【意見交換】みなさんのセキュリティ対策について【情報共有】

1. Shirouto :

百家争鳴大歓迎!!
昨今のセキュリティについての時論
自分のPCのセキュリティ対策の持論
普段参考にしているセキュリティ情報サイトなど
議論・討論・意見交換・情報共有どんどんしましょう!

2. Shirouto :

■ノートンブログ
https://japan.norton.com/

セキュリティの基本的な事が簡単にわかりやすくまとめられています。更新頻度は月に2回ほどです。
セキュリティベンダーのサイトの報告書を読むのが面倒な方は是非アクセスしてみてください。

3. カプラテ :

セキュリティとは少しズレるかも知れませんが
ttp://freesoft.tvbok.com/
こちらのWindowsUpdateで起こる不具合を、個人サイトになりますがよく見に行っています。
以前は動画エンコードの解説サイトで大変参考になりましたが、
今はこういったエンドユーザーの身近な立場からの、トラブル解決に力を入れた記事になっているようです。

4. owl :

「踏み台」リスクや「セキュリティ意識」のユーザー実情が嘆かわしいほどに深刻なので、とても有意義なスレッドですね。
・ Win10 に備わる「Windows フィードバック」や freesoft100「ソフトウェアレビュー」には、「迷える子羊」や「ビギナー」の存在が露わになり、その実情(歪なピラミッド型:底辺層の多さ)に驚かされたものです。
・テクノロジーが急進化し、魅力的なハイテク商品が多種多様に登場し、値頃で、手軽化しています。
・家電化したハイテクは、存在が身近になりましたが、ユーザー側の見識ぶりは旧態依然で、「便利さ」と相反関係の留意すべき「リスク」と「対処法」には無頓着で、リスク拡散の深刻化が増大しています。
・公共的なサイバーセキュリティの観点からも「踏み台」ユーザーが生み出されることは大問題です。「ユーザーの意識改革」を進める必要性を痛感しています。
◆そのためにも不特定多数を対象とした「見たくなる/参考になる/参加できる」フォーラム(公共の場)の存在が重要です。
◇フォーラムが、エキスパートユーザーの同好会と化し、近寄りがたい存在にならないように、「ビギナーの観点」に重きを置きながら充実させたいものです。大いに「フリートーク」を楽しみ、手を携えていきたいものです。

>>2 >■ノートンブログ
https://japan.norton.com/
◆確かに、良くまとまっていますね!
さすがに、Security ベンダーの巨人「Symantec 社」ならではのブログ。感心しました。
「Norton」のユーザーだったが、このブログの存在を知りませんでした。“灯台下暗し”でした。
◇このブログの購読で、「イロハ」も「ホヘト」も押さえられますね。
ビギナーはもとより、エキスパートユーザーもおさらいに好適です。
◇早速、(ノートンブログ)PCセキュリティを「FeedDemon」に登録しました。
因みに、「FeedDemon」登録のセキュリティ関連サイトは、
● EFF's Deeplinks(https://www.eff.org/rss/updates.xml)
● CNET Japan 最新情報 総合(http://feeds.japan.cnet.com/rss/cnet/all.rdf)
● ITmedia News(http://rss.rssad.jp/rss/itmnews/2.0/news_security.xml)
● OSDN Magazine security(https://mag.osdn.jp/security/rss)
●スラド: セキュリティ(http://security.srad.jp/)
●窓の杜(http://rss.rssad.jp/rss/forest/rss.xml)
● Microsoft TechNet(日本のセキュリティチーム)https://blogs.technet.microsoft.com/jpsecurity
です。
★みなさんは、何を参考に(購読)しているのでしょうか?

