見出し画像

デジタルクリエイターのためのサイバー&物理セキュリティについて考えてみた

少し前にデジタルクリエイターの方がランサムウェアにやられたことをツイートされていました。企業が被害を受けた話はたまにニュースになりますが、似たような環境で仕事をしている人がやられたとなると、これは自分もきちんと対策を考えないとまずいかなという気になります。

ということで、主に個人や小規模組織のデジタルクリエイターがどのように自衛すればよいのかについて考えてみました。セキュリティの専門家ではありませんので、あらかじめご留意ください。主にサイバーセキュリティについて書いていますが、それ以外の部分にも触れています。「そんなの知ってるよ」ということでも、この機会に見直してみてはいかがでしょうか(もちろん、私が書いていることがすべてではありません)。設定してたつもりが、できてなかったなんてこともあるかもしれないですし。


インターネットに対する個人的な考え

大前提として「インターネットは安全ではない」と考えています。自分自身がどれだけ対策をしていても、情報流出などを完璧に防ぐのは難しいです。

アンチウイルス(アンチマルウェア)は、セキュリティデータベース(ウイルスやソフトウェアの脆弱性などの最新情報が登録されている)を用いて不正な攻撃をブロックしますが、データベースに登録されていないウイルスや未知の脆弱性を突く「ゼロデイ攻撃」には無力です。またフィッシングメールのような詐欺はセキュリティソフトでは防げません。

パスワードを聞き出す、盗み見するといった「ソーシャルエンジニアリング」と呼ばれるアナログ手法もあります。サイバー犯罪の舞台はデジタル空間ですが、情報収集は現実世界でも行われているということです。

東京の商業施設で、レジ打ちスタッフが客のクレジットカード番号を暗記して不正利用していたというトンデモな事件も起きたりしています。

交通ルールを守っていても車に突っ込まれることはあるし、自宅にいても災害に巻き込まれる恐れはあるわけで、ネットも同じじゃないかと思います。


サイバー犯罪の概要と対策

総務省の「国民のためのサイバーセキュリティサイト」は、基本から具体的な施策まで、「一般」と「企業・組織」を分け、それぞれのセキュリティ対策がわかりやすくまとめられています。

こちらに危険の種類として、次のようなものが挙げられていました。

  • ウイルス(マルウェア)

  • 不正アクセス(改ざん、情報漏えい、踏み台など)

  • 事故・障害(人為的なミス、物理的な障害など)

  • 詐欺(フィッシング、違法販売など)

  • 脆弱性(セキュリティホール)

よく聞くのが「既知の脆弱性」を突かれた被害。ソフトウェアのアップデートをしていなかったり、ウェブサイトの場合だと構築した人が知識不足だったりするとこういうことが起こります。費用ばかりを気にして技術力のないところに発注すると、代償が高く付くこともあるので要注意です。

サーバ会社にいたときに定期的に起きていたのが、インストールしたまま放置され、アップデートされていないWordPressの脆弱性を突いた攻撃。踏み台にさる恐れもあるので、いらないものは速やかに削除しましょう。

不特定多数を対象とするサイバー攻撃の初手としては、プログラムの利用が多いのではないかと思います。WordPressの既知の脆弱性への攻撃は、同じ日に一斉に発生していたので、プログラムにクロールさせているのではないかと思います。穴を見つけて個別対応じゃないでしょうか。

厄介なのは不正なプログラムがネットで無料配布されていること。セキュリティの甘いフリーのWi-Fiスポットでそういったプログラムを使うと、素人でも簡単に個人情報を盗めます。

ネットはこのようなカオスな状態だし、運用しているのは人間なので、事故や障害、犯罪は必ず起こると考えて、事後に速やかに対応できる準備をしておくことが大切です。

また対策がきちんと機能するかを確認する必要もあります。例えば、データのバックアップ設定をして終わりではなく、復旧まで試すということです。

過去に国内の大規模データセンタで電線が切れて、電力供給が停止する事故がありました。収容していたサーバは数百台以上だったと思います。それぐらいの規模のデータセンタには巨大な無停電電源装置があり、電力会社からの送電が止まっても数時間はサーバを動かせます。

