セキュリティ管理におすすめのツールとルール定義

※本記事は2021年時点の情報です。最新情報はお問い合わせください。

本記事の作成担当:

画像1

こんにちは!
皆さんは、2021年の1月に発生し、先日Twitterで再度騒がれたSMBCの管理するシステムのソースコードがGitHubに公開された騒動をご存知でしょうか。
経緯はGitHubにソースコードをアップした本人によると(※本人がTwitterにて発言)、GitHubに投稿された自作のソースコードから推定年収を計算するサイトがあり、これを利用するためアップロードしたとのことでした。さらに今回また騒がれたのはまた本人のTwitterにて賠償額が700万円だったことを発言したことが発端のようです。何というか不用意ですよね。
今回はその関連について書かせていただきます。

事例

https://dev.classmethod.jp/articles/accesskey-leak/

DevelopersIOの記事にこのようなものがありました。
こちらはアクセスキーの流出でさらに悪用をされてしまっています。経緯は同様にPublicなGitHubリポジトリにアクセスキーをPushしてしまったとのことです。その後アクセスキーが何者かに不正利用され仮想通貨のマイニングが行われてしまいました。
push後、10分ほどで悪用されています。GitHubを見張っている悪党でもいるのか……?
こちらの事例は上記URLに詳しいことが記載されていますので、ぜひ目を通してみてください。

対策

ではどのように対策をすればいいのでしょうか。GitHubへのpush時に確認するのはもちろんのこと、パスワード管理をしっかりと意識することが大事になってくると思います!
下記にいくつかパスワード管理ツールをご紹介させていただきます!

1Password

https://1password.com/jp/


弊社の役員メンバーに紹介されたツールになります。エンジニア界隈などで使っている人が多い模様です。

Dropbox Passwords

https://www.dropbox.com/ja/features/security/passwords

Dropbox の有償プランを使っている方は多いのではないでしょうか。
それならばこちらはそのまま使うことができます!

パスワードマネージャー

https://www.trendmicro.com/ja_jp/forHome/products/pwmgr/trial.html

トレンドマイクロ株式会社が提供するサービスです。国内メーカーが良いという方にはおすすめです。

Microsoft
Edge

https://www.microsoft.com/ja-jp/edge

Microsoft Authenticator

https://play.google.com/store/apps/details?id=com.azure.authenticator

Edge でパスワードを同期設定している場合、同じ Microsoft アカウントであれば Microsoft Authenticator にパスワードが同期されるのでパスワード管理もできるようになっています。
現在のEdge はブラウザエンジンが Chrome と同じ Blink なので、常用している方も増えてきたのではないでしょうか。
※弊社メンバーも数名 Chrome から移行しました

Firefox
Firefox Sync

https://www.mozilla.org/ja/firefox/sync/

Firefox Lockwise

https://www.mozilla.org/ja/firefox/lockwise/

無料系だと一番信用できるかもしれません!
ただし最大限に機能を生かすならPCでは firefox を常用する必要があります。

そのほかオープンソースで固める場合

KeePass

https://keepass.info/

KeePassDroid

https://play.google.com/store/apps/details?id=com.android.keepass

PC では KeePass で管理し、データファイルを dropbox 等で同期、android 等では KeePassDroid でそのデータを読み込むなどのやり方もあります!

そのほか有名どころ

Keeper

https://www.keepersecurity.com/ja_JP/

LastPass

https://www.lastpass.com/

Bitwarden

https://bitwarden.com/

基本的なルール

ツールを導入することも大事ですが、基本的なルールを決め意識することで、違ってくると思います。下記にに弊社メンバーが行っているものを記載させていただきます。参考にしてみてください。

1. サイトごとにパスワードを変える(必須)
※パスワードは先のツールが作ってくれる強度の高いものを使う。
2. 2段階認証が使えるサイトの場合は必ず使う。
3. たまにサイトを巡回して、サービス終了していないかの確認とパスワードを変える
※1.が出来ている場合は数年に1回で問題なし。
4. 使わなくなったサイトは退会する
※1年に1回くらいで棚卸してます。

さいごに

セキュリティや漏洩などで騒がれる昨今、対策をしておくことは大事ですね!上記で記載させていただいた、SMBCに関しては当人に問題がある気がしますが…
本記事が皆さまの参考に少しでもなれば幸いです。
拝読いただきありがとうございました!