ビギナーガイド 新機能とリリース

オンラインでセキュリティを向上させるための10のヒント

インターネットを使用すると、世界中の人々とつながり、志を同じくするインターネットユーザーのニッチなコミュニティを見つけたり、直接買い物をすることができない、わざわざ外出して買い物をしたくないと思っている潜在顧客とも接点を作ることが可能です。
こういった利点がたくさんあるのにもかかわらず、ビジネスをインターネット上で運営することには一定のリスクがあります。特に、個人情報、ウェブサイト、およびドメイン名のセキュリティリスクがあります。
そういったリスクに備えるための方法をここにまとめたのでご確認ください。

1. アカウントごとに別のパスワードを使用する

アカウントごとに異なるパスワードを使用することの重要性を十分に強調することはできません。銀行のパスワードは普段使用しているメールアドレスのパスワードとは別のものを使用するほうがより安全です。また、ドメインレジストラのパスワードやウェブサイトの管理画面にログインするためのパスワードとも異なっているほうがもっと安全です。
また、それぞれ強力なパスワードである必要があるため、パスワードマネージャーにパスワードを保持することを検討したほうがよいかもしれません。

たくさんのパスワードを使う必要がある?

パスワード認証は実際には理想的なシステムではありませんが、パスワードを取得するサービスごとにハッキングされるリスクがあるため、ダークウェブで1つのパスワードが漏洩した場合に、攻撃者があなたの全てのオンラインアカウントにアクセスできないように、それぞれに異なるパスワードを設定する必要があります。

2. 多要素認証 (MFA)を使用する

多要素認証を使用すると、パスワード以外にログインにセキュリティレイヤーを追加することができます。
多要素認証は非常に簡単です。これは基本的に銀行が2つの形式のIDを要求する認証手順のデジタルバージョンです。多要素認証には多くの種類があります。

ワンタイムパスワード

ワンタイムパスワードはMFAの方法で、QRコードをスキャンして有効化すると、特定のアプリのアルゴリズムによって、一度に30秒間しか有効でない6桁のパスワードが生成されます。
アカウントにログインするときは、通常どおりユーザー名とパスワードを入力し、スマートフォンでアプリを開いて6桁のコードを入力します。
攻撃者はコードを生成するために使用されるアルゴリズムにアクセスできず、コードは30秒ごとに変更されるため、長期間有効ではありません。
Gandiアカウントでタイムワンタイムパスワードを有効にする方法をご確認ください。(英語チュートリアル動画)

セキュリティキー

複雑さは少なく、より安全になりますが少し面倒オプションは、USBポートに接続する小さなカードで構成されるセキュリティキーです。
セキュリティキーには、特別なアプリや追加のパスワードの入力は必要ありません。ユーザー名とパスワードを入力してキーのボタンを押した後、キーをUSBポートに挿入するだけです。
欠点は、実際に物理キーを持っている必要があることです。そのため、キーを忘れたり紛失したりすると、ログインできなくなります。

バイオメトリクス (生体認証)

難しそうに聞こえますが、この形式の多要素認証は非常にシンプルで、間違いなく最もユーザーフレンドリーです。実際、スマートフォンで生体認証が有効になっている可能性があります。指紋認識またはスマートフォンのカメラを使用した顔認識のいずれかで、指紋や顔の特徴に基づいてロックを解除します。

また、キーボードに指紋認識が組み込まれたパーソナルコンピュータの出荷が増えるにつれ、この形式の認証にはるかにアクセスしやすくなっています。
ログインするには、ユーザー名とパスワードを入力し、携帯電話またはコンピューターに組み込まれているかどうかにかかわらず、生体認証デバイスを使用してログインを完了する必要があります。
(生体認証システムは、指紋、顔の特徴の側面など、ユーザーに関する固有の情報を記録および保存するため、このタイプの認証は他の形式の多要素認証と比較して、潜在的なプライバシーリスクをもたらす可能性があることも合わせて覚えておいてください)

3. フィッシング詐欺に注意する

フィッシングメールは、銀行、ドメインレジストラ、郵便局などの企業や機関など、信頼できる人物からのメールですが、実際にはパスワードなど個人情報の提供を求められる偽のウェブページに誘導されます。
電子メールの送信にはほとんど費用がかからず、誰かの電子メールアドレスになりますますのは依然として比較的簡単であるため、フィッシング攻撃は依然として全てのインターネットユーザーにとって大きな脅威です。