1、ブラウザにおける「問題と対策」として
◇ Surveillance Self-Defense(https://ssd.eff.org/en)
◇ HTTPS Everywhere | Electronic Frontier Foundation(https://www.eff.org/https-everywhere)
◇ Privacy Badger | Electronic Frontier Foundation(https://www.eff.org/privacybadger)
◇ Panopticlick(https://panopticlick.eff.org/)
の通読(英語)をお薦めします。

2、「パスワード」管理について(提言)
◇各種調査で判明している「驚愕の実情」ですが、日本人のユーザーで、パスワードマネージャーを使用している人は「稀」な存在です。セキュリティ対策上の初歩ですが、無頓着すぎます。この実情からもサイバーセキュリティの脆弱性(誰もが「踏み台」リスク)は、深刻です。
◇先ずは何よりも、パスワードの類は、パスワードマネージャー(※)で「一元管理」すべきです。
◇ブラウザにパスワードを格納(保存)することは、リスクを生みます。パスワードマネージャーの活用をすべきです。
※一押しは「KeePass Password Safe」です。最強度の「AES and Twofish」準拠。十二分に高度な機能が備わっているので、使いこなすほどに素晴らしさに感嘆します。拡張機能(Plugins and Extensions)も充実しています。特筆すべきは「パスワード生成オプション」で、生成できる文字数は、30,000を上限に任意設定でき、文字種もANSI文字(キリル文字など)を組み合わせられます。およそ、手入力が不可能な天文学的なセキュア(安全)度です。etc。

お断り:日常の生活と家族や友人との直接的な「現実世界」を優先しています。いわゆるアナログチックな「スローライフ」です。そのため「SNS」とは距離を置き、「バーチャルリアリティ」との関わり方も平日(火)~(木)の夜間、数時間程度に限定しています。このため、応答が遅くなりますことをご容赦ください。

5. サンセット :

360 Total Security で一括管理!

6. owl :

◆セキュリティソフトに「パスワードマネージャー機能」が備わっているものがあります。
しかし、セキュリティソフトには特別な「権限」が付与されているので、厳重な機密性が求められるパスワードマネージャー機能をセキュリティソフトに委ねることは、「漏洩」などの重大な懸念があると考えます。

●オンラインでのパスワードマネージャーについて
「LastPass」は、オンラインによるセキュア(安全)な「vault(保管庫)」で管理されることが謳われたパスワードマネージャーです。米国製ですが、多言語化が成され、機能も充実しているので、世界的に人気があります。
しかし、その看板の「vault」が、昨年(Tue, 16 Jun 2015 03:37:29 +0000 )と一昨年の2度もハッキング被害に遭ったことを LastPass は認知(※)しました。しかし LastPass に限らず、クラウドやオンラインサービスには、同様な「リスク」が顕在しています。
※ユーザー登録者宛に、所定の「e-mail」で事実を公表し、パスワードの早急なリセットを求めた。

● Dashlane(仏)> LastPass(米)> KeePass Password Safe(独)と変遷しました。
これらの経験と考察から「パスワードマネージャー」については、
①他のアプリケーションから「独立した」
②「単独で」機能するのものを
③非 Wi-Fi、「オフラインで」
④デバイスに「直結し」
⑤各種の合理的な「ストレージで」管理する
ことが最善と考えます。
便利さとリスクは、相反関係です。目的に応じて(安全第一)、手段を選択すべきとの見解です。

7. owl :

「セキュリティ対策」についての見解
~“ソフトウエアレビュー/フォーラムでの見解” を再編集しました~

(はじめに)
SNS や動画、音楽などの利用は極めて限定的で、オフラインによる資産管理と JPEG 管理(2TB 強)が主たる用途です。
そのため、「プライバシー保護」の徹底対策を重要視しています。
先ず、前提として「ユーザー本位」>完全なる「情報公開」>「プライバシーポリシー」の完全履行が、担保されるべき。との基本的価値観です。知見上、そのことに対しては、こだわっています。
◇「セキュリティ」論には、百家争鳴の見解があるので、吟味し、試行錯誤し、取捨選択の繰り返しです。イタチごっこで、モグラ叩きの様相で、尽きることのない「結論の無き問題」です。
◇セキュリティに「正解」は無く、とどのつまりは、ユーザーの価値観次第であり、実情に問題がなければ「良し」ということでしょうか。(笑)