無停電電源装置が稼働しているうちに自家発電装置(石油で動くので燃料があれば動かし続けられる)が起動するはずでしたが、こちらが動きませんでした。この障害発生後、そのデータセンタでは平常時に自家発電装置の作動確認を行うようになったそうです。こういうのを目の当たりにすると、平常時の点検や訓練の重要性を痛感しますね。


個人的に実践しているセキュリティ対策

私が過去に経験したサイバー被害は、ショップサイトが不正アクセスされたことによるカード情報流出。カード情報は都度入力していたので、最初は漏れた理由がわかりませんでした。

しかしその後の報告で、決済ログにカード番号が残っていたことが判明。ショップ側には残す意図はなく、これはプログラムのミスだとわかりました。こうなると利用者側に事故発生を防ぐことはできないので、事後に迅速に対応するしかありません。

ちなみに私が普段から心がけているのは次のようなことになります。もっとあるかもですが、とりあえず思いつくものを列挙しました。

  • 単純なパスワードは使わない

  • パスワードの桁数は多めにし、英数以外も使う

  • パスワード管理ソフトを使う(ブラウザなどで管理しない)

  • 二要素認証を使う(サービスが対応している場合)

  • OpenIDは使わない

  • 怪しいサイトにアクセスしない

  • 怪しいメールを開かない

  • ショップサイトでは可能な限りカード情報は登録しない

  • カード明細は毎月すべて確認

  • アンチマルウェアを使う

  • OSのソフトウェアFirewallを使う

  • バックアップをとる(ローカル+クラウド)

  • 公衆Wi-Fiは利用しない

大手のウェブサービスやSNSなどは二要素認証に対応しているので、設定すればID・パスワードが漏れたとしても第三者はすぐにログインできません。わかってそうな人がSNSアカウントを乗っ取られたりしているので、知っていることとできていることは別なんだと思います。

OpenIDやブラウザなどにID・パスワードを記憶させる機能は便利ですが、すべてのウェブサービスがOpenIDに対応しているわけではなく、ブラウザもパソコンとスマホで異なるものを使っている場合もあるでしょう。様々な手法を用いると管理が煩雑になるので私の場合、ID・パスワードなどは、管理ソフト(Bitwarden)で一元管理しています。ログイン情報がどれぐらいあるか確認したところ、なんと395件もありました。アクティブでないものも多いと思いますが、ネット利用歴が長いとこうなっちゃいますね。

ITリテラシー高めの人が二要素認証してなかったというのは、このように利用しているウェブサービスやらショップが多すぎて、各々でどのような設定をしているかわからなくなるというものあるんじゃないでしょうか。

ちなみにパスワードは桁数が多いほど安全性が高まるそうです。すべての組み合わせを総あたりされた場合、桁数が多い方が時間がかかります。4桁の数字の組み合わせなら1万通り、8桁なら1億通り、さらに英文字や記号が加わると組み合わせはもっと増えます。


ネットワーク全体を保護できるハードウェアFirewall

企業の導入事例は多いと思いますが、個人や小規模組織はあまり使ってなさそうなのがハードウェアFirewallです。

サーバ屋のときにハードウェアFirewallの重要な機能の1つとして教えてもらったのが「使っていないポートを塞ぐ」というもの。余計な侵入経路を閉じることにより、安全性が高まります。ポート番号は、インターネットで使われるTCP/IPという通信プロトコルで使われるものです。

ポート番号とは、TCP/IP通信において、 コンピュータが通信に使用するプログラムを識別するための番号です。 ポート番号は16ビットの整数であり、 0番~65535番まであります。

TCP/IP通信においては、 IPアドレスがあればネットワーク上のコンピュータを一意に識別することができますが、 該当コンピュータのどのプログラムに通信パケットを届けるかは、 IPアドレスだけでは決定できません。 どのプログラムに通信パケットを渡すのかを決定するために、 ポート番号を使用します。(以下略)

