こんにちは。"事務の便利屋"たいがの小西でございます。本記事は「Windows 10/11はアンチウイルスが不要って本当?→本当です(続編その1)」の続きです。
【対策1】原則「標準ユーザ」でPCを使い、必要に応じ管理者権限を使う
前回の記事の最後で「要は法人で使うのと同じようにパソコンを使う」と申し上げました。この方法はまさに同じやり方です。
標準ユーザと管理者権限(管理者)の違いは前回の記事でお話ししましたが、これはセキュリティの観点では「最小権限の原則」と言います。
最小権限の原則は、ユーザーアカウントに対して、そのユーザーにとって必要な権限だけを与えることを意味する。
<中略>
この原則は、普通のユーザーアカウントで作業しているパーソナルコンピュータのユーザーにも当てはまる。つまり、事態が完全に特権を要求する場合に限って管理者権限を与えられ、パスワードで保護されたアカウント(すなわちスーパーユーザー)にログインする。
(wikipedia「最小権限の原則」より抜粋)
要は、通常は標準ユーザとしてパソコンを使い、アプリのインストールやシステム全体の変更など、管理者権限を必要とする場合にのみ管理者アカウントを使って作業しろ、ということです。その目的は、前回の記事でのマルウェアのアクセスできる範囲の問題だけでなく、標準ユーザを使うことにより、意図しない設定変更なども防ぐチェックができるということです。
そのためには、
- Windowsで、標準ユーザと管理者、それぞれのアカウントを準備する
- ユーザーアカウント制御(UAC)を有効にして、レベルを2番目以上に設定する
- 標準ユーザでログインして使う
こうすることで、ドライバやアプリのインストールや設定変更等など、管理者権限が必要となる場合は、管理者のパスワードやPINが要求され、認証が通った際に初めて管理者としてインストールや設定変更ができる、という仕組みです。
たとえば、以下の図は、標準ユーザとしてアプリをインストールしようとしたところ、ユーザーアカウント制御(UAC)により、管理者としてログインするよう、パスワードを求められる場面です。
ちなみに、Windowsのユーザーアカウント制御(UAC)では、管理者アカウントを使っていたとしても、UACを無効にしていない限り、何らかの変更を加える際に注意喚起のための確認要求がくることは、ご存じの方も多いでしょう。
ただ、それは「許可する(はい)」をクリックすればよいだけであり(それすらもウザいですか?(笑))「パスワードなどを求められる」手間がないため、ついうっかりスルーしてしまいがちであること、また、前の記事で話した、ドライブバイダウンロードのような、知らずにダウンロードされインストールされるマルウェアの場合には、管理者権限であれば、そのマルウェアに管理者の権限=システム全体にアクセスさせてしまう権限を与えてしまうため、リスクが高いのです。
したがって、この目的の場合には、必ず標準ユーザでログインし、パソコンを使わなければ意味はありません。
【対策2】用途に応じ、パソコンを「仮想的に」分ける
ひとつのパソコンをプライベートと仕事用双方の用途で使っている場合の一番のリスクは、ウイルスやマルウェアに感染したとき、仕事用のデータが破壊・流出したり、ひどい場合はパソコンがそれにより破壊されてしまうことです。
このリスクへの一番分かりやすく、また良い方法は、用途に応じ使用するパソコンを物理的に分けることです(本当はネットワークも分ける必要があるが、話が煩雑になるため割愛)。というと、身も蓋もないようですが、自宅でリモートワークが前提となっている場合、会社でパソコンを支給されている人もいらっしゃると思います。
これはまさに「物理的に分ける」の例です。なぜなら、個人所有のパソコンが、セキュリティに関し「信頼できないパソコン」だから、このパソコンで会社用の資料を作ったり、会社のネットワークなどに入られると、このパソコンを通じて、ウイルスやマルウェアを会社の他のパソコンや、ひいてはお取引様などに拡散させてしまう恐れがあるからです。もちろん、情報漏えいの危険性もあります。
しかし、諸々の事情で個人のパソコンで仕事をしなければならない場合もある。こうした時に私は「仮想化」をおすすめします。
一つの物理的なWindowsOSの搭載されたパソコンの上に、もう一つ「仮想のパソコン」(これを「ゲストOS」または「ゲスト環境」と呼びます)を作ります。そして、仕事の時は本体パソコン(これをゲストとの対比で「ホストOS」または「ホスト環境」と呼ぶ)で仕事して、一息ついてニュース等を見る場合はゲスト環境を使ってWebサーフィンその他プライベートな使い方をする、というものです。
以下はPC Watchというサイトからのイメージ図で、絵の中の大きなウインドウが「本体パソコン(ホスト)」小さなウィンドウが「仮想パソコン(ゲスト)」です。