【1】セキュリティの基本について(私見)
◆セキュリティの基本は、
①防止
②検出
③対応(除去)です。
◇「防止」対策は、セキュリティソフトだけでは(理論上)不可能です。「検出」と「対応」には強みがありますが、“過信は禁物” です。
一般論ですが、フリーソフト系は「既知」の対策ならば十分ですが、「未知」のものはメジャーな有償ものが秀でているようです。数年前、イスラエルがイランの「核」濃縮施設にサイバー攻撃を実行した事件は有名ですが、その秘密裏の攻撃を検出できたのは、唯一「Symantec」社です。Symantec、McAfee、Kaspersky は、全世界のトラフィック監視システムに注力しています。「強み」を活かした相互補完の「組み合わせ」が必要と思われます。
◇ランサムウェア対策も大切ですね。BitDefender AntiRansomware を使用していますが、Malwarebytes Anti-Ransomware(β版)も良さそうです。「共存」も出来るようです。

「防止」対策の観点(原則)は、「地雷原」に立ち入らないことです。不審なサイトや怪しいトラフィックに関わらないための対策手段が「根本」だと考えます。
>【2】ブラウザのセキュリティについて
>「DNS サーバー」を Comodo Secure DNS に変更(ホストサーバーがアメリカに所在するため、応答性は低下します)し、検索エンジンを「DuckDuckGo」に限ることも効果大です。
◇以上の対策を行った場合には、不審・不明のサイトへのアクセスが制限されるので、「可/否」を任意判断できます。


【2】ブラウザのセキュリティについて
◆ブラウザにおける「問題と対策」として
◇ Surveillance Self-Defense(https://ssd.eff.org/en)
◇ HTTPS Everywhere | Electronic Frontier Foundation(https://www.eff.org/https-everywhere)
◇ Privacy Badger | Electronic Frontier Foundation(https://www.eff.org/privacybadger)
◇ Panopticlick(https://panopticlick.eff.org/)
の通読(英語)をお薦めします。

◆「Firefox」及び「その fork 版」のアドオン(拡張機能)を事例に
①通信の安全管理対策:HTTPS Everywhere/CipherFox/WorldIP/Flagfox
②接続時の応答性向上とリスク対策(スクリプト制御):QuickJava(default 設定> Cookie 以外を全て「off」にして使用しています)
③接続先の詳細管理(個別制御):NoScript
④クロスサイトスクリプティング対策:RequestPolicy
⑤(URL)クリック時のリスク対策:URL Tooltip
⑥不同意の Tracking は「拒否」し、「切断」>「迂回」しています。そのための対策:Disconnect/Google Disconnect(※1)/Google search link fix(※2)/Clean Links
⑦ Cookies 対策:Cookie Monster/Privacy Badger/Self-Destructing Cookies/BetterPrivacy(※3)
⑧個人情報漏洩対策:Decentraleyes/Random Agent Spoofer/Change Referer Button
⑨万が一の「Hacking」被害に備えて:Do Not Save Password
●その他、お薦めできるアドオン
○ Fox Web Security:web のセキュア対策で著名な DNS サーバー(Yandex.DNS: https://dns.yandex.com/ (Security + Family)/OpenDNS : https://www.opendns.com/ (Family Shield)/Comodo Secure DNS : https://www.comodo.com/secure-dns/ (Security + Pornography)の情報に基づいて、危険なサイトやアダルトコンテンツへのアクセスを制限します。 Whitelist/Blacklist を任意登録でき、登録ドメイン名には、 *(アスタリスク)を使えます。
○ Lightbeam for Firefox:(サイト)訪問先に関わる接続状況を可視化できます。
○ RefControl:Change Referer Button と同様の機能ですが、「ブラックリスト/ホワイトリスト」で個別管理(有効/無効)ができます。
◇ユーザーの価値観は、十人十色です。吟味し、試行錯誤し、取捨選択して、ユーザー本人の最良の選択を探ってみて下さい。

(※1)Google ウィジェットを含むウェブサイトから Google サーバーへのトラフィックをブロックする機能。リクエストを検出するとロケーションバーにアイコンが表示される。そのアイコンをクリックし制御(赤:ブロック/黒:ブロック解除)する。Adblock Plus などの他のフィルタリングアドオンとの併用が出来るが、Google Disconnect を使用する場合は他のフィルタリングアドオンをアンインストールしてからの再インストールが必要です(他に先駆けて、最初に「Google Disconnect」を実装する必要があります)
(※2)Google と Yandex の迂回機能
(※3)LSO や Flash-cookie として知られている扱いにくい種類のクッキーを制御します。default 機能では、ブラウザを閉じる際に、Flash-cookie(LSO)を完全削除実行の「可/否」確認ポップアップ通知が出現します)
「Flash-cookie」について (topic: UC Berkeley research report)
http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/
Wikipedia LSO information:http://en.wikipedia.org/wiki/Local_Shared_Object