ポート番号とは / JPNIC

ポート番号のうち、よく知られているものはウェルノウンポートと呼ばれ、ネットに欠かせないHTTP(80ポート)とか、FTP(21ポート)、SSH(22ポート)などは、聞いたことがある人も多いのではないでしょうか。ポートはこれだけではないということです。

自宅で利用する場合、ハードウェアFirewallをONUに接続し、その配下にWi-Fiルータなどをつなげば、ネットワーク全体を保護できます。MacやWindowsのOSに搭載されているソフトウェアFirewallで管理できるのは、それらがインストールされているパソコンのみです。

ハードウェアFirewallを使うと配下のネットワーク全体を保護できる
ヤマハ株式会社 作『ネットワーク構成図 作成用アイコン』を使用

ハードウェアFirewallには安全性を高める様々な機能がありますが、設定や運用にはある程度の知識が必要で、機器の選定も難しく、まあまあ高額だったりするので、私もいままで導入したことはありません。

しかしコロナによってリモートワークが浸透し、自宅で仕事をする時間も増えています。最近はIoT機器が標的になることも多く、カメラをハッキングされたり、DDos攻撃の踏み台になったりもするので、そろそろハードウェアFirewallを導入した方がよいかなと思っているところです。気付いていないだけで実は不正利用されているという可能性もありますし。

とかいいながら、あまり情報収集もできていないのですが(すまん)、WIREDの記事に素人でも扱いやすそうな、Firewalla Purpleという製品のレビューがありました。見た目はかわいいけど、お値段はかわいくありません(定価369ドルなので139円換算で約5.1万円)。レビューを読むと機能的に素晴らしく、スマホアプリのUIもよくて設定しやすそうです。小型であることから、携帯してホテルのLANにつないで使うことも想定されています。

Firewalla Purpleの主な機能についてレビュー記事には次のようなことが書かれていました。

  • ホームネットワーク機能

  • 広告のブロック

  • 子どものインターネットアクセスを管理するペアレンタルコントロール

  • 仮想プライベートネットワーク(VPN)

  • インターネットトラフィックの確認と管理

Firewalla Purpleの製品ページを見ると、IPS(Intrusion Prevention System)やIDS(Intrusion Detection System)のような高度な機能にも対応しているようで、思ったよりも本格派な感じです。

WIREDのレビューには次のようなことも書かれていました。

Firewalla Purpleに接続してから24時間以内にブロックされた数千件にものぼるIPアドレスの量には、思わず目を見張ってしまった(なぜこんなにブロックされたのか、理由はまだわからない)。起きていることすべてを理解して状況を把握するには、時間がかかるだろう。

ファイアウォール機能を搭載したルーター「Firewalla Purple」は、あらゆる脅威からデバイスを守ってくれる:製品レビュー

通信は目に見えないので危機感を感じにくいのですが、可視化するとどえらいことに(語彙力)なってるということですよね。

ネットワークの知識をお持ちの方からすると、Firewalla Purpleのような製品には足りないところも多いのかもしれませんが、手始めとしてはよさそう。

ちなみに今回は個人や小規模組織向けに書いていますが、法人向けには様々な会社から設定代行も行ってくれるFirewallサービスが提供されています。まあこういったサービスを利用する場合も、自身できちんと選定できるようにある程度の知識付けはしておいた方がよいです。


BCP(事業継続計画)について考える

東日本大震災の発生後「BCP(事業継続計画)」について耳にする機会が増えました。BCPは、大規模な天災や災害などに遭遇したときに、被害を最小限に抑え、事業を存続する(早期に復旧する)ための施策。基本的に中小企業が前提だと思いますが、個人レベルでも考えておいた方がよいでしょう。

詳しくは中小企業庁のウェブサイトにまとめられていますが、ざっくりいうと自身の事業を理解し、有事の際にどのように状況を把握して、いち早く通常の状態に戻るかについて具体的に考えておくということです。とか書いてますが、正直、自分自身まだちゃんとできていません。

