2021/03/03
以下が基本的なセキュリティの心得です。
目次
【基本事項】
100%のセキュリティは存在しない
IT業界において100%安全というセキュリティ対策は存在しません。
例えネットワークから完全に孤立したスタンドアロン型のPCやシステムであっても、物理的な盗難や盗聴・盗撮、ヒューマンエラー(ミス・誤操作)によるデータ紛失など常に情報はリスクに曝されています。
セキュリティ対策とは限りなく100%に近づける行為であって100%安心安全の対策というものは存在しないのです。
これは基本事項なので心得ておきましょう。
ネットに繋げるという事はいつ情報が漏れてもおかしくないという事
デバイス(PC、スマホ)をネットに繋げるという行為は、それだけで一気に情報漏洩のリスクを急上昇させます。
極論を言えばネットに繋げた瞬間に全てのデータはいつ盗まれてもおかしくないという事です。
大事な情報を管理する際は常に物理的なオフライン状態を維持し、どうしてもネットに繋げなければならないときは極力オンラインの時間を短縮するか、ネットに繋ぐ専用の他のデバイス(オンライン用PC)を用意しましょう。
基本はコールドウォレット
仮想通貨を保管する場合は原則的にコールドウォレットにて保管しましょう。
販売所や取引所は「購入・取引」をする所であって保管する所ではないという認識を持ちましょう。
ハードウェアウォレット、ペーパーウォレット、完全オフライン用PC等を利用しネットから遮断した状態で保管するのは大原則です。
【専用PCについて】
専用のPCを用意する
日常生活で利用しているPCはWEBの閲覧やメール受信等により一体どれだけの危険なウィルスやマルウェア・スパイウェアが仕込まれているかわかりません。
そのようなPCで大事な情報を管理するのはリスクを一気に増大させます。
仮想通貨のトレードを行う際には専用のPCを用意しましょう。出来ればオンライン用の仮想通貨取引専用PC、オフライン用PCの2台構成が望ましいです。
専用PCには不要なアプリは入れない
PCでもスマホでもアプリはどのような脆弱性があるかわかりません。信頼できるといわれているアプリでも発見されていない情弱性が存在するとの前提に立ち、不要なアプリはインストールしない事がセキュリティ向上につながります。
Windows10以降、最近ではアンチウィルスソフトでさえも不要という風潮も出てきています。
ブラウザはシークレットウィンドウ(プライベートウィンドウ)で
プラウザを利用する際には「シークレットウィンドウ(プライベートウィンドウ)」で行う事を習慣づけましょう。これは仮想通貨取引だけではなくネットバンクや個人情報を入力するサイトを利用する際には必須です。
ブラウザにアドオンは入れない
ブラウザには沢山のアドオンがありインストールすることで利便性が高まりますが、悪意のあるアドオンやブラウザの情報をバックグラウンドで送信するアドオンもあります。アドオンは全て削除しましょう。
WiFiは使わない(デバイスを無効にする)または(物理的にワイヤレスネットワークアダプタを外す)
Wifiというのは常に周りに情報をばら撒いています。たとえ暗号化された通信でも過去に何度もセキュリティの脆弱性が発見されています。セキュリティを高めるならWiFiの利用はやめて有線にて接続しましょう。
よくありがちなミスとしては、ネットに繋がないオフライン専用のノートパソコンを用意したが、WiFiが有効になっているというミスです。オフラインPCではWiFiのデバイス自体を無効にするか、物理的にワイヤレスネットワークアダプタを外しましょう。
BluetoothもOFF
BluetoothもWiFiと同様にデバイスを無効にするか物理的にアダプタを外しましょう。
【周辺機器等】
プリンターはUSB接続で
ペーパーウォレットを印刷する際はUSBケーブルでプリンターを接続しましょう。出来れば印刷用の格安プリンターを購入してそれ以外の用途では利用しないようにしましょう。
スマホのカメラに注意
高度なセキュリティが求められる環境ではスマホ自体の持ち込みが禁止されるケースがあります。これはスマホによる盗聴・盗撮を防ぐ為ですが、たとえ合意の下で録音・録画を行った場合でもスマホ内にあるデータが漏洩するリスクがあるためです。
更にスマホのマイクやカメラを外部から遠隔操作するアプリ等も存在します。スマホのカメラはシールを張って物理的に塞ぎましょう。
なお、仮想通貨でプライベートキーやシークレットキーをスマホのカメラで撮影したりするのは絶対にご法度です。
スマホの中にあるデータは漏洩するという前提で自己防衛しましょう。
USBは新しく買う
USBを利用してオンラインPCとオフラインPCでデータの移動を行う事があります。その際にはUSBメモリを新しく購入し、それ以外の用途では利用しないようにしましょう。
【サイトでの認証に関して】
パスワードは最低でも30文字以上(全角・半角・数字・記号)で
取引業者等のパスワードは最低でも30文字以上を設定しましょう。その際に全角・半角・数字・記号を全て使う事も忘れずに。
パスワードの使いまわしは論外です。サイトごとに完全にランダムなパスワードを利用しましょう。
二段階認証は必須(SMSではなくアプリで)
二段階認証は必須です。「Google 認証システム」や「IIJ Smart Key」、「Authy」等を利用しましょう。
これはインターネット全般で言えることですが、SMSによる二段階認証はセキュリティの問題があります。二段階認証アプリが利用できるところではアプリによる二段階認証を利用しましょう。
基本的なセキュリティの心得はこんな感じです。
以降も重要な事がありましたら加筆していきます。