フィッシングと戦うための最良の方法は次のとおりです。

  1. 慌てない。人は恐ろしい件名を見ると、警戒を緩めて信じてしまう傾向にあります。電子メールが何を求めているかを確認し、クリックする前にメール内のURLは正しいURLを確かめるようにしましょう。
  2. メール内のURLをクリックしない。メールで支払いや個人データの入力を求められている場合は、メール内のURLをクリックしないで個別に問題のウェブサイトに移動してください。例えば、Gandiのドメインを更新する必要があるかどうかは、受信する可能性のあるメール内のリンクとは別に、gandi.net の Gandiダッシュボードにログインすることで確認できます。
  3. フィッシングメールを報告する。フィッシングメールを見つけたら報告してください。これにより、その時点で発生しているフィッシングキャンペーンを阻止できるだけでなく、メールサービスプロバイダーは、将来の受信者に対してフィッシングメールにフラグを付けて、特定のメールを信頼してはならないことを警告できます。

4. ログインごとに異なるメールアドレスを使用する

特定のログインに関連付けられたメールアドレスには多くの用途があります。パスワードのリセット、ニュースレターやマーケティングメールの送信、一部のアカウントのユーザー名として使用されます。
つまり、特定のメールアドレスを使用した1つのログインが危険にさらされた場合、そのメールアドレスを使用する他のアカウントも同様に危険にさらされる可能性があります。
ウェブサイトの管理で、CMSログインに使用するのと同じメールアドレスをドメイン名を登録するレジストラのウェブサイトで使用している場合、メールアドレスとパスワードを盗まれると、CMSとレジストラへのログイン両方のログイン情報を盗まれたことになります。

「admin @」や「contact @」などの誰でも推測できる文字列を使用していないメールアドレスを使用することをお勧めします。これらは比較的簡単に推測でき、潜在的な攻撃者がアカウントをクラックしようとしていることを示唆するだけでなく、攻撃者はcontact @などの一般的なメールアドレスや、ウェブサイトにリストされているメールアドレスにさえメールを送信しようとするため、より騙されやすいメールが送信されることになります。

5. ソフトウェアを最新の状態に保つ

デジタルセキュリティは、ある意味ではソフトウェア開発者と、開発中のソフトウェアのバグや弱点を悪用しようとするサイバー犯罪者との間の一種の仮想軍拡競争です。
つまり、ソフトウェア開発者は常に新しい機能を構築し、ソフトウェアのパフォーマンスを向上させるだけでなく、ソフトウェアの新しいバージョンを絶えずリリースし、バグにパッチを当て、セキュリティの問題を修正しています。
これは、Firefox、Safari、Chromeなどのインターネットブラウザ、Thunderbird、Apple Mail、Outlookなどのメールクライアント、およびコンピューター、スマートフォン、タブレット上のその他の事実上すべてのアプリなど、インターネットへのアクセスに使用するソフトウェアに適用されます。それだけでなく、あなたのウェブサイトを管理するために使用するソフトウェアも同様です。
特に、CMSソフトウェアを最新の状態に保つことはとても重要です。CMS自体だけでなく、使用するプラグインやアドオンも含まれます。例えば、WordPressを使用している場合は、WordPressのバージョンだけでなく、サイトで使用している WordPress プラグインも常に最新の状態に保つ必要があります。
このソフトウェアの開発者は通常、新しいバージョンがリリースされたときにユーザーに通知をします。この種の通知を受け取ったときはすぐに更新を行うことが重要です。最新バージョンのソフトウェアを使用しているかどうかを定期的に事前に確認することもお勧めします。

6. 定期的なバックアップを作成する

最悪の事態が実際に発生するまで、最悪の事態への準備を先延ばしにするのは簡単です。それが意図的な攻撃であれ、事故であれ、更新の失敗であれ、ウェブサイトの管理ミスであれ、問題が発生した場合は、バックアップから復元できることが不可欠です。

何をバックアップするか

Here are a few different types of backup you should be sure to make:

  1. コンピューター、スマートフォン、およびその他のデバイスをバックアップしましょう。コンピュータやスマートフォンなどの他のデバイスを定期的にバックアップして、何か問題が発生した場合でもウェブサイトやドメイン名を管理するために必要な重要なアプリケーションにアクセスできるようにすることをお勧めします。バックアップコードを使用してリセットできるパスワードマネージャーまたは多要素認証を使用している場合に特に当てはまります。
    Nextcloudインスタンスがインストールされている場合、コンピューターやその他のデバイスをクラウドにバックアップするのは簡単です。
  2. ウェブサイトをバックアップしましょう。定期的なバックアップを作成することは、コンピューターにとって重要なだけでなく、ウェブサイトにも当てはまります。バックアップからウェブサイトを復元する必要がある理由はたくさんあります。特に、ウェブサイトが侵害された場合は、復旧に使用できる侵害前のバックアップを作成して、後でバックアップして実行することが不可欠です。
  3. ドメインの設定をバックアップしましょう。 更新を逃して再登録する必要がある、ドメイン名が泥棒によって移管されるなど、ドメイン名に壊滅的な事態が発生した場合、またはDNSの編集を間違えた場合は、ドメイン名を元に戻すことができますバックアップから復元することにより、正常に稼働します。
    DNSバックアップの詳細