(「Windows 11でより使いやすくなったHyper-V。サクッと無料で仮想環境を作ってみる」より引用)
これなら、同じ一つの物理的なパソコンなので、使い分けも比較的簡単です。そして、セキュリティ的に重要なことは
「仮にゲスト環境がウイルスやマルウェアに汚染されても、ホスト(本体パソコン)に影響を与えることが軽減できる」
ということです。
要は、物理的にパソコンを用途別に分けるに近い効果があるのです。
(厳密にはゲスト環境からホストへの「マルウェアの伝染」(エクスプロイト)のリスクもありますが、これは同じネットワークにある別々の物理パソコンでもありえることです)
もちろん、もしゲストがマルウェアに汚染した場合にはマルウェアの駆除を行うか、そのゲスト環境そのものを削除してしまう必要があります。
そして「マルウェアに感染した」ことを知るための手掛かりの一つとして、ゲスト環境にもアンチウイルスソフトを入れる必要があるでしょう。ゲスト環境がWindowsの場合は、Windows Defenderでよいと思います。
今、私は「仕事用パソコン」と「プライベートパソコン」を分けるための仮想化の例を挙げましたが、「プライベート1」「プライベート2」みたいな使い方でも構わないです。プライベート1のホストでは「健全なサイトにアクセスする」プライベート2のゲスト環境は「怪しいサイトにアクセスする」(笑)。要は
「ゲスト環境がウイルスやマルウェアに汚染されても、システム全体=ホストが汚染されないようにする」
ことが、セキュリティを考慮した仮想化の活用法です。
また、ここではWindows環境の仮想化手段としてHyper-VというWindows Pro版に標準で備わった機能を例にしましたが、仮想化の手段はこれ以外にも「VMware Workstation Player/Pro」「Virtual Box」などの仮想化ソフトウェアも、個人使用なら無償で使えます。
Windowsがhome版の場合は、通常Hyper-Vは使えないため、こうしたツールを使うしかありません。
本記事では長くなるので、細かい導入・設定方法などは割愛しますが、興味があれば、これらのキーワードで設定方法などを調べてみてください。たくさんありますから。
なお、仮想化を行う上での注意点として、一つはパソコンの物理スペックが乏しければ、ゲスト環境はスムーズに動かない。要は、メモリやCPU,GPU、ストレージ(SSDやHDD)が相応に搭載されていない場合は、動作が遅く使い物にならないこと、もう一つは、ゲスト環境のOSもWindows等の有料OSにするならば、そのライセンスを購入しなければならないことです。
なので、プライベートで動画編集したりゲームをバリバリするなんて場合は、これをゲスト環境で行うことは無理があるかもしれません。まずは今手持ちのパソコンで試してみてください。
セキュリティを維持するのは、正直、面倒くさいです(笑)
ITでは、AIその他いろんな便利なサービス、ツールがありますが、その道具を常に使える状態にするためには、他の道具と同様、メンテナンスが欠かせません。セキュリティはその最たるものです。ウイルスやマルウェアに汚染されると、自分がパソコンと言う道具を使えなくなる可能性が高いだけでなく、他人にもウイルスやマルウェアを感染させてしまう恐れがあるからです。
ここに挙げた方法はお金はかかりませんが、設定などに手間はかかります。そして、使っている中でも、手間はかかります。ソフトをインストールしよう、あるいは何かを設定しようとするとすぐに管理者のパスワードなどを求められたり、仕事休憩でニュースを見ようと思ったら、ゲスト環境に切り替えたり…はっきり申し上げて面倒です(笑)。
会社でパソコンを使っている方は「席を立つときには画面ロックをかける」(あるいは放置すると一定時間後に勝手にロックがかかる)などのルールで習慣づけできていると思いますが、そうでない人には「めんどくさいなあ…」と思うのも無理はありません。
しかし、お金を使って一定のセキュリティ対策を施した会社のITでさえ、ウイルスやマルウェアに感染することを考えると、そうした対策を行っていない個人のパソコンであればそのリスクは高いです。
なので、そうしたリスクを本当に避けたい、でも、あまりセキュリティにお金をかけたくない、と考えるのであれば、ここに挙げたような対策は検討された方がよいと、私は思います。
特にお子さまのいらっしゃるご家庭の場合は、お子様のITリテラシーの向上という観点からも必要だと思います。「プログラミングができる」ことだけがITリテラシーの向上ではありません。
では、また、次回もよろしくお願い申し上げます。
0 件のコメント:
コメントを投稿