30歳で沖縄移住した話しブログ

キャッシュレス化と資産一元管理に伴うネットのセキュリティ強化~身辺整理第七話・ネットセキュリティ環境整備編~

f6a564e63c271b17cfcec795dd425388_m.jpg

主が使う機器はパソコンとスマホ1台づつ。

~身辺整理第六話・資産管理編~でも書いてますが、ネットバンクや各カードを活用し始めたので、ザルだったネット関係のセキュリティを最低限の範囲で強化してみました。

セキュリティ強化の方法を1から10まで書いていくので、「漠然とセキュリティ面に不安は持っているけど、何していいか分からないし調べ始めてもこんがらがるしで明日明日と先延ばしにしてきた主みたいな人」は同じようにすればいいと思うよ。

セキュリティに興味の無い人やセキュリティをよく知っている人は素人の長文なんで読んでも面白くないでしょう。

scale.jpg

主が重要視したのはセキュリティリスクと作業効率のバランス。あくまで便利に使いたいからネット環境を利用するわけで、セキュリティをガチガチにすると手軽さは失われていく一方で、どこで折り合いがつけられるかが肝心です。

ちなみに主は個人情報に執着はありませんので、そういう意味でも最低限です。お金はしっかり、個人情報はついでにある程度守って、利便性は失わない。というのが主の目指したところです。

ネットで被害に合うかどうかは家に車がつっこんでくるようなもんで、ある時はあるし、実害(お金の面で)は最小限で済むようにもしているのでこれでダメなら諦めよう。嫌ならタンス貯金が一番だ。※耐火金庫は買おうね。



↑ちょっと笑った。


各パスワードの脆弱性への対処、かなめはGoogle(chrome)のSmart Lock for Passwords

まず主が気になったのはパスワードの脆弱性。以前は本当にザル。無いのも同然。一度FBの個人アカウント乗っ取られてレイバンまみれになったし。

後述しますが、クレカ情報はどのサイトでも覚えさせないようにする訳ですが、お金を動かすことに関してセキュリティの強い銀行でも、簡単にログインできて振り込み操作一歩手前まで行かれるというのは精神的によろしくない。

SponsoredLink


各パスワードは登録したサイト毎に管理してもらっているのですが、サイト毎に攻撃への耐性が異なるのは分かると思います。なもんで、同じパスワードを使いまわしてると、ひとつのサイトから流出したパスワードで全滅する可能性が高く、同じパスワードを使うことは事実上無理なわけで、でもそんなに沢山覚えたりできないじゃないですか。

そうすると思いつくのはパスワード管理アプリのようなもの。これのセキュリティ面での安全性が一番問題になる。

で、最低限というのは、主はGoogle(chrome)のSmart Lock for Passwordsを使っているから。パスワード管理はchromeでしか行わない前提で、chromeに任せきることにした。

150617_smartrock_google1-thumb-636x358-88003.jpg

マスターキーになるGoogleアカウントに関しては後述の二段階認証を設定しておけば、パスワードが分かったところで他の機器からはログインできないので、ある程度の強度(主は小文字、記号、数字の組み合わせ)のパスワードを設定しておけばいい。※100桁はいらないと言っているだけで誕生日の4桁なんてのは論外ですよ。

まずは今までいらないサイトに登録してchromeに記憶させてきたパスワードの削除をしておきましょう。※他にIDやパスワード等を保存している前提です。

自分の作ったパスワードを使わないサイトに保有させることにデメリット以外の意味は無いので、現在利用していない会員登録が必要なサイトは全て退会していきます。

※chromeを開きアドレスバーの右側にある縦に3つ・が並んだところをクリック、設定を開き、詳細設定を開きパスワードの管理を押すと、パスワードを保存した各サイトのアドレスが並ぶので、それぞれアドレスをクリックしてまわって退会するか決め、退会したところは削除、変更する場所はそのままにする。