データをバックアップする方法

一般に、バックアップは3-2-1ルールに従う必要があります。

3つのバックアップ
2つの媒体
1つのオフサイト
つまり、2つの異なる媒体にまたがって、2つの異なる物理的な場所に3つのコピーを作成します。
ちなみに世界バックアップの日は毎年3月21日です。

7. HTTPSまたはSSL / TLSを使用する

SSLは「セキュアソケットレイヤー」の略で、TLS (「トランスポートレイヤーセキュリティ」の略) とも呼ばれ、HTTPS (「ハイパーテキスト転送プロトコルセキュア」) で使用されるデータを暗号化するための方法です。
これは、SSL/TLS証明書をサイトにインストールすることで機能します。 SSL/TLS証明書は、公開鍵暗号を使用して生成されたファイルです。データの送信者と受信者のみが復号化またはデコードできるようにデータを暗号化する方法です。その後サイトでHTTPSを使用すると、ブラウザとサイトの間に仮想の「トンネル」が形成されます。サードパーティがウェブサイトとエンドユーザーのブラウザ間で送信されているデータにアクセスした場合、そのユーザーには、復号化する方法がない、エンコードおよび暗号化されたデータのみが表示されます。
そのため、SSL/TLS証明書またはHTTPSを使用すると、クレジットカード番号、ID番号、ユーザー名、パスワードなどの機密データをWeb経由で送信できます。
一部の種類のSSL/TLS証明書は、トランザクションの安全性を保証することができます。
HTTPSを使用して有効なSSL/TLS証明書がページにインストールされると、通常、ブラウザのアドレスバーに閉じたロックアイコンが表示されます。このようにSSL/TLS証明書は、あなたとあなたのサイトのユーザーとの間の信頼を構築する上で不可欠な部分になります。

SSL/TLSを使用する場合

SSL/TLSは当初、次の種類の機密データを保護する方法として開発されました。

  • ユーザー名とパスワード
  • 財務情報 (クレジットカード番号など)
  • 個人情報
ここで書かれていることに加えて、全てのウェブブラウジングではSSL/TLSで通信が暗号化されているサイトのみを使用することをおすすめします。SSL/TLSで保護されているサイトを使用することで、自分の情報が漏れていないことを確信できます。SSL/TLS証明書を使用してウェブサイトとウェブサイトのユーザーを安全に保ちます。

8. ソフトウェアの初期設定での使用を避ける

WordPress や Joomla などのほとんどのCMSは、管理ページへのログインにデフォルト設定を使用しています。 WordPressの場合、デフォルトのログインURLはexample.com/wp-admin/です。これをカスタマイズするには、それを可能にする (安全でメンテナンスされた)プラグインを見つける必要があります。
また、デフォルトではないが一般的に使用されている「admin」などのユーザー名をWebサイトに使用することは避けてください。

9. 使用しない機能を無効にし、CMSを使用している場合はプラグインを定期的に監査する

ウェブサイトのユーザーが使用していないサイトを使用できることは、ウェブサイトにセキュリティ上の脅威をもたらす可能性があります。コメント、登録、お問い合わせフォームなど、ユーザーがウェブサイトにデータを送信するために使用できるフォームは、ウェブサイトを危険にさらすために使用される可能性があります。
これらの機能を必要としない、または定期的に使用しない場合は、それらが無効になっていることを確認する必要があります。例えば、CMSでコメントを有効にしているが、コメントセクションが実際にはアクティブでない場合は、コメントを使用してサイトを危険にさらしたり、ウェブサイトの実際のユーザーが不正なリンクをクリックする可能性のある攻撃を防ぐために、コメントを無効にする必要があります。
同様に、特にWordPressなどのCMSを使用している場合は、CMSにインストールしたプラグインを定期的に監査する必要があります。メンテナンスされなくなった古いプラグインはセキュリティ上の脅威です。プラグインは一般的に、メンテナンスされている場合でもセキュリティの問題の原因となる可能性があるため、積極的に使用していないプラグインをアンインストールすることが重要です。

10. 警戒を怠らない

警戒を怠らないことは、オンラインでの安全とセキュリティを確保するためにできる一番のことです。警戒は、フィッシングの試みを捕らえ、ソフトウェアが最新であることを確認するための鍵です。
何かがおかしいとき、特定のウェブサイトを開くとき、ドメイン名、ホスティング、CMSのログインを管理しているとき、ウェブサイトをチェックして何か異常に気付いたときを見つけることができます。常に警戒を怠らないようにしましょう!