プライベートセキュリティ強化月間の活動をしました

セキュリティ

ただ「強化月間」と言ってみたかっただけで、特にタイトルのような名称の月間はありません。

目次 📝

はじめに 🏃

私は会員制のサイトにログインするとき、あらかじめGoogle アカウントに保存されたIDとパスワードを用いてログインしています。最近になって、このGoogleアカウントに「パスワードチェックアップ」という機能があることを知りました。どのような機能かといいますと、「保存されているパスワードが安全かどうか調べてくれる」というものです。これを使ってみた結果、危険なパスワードがたくさんあることを発見してしまいました。それがこちらです。

f:id:nexem:20211001192940p:plain
パスワードチェックアップを実行した結果

www.itmedia.co.jp

上の画像※1ですが、元々危ないパスワードが倍ぐらいあり、頑張って減らした結果の画像です。 どのぐらいあったのかというと、

  • 使いまわしているパスワードが250件
  • 脆弱なパスワードを使用しているアカウントが50件

という悲惨な数がありました。なので、一つ一つを複雑なパスワードに変更し、およそ半分程度に減らしたということです。

また、全く使っていないアカウントもあったので、こうしたものはパスワードを変更したうえで退会しました。※2

このように、頑張ってセキュリティリスクを減らしたわけですが、実はこうしたことを今まで定期的に行ったことがありませんでした。先ほど載せた画像の通り、まだ危険なアカウントが残っていることもあり、これから定期的にこういうことをやっていこうと決めました。

なので、今回の記事では「今後やろうとしているプライベートのセキュリティ対策」を4つ紹介していこうと思います。

※1「漏洩した可能性のあるパスワード」とありますが、これはローカル内でのみ使っていたパスワードがなぜか漏洩と判断されていたものなので、無視しています。

※2(パスワードを平文で保存していて、退会後もDB上に残しておくサイトがある可能性もあるので...

プライベートのセキュリティ対策 🔐

危険なパスワードの修正

先ほど書いたものですね。基本的にはパスワードチェックアップを実行して、警告が出ない状態に持っていこうと思ってます。 使うパスワードに関しては、自分で考えて登録するのではなく、Googleの自動生成で生成されたものを登録しようと思っています。自分で考えるより楽だし、強固なパスワードを生成してくれるからです。

support.google.com

使っていない会員サイトの退会

使っていない会員サイトをそのままにしておくと、

  • メールボックスが埋まる
  • パスワード管理のコストが増える
  • 万が一、情報漏洩が起こった際のリスクを無償で背負う

というよくない状態になるんですよね。なので、1年ー2年以上使ってないようなサイトは積極的に退会していきたいと思います。メールボックスから過去に登録したサイトを探したり、Google アカウントに保存されている会員情報から、使っていないサイトをあぶりだしていきます。

連携アプリの棚卸し

最近はGoogleアカウントやTwitterアカウントと連携して使うサービスが増えました。一回認証するとそのあと権限を見直したりってなかなかしないですよね。しかし、改めて見直すと思った以上の権限をサービスに渡している場合があります。特にTwitterは、読み込み・書き込みだけではなく、DMの読み取り権限を渡してるケースがありました。 使っているサービスならともかく、もう使ってないサービスならその権限を渡しておくのはリスクでしかない..ということで、使ってないサービスの認証解除も行っていこうと思います。

help.twitter.com

support.google.com

認証方法の見直し

認証方法の見直しについてですが、これは主に2つやりたいと思います。

  • 2段階認証を設定する
  • 「秘密の質問」の設定を見直す

2段階認証に関しては、設定できるサイトに関しては必ず設定するようにしたいと思います。

主にパスワードを忘れてしまったときに用いる「秘密の質問」ですが、こちらはなるべく使わないか、設定が必須であれば、推測しにくい答えを設定しようと思います。以前から秘密の質問はセキュリティ上のリスクがあることを指摘されており、最近ではYahoo!が秘密の質問を廃止したことが話題になっていました。

id.yahoo.co.jp

具体的にどう危険なのか?というのは、NTTデータさんの記事が実際にあった事例を出して紹介されていたので、共有しておきます。

www.nttdata.com

さいごに 🙏

今回はこれからやろうと思っているセキュリティ対策を紹介させていただきました。

個人のセキュリティ対策は、単にセキュリティリスクを減らせるというだけでも良いことなのですが、意識する習慣をつけることによって、「最悪の場合、こういうことが起こる可能性がある」という心構えができるようになると思います。例えばTwitterの連携アプリなんか、意識しなければ放置しがちですが、意識するようになれば「最悪の場合、DMの内容をインターネット上にばらまかれる可能性がある」ということを意識できます。起こる確率は低いかもしれませんが、0%じゃない。そう考えると、「もしそれ起こった場合に何をするべきか?」というところまで考えれるようになると思います。日常的にセキュリティを意識することによって、万が一のことが起こった時でも、冷静に対処できるようになるのではないでしょうか。

そして、実はこれ以外にもSNSのセキュリティを保つために定期的にやっていることがあるのですが、それはまた別の記事で書こうと思います。ここまでお読みいただき、ありがとうございました🙏

情報提供求む

Google アカウントの連携アプリを確認しているときに、「web-auth-prod」という謎の連携アプリを発見したのですが、正体がわかる人がいたら教えていただきたいです!検索しても出てこず... f:id:nexem:20211003021625p:plain

書いた人

twitter.com