一生のうちに遭遇するかどうかわからないような大災害に備えるのは難しいことです。重要度は高くても優先度が低くなります。広域災害が発生すると現実感が増し、BCP導入を真剣に考える企業が増えるんでしょうね。

幸いこれまで大災害に見舞われたことはありませんが、直撃されて自宅や社屋が失われたときに、行動指針があるかないかによって、原状復帰にかかる時間が大きく変わるということは想像できます。


身近な災害、雷サージの対策

もっとも身近な災害ともいえる落雷。雷サージ(雷などによって引き起こされる異常な高電圧、高電力)によってパソコンや家電製品が損傷する恐れがあります。

コンセントから電源を抜くのが最善策だと思いますが、色々と調べてみると、雷の音がし始めてからだと感電の恐れもあるため電源には触らないほうがよいという情報もありました。なるほど…

とはいえ雷が鳴る前にパソコンの電源を抜いていては仕事になりませんし、雷が鳴り始めてからでも仕事が止まることを考えると躊躇してしまいます。対策として考えられるのが、UPS(無停電電源装置)やポータブル電源。

UPSにはサージ保護機能(雷などによって引き起こされる異常な高電圧、高電力から機器を保護する機能)があり(ないものもあるかも)、バッテリー内蔵なのですぐに電源が落ちることはありません。

ポータブル電源は大容量バッテリーの製品があり、停電時には様々な家電を接続でき、満充電なら長時間パソコンを動かせそうです。UPSのようなサージ保護機能付きの製品もあるかもしれませんが、ざっと調べた感じでは見つけられませんでした。

製品カテゴリーに違いがあり、UPSはビジネス向け、ポータブル電源はコンシューマ向け。そのためバッテリーの意味合いが、UPSは急な停電時にパソコンなどを正常終了させるための一時的なもの、ポータブル電源は停電時やアウトドアでスマホや家電などを長時間利用する想定のようです。いずれの製品も搭載しているバッテリーには寿命がありますが、UPSは交換できる製品もあります。

「雷ガード」と書かれた電源タップもあり、仕事場ではそのような製品を使っていますが、1,000円台の製品に高度な機能が搭載されているとは思えません。無いよりはあった方がよいかなぐらいの感じです。

どの製品も落雷による被害から確実に機器を守ることは不可能だと思うので、やはり雷が近付いてきたときは、早めにコンセントから電源を抜くのが一番かなと思います。


ネット常時接続時代のローカルデータ保護

デジタルクリエイターの場合、パソコン、カメラ、ペンタブなど、業種によってツールは異なりますが、最終的にデータが格納される先はパソコンや外部ストレージ。ハードウェアは壊れても買い戻せますが、問題はデータ。

デジタルデータのローカルでの置き場はHDDかSSDになると思いますが、使い分けとしては、ざっくりと速度重視のSSD、容量やコスパならHDDという感じではないでしょうか。

大容量データの保存先は「個人か組織か」「パソコンは何台か」などによって変わってくると思いますが、組織、または複数台パソコン利用のいずれかに該当する場合、NAS(Network Attached Storage)を選ばれている方も多いかもしれません。

NASは機種によっては複数ドライブを搭載でき、OSの異なる複数のパソコンからでもアクセスできるので、組織でパソコンの台数が多い場合にも使い勝手はよいと思います。個人や小規模組織向けとしては、QNAPやSynologyがよく聞くブランドです。

私はMacとWindowsを使っていて、両者からアクセスしやすくするためにQNAPのNASを導入しましたが、やめてしまいました。理由は次のとおり。

  • Mac・Windows間でのファイル共有に不具合があった

  • NASの管理負荷が高かった

  • ネットとの常時接続が必要だった

Windowsからは見えるけど、Mac側からは見えないファイルがありました。サポートは頑張ってくれましたが、解決には至らず。ただNASをやめたのは、他2つの理由が大きかったです。