※chromeにパスワードを保存しておらず、他にメモ帳にでも保存しているなら、この時点で「Google Smart Lock for Passwords でパスワードを保存するよう促す」の左のチェックを入れておく。

※ついでに、その上の「ワンクリックでのウェブ フォームへの自動入力を有効にする」のチェックは外しましょう。クレカ情報を記憶させないように気を付けられるならチェックを入れてもおk

※その右の「自動入力の設定」も確認して、クレジットカード情報が入っていれば消しましょう。クレカを利用するマスターキーになりやすいクレカ情報なんてネット上に置くもんじゃない。…マネーフォワードには便利だから入れてるけど^p^

それができたらGoogle以外の主要サイトの各パスワードを設定できる最大の長さで、大文字、小文字、数字を組み合わせたものを自動生成して使用する。

logo.gif

パスワード自動生成サイトはこちら。

この時、めんどくさがらずにメモでも立ち上げてコピーしてからパスワードの変更に臨むこと。何かの手違いでログインできなくなる方がめんどくさい。※後述しますが、メモアプリはGoogle Keepがおすすめ。

ひとつづつサイトのパスワードを変更していき、Smart Lock for Passwords内のパスワードを更新、保存していく。※実際にそのサイトからログアウト、ログインを繰り返すと「このサイトのパスワードを更新しますか?」とchromeが効いてくるので「はい」を選びます。※ログイン画面は複数のアドレスがある場合があるので、全て更新する為によく確認しましょう。

Googleアカウントだけは自動生成でなく、自分で覚えられる長文でアルファベット大小文字、記号、数字を混ぜて作る。

銀行、カード、通販サイト、SNS、その他のマネーフォワードやライフベア等のアプリやサイト。

これくらいは最長のパスワードに変えておかないとしょうがないでしょう。

一通り登録し終わったら、遍歴をたどるなりブックマークから行くなりして、きちんと登録できているか全てのサイトでログアウト→ログインして確認しておく。※きちんとログインできるか再確認。


各パスワード保存用アプリは「Google Keep」

google-keep-top.jpg

パスワードの記憶、自動入力はGoogleさんに任せるわけですが、個人でも保存しておかないと不安なので、主は「Google Keep」をパスワード保存専用に使い始めました。

Googleを信用するという意味では、chromeの情報が抜かれるのと同じ状況でないと情報が漏れないであろうGoogle Keepがベストかと。一応暗号化もされますし。※パスワード用のメモに銀行のセキュリティカードの内容やクレジットカード情報を書き留めるなんてことはやめましょう。資金移動の最後の砦はローカル保存が基本です。

ここまでやれば基本的にはGoogleアカウントさえ守ればよくなる訳です。


スマホにセキュリティソフトは必要か

端末への攻撃に関しては、スマホはGoogleがandroidには必要無いと言っているのでandroidは無しで、パソコンにはセキュリティソフトでおkでしょう。気になるならスマホ含む複数機器が賄えるソフトを買いましょう。



買わないなら変なアプリ掴むのがオチなのでおすすめはしません。


Googleアカウントの守り方

ではGoogleアカウントはどうやって守るのか。

まず二段階認証を機能させます。これはGoogleアカウントへログインする時に、パスワードと自動生成されてSMSで送られてくるコードを使ってログインするというもの。

how-works-img-1.png

これを使ってログインする際には、次から二段階認証しなくてもいいか聞かれるので、了承しておけば以後二段階認証はスキップできるようになります。※要はどこかの誰かが自分のものではない機器からログインしようとしてもログインコードが無い為にログインできない。

生身の人間の直接攻撃には、パソコンには画面を閉じたらスリープ、開いた時にパスワードを要求するように設定。個人にそこそこのパスワードをぶち破られることは無いでしょう。盗難されれば時間があるのでどんな奴に渡るか渡りません。そのような使い方はしないことです。


