 https://github.com/hfuruya/password-generator
4. 外部の変換ツールは使用しない (1) 画像のサイズ変更、PDF作成、等の便利ツールについて サーバーにアップロードして実行する、その時点で情報は漏洩しています。 利用時は安全だったとしても、 そのサイトが攻撃され情報が漏洩する恐れは大いにあります。 悪用される可能性はあるので、安易にアップロードしない方が良。 画像の調整は社内の誰かや知り合いに依頼するか Photoshop や GIMP を利用するなどしましょう🤗
4. 外部の変換ツールは使用しない (2) URL短縮サービスについて とっても便利なのですが、反面とっっても恐ろしいサービスです。 「リンクを知っている人は全員閲覧可能」なURLを短縮したとします。 短縮前のURLはサーバーに保存されているので、 そのサーバーの管理者が悪用したりサーバーが攻撃される等すると 我々のデータは漏れます💥 → 使用しなくなった短縮URLは削除しましょう (削除してもサーバーには残る可能性はありますが😥)
5. リンクを知っている人は全員閲覧可な URLについて とっっっても便利なのですが、 ● ● 適当に入力してアクセスできることもある ランダム文字列を組み合わせアクセスされる可能性もあり 以上の理由で 情報漏洩のリスクが高く 、安全とは言えません。 関係者のみに公開する、あるいは利用する場合は必要ではなくなったら非公開にする 等、対応したほうが安全です👿 例:限定公開のYouTube、Googleドライブや OneDrive の リンク先を知っている人のみ閲覧可能なファイル等
6. Googleのセキュリティを確認する 以下より、Googleアカウントにログインしているデバイス一覧を確認できます👀 https://myaccount.google.com/device-activity → 知らないデバイスがある場合はログアウトしましょう ※定期的な確認を推奨します
7. APIトークンは定期的に更新する 例えば、Chatworkの場合 APIトークンが分かれば以下が可能です。 ● ● ● 所属している窓の情報(メッセージやタスク等)は全て閲覧可能 所属している窓の削除、作成 コンタクト一覧の参照 等々。 APIトークンの漏洩 = 情報漏洩 → 一ヶ月〜半年に一回は更新すべきと個人的には思います😠 参考:Chatwork API でできること https://developer.chatwork.com/ja/endpoint_rooms.html
8. 多要素認証(MFA)を使う ● 多要素認証とは? ○ ○ ● パスワード + ワンタイムパスワード / 認証コード ■ 認証コードを発行する端末を登録する パスワードが漏洩し、使用されても↑端末がない ⇒ アカウントにはアクセスできないのでセーフ!😅 Chatwork や Googleアカウント は多要素認証にする ○ ○ Chatwork : https://www.chatwork.com/service/packages/chatwork/subpackages/mfa/index.php Google: https://myaccount.google.com/signinoptions/two-step-verification/enroll-welcome ■ ログインがあった場合「不審なアクティビティ」のメールが届くので、メールは常に見れる ようにしておきましょう 「めんどくささ が あなたと周りを守ります」
9. ブラウザの拡張機能を無闇に入れない ● 拡張機能とは? ○ ● ● 閲覧中のページ全体のスクショを撮影したり、同サイトの複数のアカウントのパスワードを管理した り、Chatwork の絵文字を増やしたり等、便利なものが色々あります 追加時に求められる 権限は、よく確認してからインストールする ○ 「Googleドライブのファイル読み書き」は恐い ○ インストール数やレビュー数で判断 ⇒ どこからが安全なのか?は個々の判断次第 以下より、インストール済の拡張機能を確認できます ○ Chrome: https://chrome.google.com/webstore/user/purchases?hl=ja ○ Firefox: about:addons 参考:「Google Chrome」拡張機能をより安全に https://forest.watch.impress.co.jp/docs/serial/yajiuma/1158878.html
10. 国のセキュリティ関連ニュースを読む ご興味があれば ● 情報処理推進機構(IPA) ○ 経済産業省所管の独立行政法人 ○ セキュリティ対策情報 ■ 以下よりメールで購読できます https://www.ipa.go.jp/about/mail/index.html ■ X (旧Twitter)アカウント ● https://x.com/ipajp
諸悪の根源 「パスワード」の近況
諸悪の根源「パスワード」の近況 💡Appleが 『パスワード不要。 Face ID や Touch ID だけで ウェブサービスにログインできる「 パスキー」 を開発。 Google や Microsoft と連携し、標準化を目指す模様』 ⇒ https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 将来的に、パスワードはなくなっていくものと思われます(やったぜ 🤗)
まとめ
まとめ ● 変換や圧縮を代替する便利なサービスは多数ありますが、 利用する前に一度立ち止まって考えてみてください ○ 外部サービスへの アップロード = 情報漏洩 です ○ 個人で解決できることは知り合い等に相談しましょう ● パスワードが不要になるまでは、 ランダム文字列のパスワードや多要素認証(MFA)を使いましょう 「めんどくささ が あなたと周りを守ります」(三回目)
最後までご覧いただき ありがとうございました!