QNAPのNASには独自OSが入っており、様々なアプリをインストールすることで機能拡張できますが、OSもアプリもアップデート頻度が高く、複数パソコンでファイル共有するためだけに、このような手間がかかることに大きなストレスを感じました。

ネットとの常時接続は外部からリモートアクセスが必要な人には便利ですが、私には不要で、逆にリスクを感じました。冒頭でお話したクリエイターの方はNASをランサムウェアにやられたとのことで、やはりこういうことはあるんだなと。

現在はWindowsデスクトップにNASで使っていたディスクを接続し、Macからマウントして使っています。Windowsマシンは利用時のみ起動しますが、使っているときはネットと常時接続になるので、その点はNASと同じです(OSやセキュリティソフトの違いはありますが)。

現在は様々なソフトがネット経由での認証を必要としていますし、顧客とのやり取りや調べ物など、ネットとの常時接続は避けられず、ローカルで扱うデータもネットの影響を受けます。そう考えると、ローカル環境を保護するためには、やはりハードウェアFirewallを使うなり、適切なネットワーク設定を行うなりして、セキュリティを固める必要がありそうです。


大容量データのバックアップ保管先

クラウドストレージはGoogleだと2TBで年間13,000円(2022年11月現在)、他社も似たような価格ですが、2TBを超えるとコスパは悪くなります。進行中のプロジェクトに関しては万が一のことを考えて、クラウドへのバックアップはありですが、終了した案件のデータを寝かすためだけにクラウドに年間数万、数十万とかけるのは割に合いません。

大容量データの保存メディアとしては、HDDの他にテープドライブが使われています。LTO(Linear Tape Open)が、新しい規格のようです。LTOには、長期保存、大容量、低コスト、省スペースなどのメリットがある反面、ランダムアクセスできないことや、数量が増えると管理が煩雑になるというデメリットがあります。

どのメディアを使うにしても、物理的な保管場所が重要になりますが、BCPの観点から考えると、同じ場所にすべてを置くのは消失リスクがあり、推奨されません。バックアップは、遠隔地保管が適切です。個人なら(遠方という前提で)実家に保管するのという選択肢もありかもしれません。

ただ地震や火事など、リスクがなくなるわけではないし、できればクラウド保存したいという場合、Amazon S3 Glacier(以下、Glacier) が、私が知る限りもっとも安価なソリューションです。Glacierの特徴は次のとおり。

  • データアーカイブ専用に設計

  • 事実上無制限のスケーラビリティ

  • データの耐久性は 99.999999999% (11 ナイン)

11ナインの耐久性は、Publickeyの記事によると「Amazon S3に1万個のオブジェクトを保存したとして、そのうちの1つが障害によって失われるのに平均で1000万年ほどかかるレベル。」とのこと。

またAWS(Amazon Web Service)には世界中の「データセンタ(リージョン)を選べる」という驚くべき機能があり、S3の場合はアメリカ(複数箇所)、アフリカ(ケープタウン)、日本、欧州、中東など、世界各国のデータセンタの中から選べるため、BCP的には完璧。

気になる料金は「S3 Glacier Deep Archive(1 年に 1〜2 回アクセスされ、12 時間以内に復元できる長期のデータアーカイブの場合)」なら、月額 0.00099USD/GB(1ドル140円換算で、月0.1386円)なので、1TB/月で138.6円/月、100TBでも13,860円/月です。ただし、別途データ転送量などに応じて費用が発生します。日本のサーバサービスは固定料金が基本ですが、AWS(Amazon Web Service)は従量課金なんですよね。

Amazon S3は使ったことがなく、実用性が不明なため、利用を検討する際は、必ず要求に合うかどうかを確認してください。


なぜ大容量データのバックアップが必要なのか

バックアップのうち、もっとも容量が大きいのは過去の案件データではないでしょうか。そのデータをバックアップする理由は、再利用することがあるからと推察します(実際のところはどうなんでしょう?)。

