セキュリティの考え方

インターネットに繋がっているのが当たり前な時代になりましたが、皆さんセキュリティ管理ってどうしてます?

 

パソコンならアンチウィルスソフト入れたり、ルータのファイアウォール機能を有効にして外部からの通信を防いでいたりすると思います。最近はBraveというブラウザがフィッシングサイトから守ってくれたりもしますね。

 

スマホは?iPhoneだと指紋認証や顔認証等の機能が当たり前のように使えるようになって生体認証がグンと身近になりましたね。生体認証をこれだけ活用できるのは実はすごいことですが、当たり前にしてしまったアップル社はもっとすごい。

 

では、仮想通貨は?

 

NEMの事件があってから猫も杓子もハードウォレットですね。いいことだと思いますが、そもそも何でハードウォレットなのでしょうか。

(ハードウォレットを否定する記事ではありません)

 

ハードウォレットのメリットは秘密鍵をオフライン環境に保管できる点です。

別にハードウォレットに仮想通貨は入っていません。

秘密鍵をオフラインで保管する」という点では、紙にQRコード秘密鍵(桁数がやたらと長いアレ)を印刷して保管しておいても保管方法によっては同じぐらい強固です。もちろん、紛失リスクとか、消えちゃった・・・とか、媒体によってメリットデメリットはありますけどね。ちゃんとハードウォレットを金庫に入れるような人なら紙でもいいかもしれません。まぁ、私は紙は無くす自信120%なのでやりません。

 

では、本題。セキュリティ管理とはなんでしょう。

仮想通貨に関して個人が考えるべきことは以下3つだと思います。

  • リスクの分散
  • ゾーン毎の入口、出口対策
  • 複数要素での保護

リスクの分散

単純なことで、1ヶ所に全ての財産を纏めたら無くした時に一瞬で0になっちゃいますよね。例えばこんな分散方法があります。

  • 仮想通貨の保管場所をわける(ウォレットを分ける)
  • 秘密鍵の保管方法を分ける(ハードウォレット、紙媒体、暗号化してパソコンに保存、等)
  • 取引所を分ける(取引所に仮想通貨を置きっぱなしにするのは推奨されないので日本円の保護かな)
  • パスワードをわける(私は全ての取引所、AirdropICO、ウォレット、Discord等のアプリのパスワードを分けています)

分散すればするほどセキュリティは高まります(=安全になる)。

まぁ、やみくもにやれば良いってものでもありませんが。無くす、忘れるのもリスク。

 

ゾーン毎の入口、出口対策

ゾーンって何じゃ?

セキュリティ対策の考え方を変えるべき領域の単位です。

仮想通貨を守るんであれば、

  • ネットワーク
  • パソコン
  • 秘密鍵と保存場所

と分けてみます。

 

さらに、入口と出口にわけて考えます。
入口対策は、犯罪者を侵入させない方法。
出口対策は、入ってこられたら出て行かせない方法。

  • ネットワーク

  ⇒入口対策:簡易ファイアーウォール、侵入検知システム(内向き監視)、等

  ⇒出口対策:プロキシサーバ、侵入検知システム(外向き監視)、ログ監視、等

  •  パソコン

  ⇒入口対策:パスワード設定、パッチ適用、ウィルス対策ソフト、アンチスパムサービス(メール)、情報リテラシの教育(スパムやフィッシングの見分け方とか)、等

  ⇒出口対策:データ暗号化、内外分離(外部アクセス用環境と大事なデータの置き場所を分ける考え方)、等

※そもそも秘密鍵をどこに・どうやって保存するかによって対策は異なるので、PCに保存した場合、その他デバイスに保存している場合等まぜこぜで書いています。

   ⇒入口対策:暗号化、パスワードの複雑化(英数・大文字小文字・記号・10桁以上)、オフライン保管(パソコンに保存しない)、金庫保管、ハードウェアウォレットの使用、等

  ⇒出口対策:リモートワイプ(対応しているハードに保管した場合)、即刻ウォレットから仮想通貨を移動する手順の事前整理、等

 

企業や大き目の組織であれば高機能なファイアウォールや標的型攻撃対策とか、大掛かりなこともできますが、家庭だとシステムで対応するには大掛かり過ぎて導入するのは厳しいです。侵入検知ぐらいだったらトレンドマイクロとかからオールインワンのボックス型セキュリティ機器が出ているみたいですね。使ったことないけど・・・。

 

複数要素での保護

仮想通貨の取引を経験している人からしたら当たり前ですね。2FAとかってよく書かれています。多要素認証とか、そんな呼ばれ方もしています。

基本的に多要素認証では同じ要素を何回も使っても意味がありません。

大事なのは組合せ。

要素とは3種類に分けられています。

  1. 本人が知っている(覚えている)要素(パスワード、”秘密の質問”の答え、等)
  2. 本人が持っている要素(Google Authenticator等のワンタイムパスワードアプリ、パスコード表(マトリクス表)、メールアドレス、等)
  3. 本人特有の生体情報からなる要素(指紋、光彩、静脈、顔(iPhoneの場合)、等)

Google Authenticatorが出てきてから多要素認証のハードルが一気に下がった気がします。いいことだ。代わりに、スマホを無くした時のダメージがでかすぎる。復旧手段はちゃんと確保してくださいね!

 

まとめ

セキュリティ対策ってやればやるほど安全になるけど、結局は使い勝手とのトレードオフなのでどんどん面倒になります。でもこんな時代ですからやらないのは危険。

少しでも楽になるためのアプリやデバイスがたくさん出ていますから有効活用しましょう!

 

最後に、たとえ高価なセキュリティ機器を導入しようが、ハードウェアウォレットに秘密鍵を保管しようが、最後にモノを言うのは個人の意識です。

パスワードが安易な想像できる物だったり、使いまわしていたり、付箋に書いて目につくところに貼ってあったらいくら周りを固めても意味が無いです。

さらに、フィッシングメールに引っかかってパスワード抜かれたりすると対策のしようがない。本人が犯人に直接教えちゃってるんですからね。

こればかりは企業でも個人でも関係ないです。最後の砦は自分自身です。

それを理解した上で便利な機器やアプリを活用しましょう。