◆「Security 対策」や「AdBlock」の類は、リソースを必要とし、ブラウザの安定性に影響を及ぼすので、取捨選択し、厳選すべきでしょう。

◆プライバシー保護のアドオンで著名な「WOT」と「Ghostery」については、従前から「黒い疑惑」がつきまとっています。
『実際には、利用者の個人情報を非匿名状態のままでも第三者に販売している』と。両当事者とも「事実無根」と HP で表明していますが、漏洩証拠は明らかです。未だに明確な回答は無く、疑念は払拭されていません。要注意のアドオンです。
1. WOT-Web of Trust
- http://www.ghacks.net/2016/11/01/browsing-history-sold/ (english)
2. Ghostery
- http://www.businessinsider.com/evidon-sells-ghostery-data-to-advertisers-2013-6?IR=T (english)

>確認くん+
http://cgi.b4iine.net/env/
◆ブラウザの「実情」を確認できます。ぜひ「テストされる」ことをお勧めします!

>「Tor Browser」
◆プライバシー保護(不同意の個人情報収集の拒否)を目的とする手段として、「Tor Browser」を二年ほど前に、一時期、試用したことがあります。
その後、デバイス(PC、他の補機類)全体をカバーリングするシステムを構築したので、ノーマルなブラウザ(Firefox>CyberFox>Pale Moon)に回帰しました。そのため、現状の「Tor(トーア)」は不明です。
◇「Tor Browser」は、U.S.Navy が実用化したと謂われていますが、その生い立ちの特殊性や、(お手軽な家電感覚で簡単便利を優先しがちな)日本の庶民感覚由縁か、日本での認知度は限定的(一般人には、ゼロ同然)なブラウザです。
しかし、優れた「手段」であることは、警察庁や FBI、中国の動向からも明らかで(捜査困難なため、Tor 規制要請を働き掛けている)、公安・諜報機関や軍は「Tor ネットワーク」への対抗策と監視に躍起になっています。そのため、安直に「Tor」を使用すれば、それらの監視機関に「要注意人物」としてマークされかねません。正しい認識の下で、使用法にも細心の注意が必要です。

「Tor ネットワーク」と「Tor ブラウザ」について
「基本的人権の尊重」>個人のプライバシー保護を目的に、Torproject.org(米国)が公開しているプロジェクトです。その趣旨に賛同するボランティア運営のサーバー間を一連の仮想トンネルを介して接続することで、効果的なプライバシー保護(匿名化)を実現できるシステムです。ブラウザは(オープンソースプロジェクトで公開されている>ソースコードに不正が介在しないものとして)「Firefox-ESR」を転用したものです。そのため、使用法もリスクも「Firefox」と表裏一体の関係です。
◇「Tor」はトラフィックの発信元を匿名化し、Tor ネットワーク内のすべてを暗号化しますが、Tor ネットワークとその最終宛先の間のトラフィックは暗号化できません。 機密情報をやりとりする場合は、HTTPS やその他のエンドツーエンドの暗号化と認証を使用する必要があります。
◇ブラウザの実効性を高めるため、アドオン「HTTPS-Everywhere」と「NoScript」が実装されています。他方、プラグインの Shockwave Flash (Adobe Flash Player) などは使用不可になります。その他、制限事項や使用上の留意事項が多々あります。
◇国際間の複数の「Tor サーバー」を経由させ、接続中も頻繁に、サーバーを「スイッチング」させるので、伝送時差が掛かり、接続応答待ちなども生じるので、十数秒から数分もの所要時間が掛かることが常です。
◇公式 HP:https://www.torproject.org/projects/torbrowser.html.en
Tor: Overview(https://www.torproject.org/about/overview.html.en)