顧客側の立場で考えると「3年前のXXX案件のデータを修正して作ってください」などと依頼できるなら話が早いです。ただ受ける側としてはいつ何時必要になるのかわからないデータを無期限に保管し続けるというのは大変な負荷になります。

もしもこういうことがあるのなら「過去データの管理責任を負わない」ことによって、バックアップ対象のデータ容量はかなり削減できるのではないでしょうか。

基本としては納品時に顧客に対して元データも渡すとか、保管期限を決めるとか、きちんとした取り決めを行っておくとよいのかなと。納品対象は成果物であって、ノウハウが詰まった元データは渡せないという場合でも、データの扱いを明文化しておくとすっきりしそうな気がします。


クリーンインストールはデータ復旧の訓練になる

私はmacOSのメジャーバージョンアップを行うときは、クリーンインストールを行うようにしています。メリットは次のとおりです。

  • システムがクリーンになり、動作が安定する

  • ストレージの空き容量が増える

  • 非常時のシステム再構築の練習になる

長い間パソコンを使っていると、可視化されていない不要なファイルがたまって誤動作の原因になります。そのようなファイルを削除するソフトもありますが、クリーンインストールに勝るものはありません。余計なものが無くなれば、システムの動作は安定するし、ストレージの空き容量も増えます。

クリーンインストールを行うときは、必ず再インストールするソフトを確認するため、使っているソフトの棚卸しにもなり、非常時のシステム復旧訓練にもなります。

Apple製品は、MacもiPhoneも元の端末から新しい端末へとデータを引き継ぐ機能がありますが、上記に挙げた理由からクリーンインストールすることのメリットは多いです。

WindowsではMacのように毎年OSがメジャーバージョンアップするわけでもなく、不慣れなこともあってクリーンインストールは行ったことがありません。現在使っているのはWindows 10ですが、2025年10月14日がサポート期限のようなので、行うとしたらそのときかなと思いますが、この機会にインストールされているソフトの確認は行い、ダウンロード先などをまとめておこうと思います。


Macは復旧しやすく、紛失や盗難対策にもなる

Macは標準のバックアップ機能が優れており、機器故障になったときも迅速に原状復帰可能で、設定も簡単です。システム丸ごとバックアップ可能なので、Mac本体が壊れたときもバックアップの外部ディスクを新しい本体に接続すれば、元に戻せます。

また「Find My」という端末追跡システムにより、Macを紛失したり、盗まれたりした場合も位置情報がわかるようになっているなど、物理的なセキュリティ対策にもなります。

3DCGのようにWindowsの優位性が高い場合、これを理由にMacを勧めることはできませんが、どちらでもよいということならMacがお勧めです。私はApple信者なので、バイアスがかかった情報だということはご承知おきください(笑)


まとめ

色々書きましたが、まとめるとこんな感じです。まだまだ考えるべきことはありそうですが、いま思いつく限りではこんなところかな。

  • ネットは安全ではない

  • サイバー犯罪について知っておく

  • セキュリティの基本を踏まえる(改めて見直す)

  • ネットワークの安全性を高めるならハードウェアFirewall

  • BCP(事業継続計画)を考える

  • 雷サージ対策は電源を抜くのが確実

  • ローカルデータのためにはサイバーセキュリティを強固に

  • 大容量データのバックアップは遠隔地保存が基本

  • 業務データのバックアップは責任を明確にする

  • クリーンインストールはデータ復旧の訓練になる

  • Macはいいぞ

書きながら自分自身できていないBCPについては、真剣に考えようと思ってます。あとネットワークのセキュリティについて考えてなかったけど、もっと固めないといけない気がしてきました。

本記事がサイバー&物理セキュリティ対策を考えるきっかけになったなら、幸いでございます。Firewalla Purple、どうしようか迷う… 

いいなと思ったら応援しよう!

いわい ともひさ
最後までお読みいただきありがとうございます! TwitterではCG方面のつぶやきが多めです。 https://twitter.com/Iwai ダンボールアートの主な作品はこちらでご覧いただけます〜 https://iwaimotors.com