スマホのロックには「ノートンアプリロック」を利用する

スマホはパスワードをかけるのがベストですが、主はずっとパスワードをかけておらず、かけるかどうかはちょっと悩みました。なにしろ毎回解除するのがくそめんどくさい。

以下はその解決法。

まずandroidでスマートロック対応であればそれでもいいのですが、なんとなく、微妙に不便っぽいです。セキュリティの為に不便になっている気がします。※スマートロックは、スマホから特定の機器(スマートウォッチや無くし物用ガジェット等)が一定距離離れたり、指定したWi-Fiから接続が外れた場合にロックを外すというようなandroidの機能。



スマートロックはこのようなガジェットとペアリングさせても使えます。

しかし不便になるのでは意味が無いので、悩んだあげく「ノートンアプリロック」というアプリでアプリ単体にロックをかける方法にしました。マネーフォワードやchrome、お金が動かせたり個人情報にアクセスできるアプリにはロックをかけています。Googleアカウントを利用したアプリでも、アプリ単体ではパスワードなんかは覗けないのでそれらは無視。※ちなみにノートンアプリロックはモーションロックにしか対応していないので、フィルムはノングレア推奨です。でなければ指紋の跡でバレバレなので。

ロックしたアプリはDropbox、Google+、カレンダー(Google)、Google Drive、設定、chrome、Google Keep、Money Forwardです。※普段使うアプリは、代わりになるアプリをパスワードをかけず用意しておくと便利です。例えばchrome→ブラウザ カレンダーやKeep→Lifebare等。


スマホ紛失への対応策は「android デバイス マネージャー」

android-device-manager-top.png

しかしアプリにロックをかけたところで、紛失、盗難された場合、悪意のある人間の手に渡れば早いうちに突破されるでしょう。

これの対応策としては、「android デバイス マネージャー」を事前に設定しておくこと。※スマホのGoogle設定アプリからセキュリティの項目にアクセス、「リモートでこの端末を探す」と、「リモートでのロックとデータ消去」の項にチェックを入れておき、「デバイスマネージャー」でググります。

デバイスマネージャーでできるのは、Googleアカウントにログインしたパソコンから遠隔で場所を特定することと、着信音を鳴らすこと、そして任意のパスワードで即時ロックでき、最悪の場合端末を初期化して守れます。※場所を特定しきれない可能性が高くなるので、普段からGPSを切らない習慣をつけておきましょう。

いざという時の為に、デバイスマネージャーで実際に場所を特定するとか、着信音を鳴らす等の操作に慣れておくことをおすすめします。


登録しているサイト自体が攻撃を受けたら

各サイト自体が攻撃を受けた時の対応ですが、銀行やカードはそのサイトを信用するしかないですし、何かあっても保証はあるでしょう。万が一情報が流出しましたというアナウンスがあれば速やかにパスワードの変更をする位です。

そしてGoogleから情報が流出した時の為にクレジットカード情報は記憶させないこと。ここからカード情報が流出して被害が出た場合、保証されるかも怪しいので。もちろんGoogleだけではなく、Amazonや楽天、どこにも記憶させてはいけません。事前登録情報以外の情報無しで使えるとかクレジットザルすぎワロタですよ。マイナンバーと同じで、どこかに情報を置いてちゃ使って下さいと言ってるようなもの。


あとがき

主のとった対策はこれで以上です。
 
どこかに穴があるようならまた更新します。

とりあえずの使い勝手は今までと大して変わらず、快適に使用しております。


関連リンク



パスワード自動生成サイトはこちら。

各契約内容・支払方法・税金の状況の把握と適正化~身辺整理第四話・金銭状況整理編~

沖縄でキャッシュレス生活始めました~身辺整理第五話・キャッシュレス化編~

マネーフォワードによる資産一元管理と仮想財布のすすめ~身辺整理第六話・資産管理編~
 
30歳で沖縄移住した話し
ウェブサイトTwitterFacebookページ←各クリックで飛びます(゚∀゚)
シェア、いいね!フォローして頂けると励みになります(´艸`*)
↓シェアボタン↓
関連記事

Sponsored Link