◆ブラウザの「セキュリティ」について
古今東西、万物に「完全無欠」のものは存在しません。これは宇宙創生以来からの「永遠不変の真理」です。
つまり、物事にはリスクが表裏一体です。そのリスクを正しく認知し、対処法を学びながら利用することは、必要不可欠なのです。ブラウザの所為にしてはいけません。有効(安全)/無効(危険)は、ユーザー次第です。
◇因みに、CIA、U.S.Navy は、「Tor」を常用してます。


【3】プライバシー(個人情報)問題について
◆この問題は「深層」理解が必要になるので、問題提起に留めます。
◇経歴と私生活、個人の身体的特徴などの「Profile(※)」が、統計学的に分析可能で、必要以上に収集されています。
NSA(アメリカ国家安全保障局)は、これらのデータを(身分、国籍を問わずに)無差別に収集しており、Google や Microsoft、Facebook、Amazon にも強要し、秘密裏に収集されています。この事実は、スノーデン氏が「暴露」し、世界に衝撃を与えたが、その真相については「Electronic Frontier Foundation(EFF)」の会報(https://www.eff.org/ )に詳しい。
◇仮に、徴兵での召集逃れは出来ず、暗殺も容易です。その上、これらのデータを活用すれば「本人なりすまし」も技術的に容易です。
◇一方、ビッグデータビジネスとしても不当に売買され、闇ルートでも売買(流通、拡散)されています。
◇深刻な問題は、収集されてしまった(流出した)「プライバシー」は、回収不可能な事です。

※出生時からの経歴/病歴/賞罰/家族、親族、交友状況/収支状況/生活実態(終日/年間の動向と傾向)/嗜好/価値観/性格/顔つき/声/指紋/etc


【その他】
「P2P」と「IoT」の問題点について(警告)
◇「踏み台」リスクや「セキュリティ意識」のユーザー実情が深刻です。そのため、WebRTC ピア接続などの「P2P」は危険で、「IoT」も同様なリスクをはらんでいます。
特に「IoT」機器は、“バス(商機)に乗り遅れるな”と製品の公開・販売が最優先されており、コストが掛かる Security 対策は、二の次三の次、無視、同然です。アメリカでは、ホームセキュリティシステムのハッキング被害が多発しており、日本でも「Webカメラ」「NAS(Network Attached Storage)」「ルーター」「コピー/複合機」「プリンター」「デジタルテレビ/AV 機器」「ゲーム機」「制御機器」「センサー機器」「ウェアラブルデバイス」の被害が増加しています。
◇「リスクと対処法」に無知のまま、安直に利用すれば、実害を受けるだけではなく、犯罪行為に加担(踏み台)しかねず、国際的に問題視されています。


【付記】
◇ユーザーの価値観は、十人十色です。ユーザー本人が、試行錯誤し、最良の選択を探るべきでしょう。
◇他者の見解は、所詮、その人(立場で)の「主観」です。えてして、誤解、偏見、誇張が織り込まれがちです。どのような情報でも「盲信」してはいけません。「出典」と「合理性」に注意し、自身の「判断力」で、「取捨選択」すべきです。
◇しかし、「助言」に限らず、「異論」も傾聴すべきでしょう。思いも寄らない「見聞」が広がり、知見を練磨できるでしょう。
◇最終的な採用権は「あなたに」あります。情報元(他者)の所為にしてはいけません!
◇この考え方が、人生における「経験則」です。


追記:「Google アカウント」について
◆デバイス(PC、補機類)に、特殊なシステム構成(多重 VPN、Tracking 対策など)を施しているため、「Google アカウント」が認証不能(不明・不審なトラフィックと判定され、拒否される)になり、ログイン不能です。
◇発信元、位置情報、ログイン機器などの「UserAgent」などを基にした本人認証(不正監視)が名目ですが、実態は、徹底的な個人情報の収集です。
◇問題は、公権力におもねり、売買益を優先し、これらが「秘密裏」に「過剰」に収集されていることであり、しかも重大な「プライバシーポリシー」違反です。(スノーデン氏の証言/「EFF」の調査報告)
Google は、Google Earth Pro が重宝していたが、諸事情を考慮し、ログインせずに利用できる範囲にとどめています。