話題のDDoS攻撃もこれで安心？ 無料で始めるワンステップ先のセキュリティ対策3選：半径300メートルのIT

毎年2月は「サイバーセキュリティ月間」です。IPAの「情報セキュリティ10大脅威」で触れられている脅威に対抗し、組織全体のセキュリティを強化するきっかけとして、今回は今すぐできて、しかも“無料”の対策を紹介します。

[宮田健，ITmedia]

　毎年2月は「サイバーセキュリティ月間」です。情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威」だけでなく、多数の発表やイベントが計画されています。特にセキュリティは“全員参加”が重要であるため、有名人などを起用した親しみやすい動画も登場しています。

【NISC】2025年「サイバーセキュリティ月間」周知広報用動画

　そこで今回は、この時期に一歩先いくサイバーセキュリティを目指し、今すぐできかつ“無料”の対策を紹介していきましょう。どれも非常に重要なポイントですので、組織として、そして組織の中にいる個人としてもぜひチェックしてみてください。

1．パスワード漏えいをワンクリックで確認できる無料のWebサイト

　まずはセキュリティの基礎の基礎であるパスワードについての実態を知れる便利なWebサイト「Have I Been Pwned」を紹介しましょう。

このコラムでも何度か取り上げている「Have I Been Pwned」（出典：Have I Been PwnedのWebサイト）

　Have I Been Pwnedは、著名なセキュリティ専門家であるトロイ・ハント氏が始めたもので、これまでに流出したアカウントやパスワードを収集してデータベース化しています。このWebサイトに電子メールアドレスを入力すると、そのアカウントがどこで流出しているかが一覧できます。

　トップページには漏えいを起こしたWebサイトの数や漏えいアカウント数などが表示されています。2019年にこのコラムで紹介したとき、漏えいアカウントの数は64億件程度でしたが、本稿執筆時点では146億件となっており、いかに漏えいが当たり前になってきてしまっているかが分かるかと思います。

　まだ体験したことのない方は、怖いかもしれませんが、ぜひその現状を把握してみてください。過去に漏えい事件に巻き込まれていたなら、アカウントだけでなく、場合によってはパスワードそのものも攻撃者の手の中にあるかもしれません。それを可視化されれば、パスワードを見直さなければと“ジブンゴト化”できるはずです。少なくとも、お金と個人情報に絡むサービスだけでもパスワードを強いもの、長いものに置き換えておきましょう。

　なお、日本でもGMOインターネットグループが同様のサービス「GMOセキュリティ24」の提供を開始しました。アカウントにひも付くパスワードの漏えいチェックが無料で利用できるようになっています。これらのツールを組み合わせて使えば、より現状が正しく把握できるでしょう。

「GMOセキュリティ24」の一機能である「パスワード漏えい・Webサイトリスク診断」を試してみました。Have I Been Pwnedの結果とは若干異なりますが、複数の視点から見るのも大事です（出典：GMOセキュリティ24のWebサイト）

2．対策が難しいDDoSも無料でできることはある

　前回のコラムでも、DDoS攻撃の現状を紹介しました。入稿した後に内閣サイバーセキュリイティセンター（NISC）から注意喚起が発行され、待ったなしの状況です。

NISCが公開したDDoS攻撃への注意喚起（出典：NISCが発行したPDF）

　前回のコラムではDDoS攻撃の対策が難しい、と触れていました。根本的な対策は脆弱（ぜいじゃく）性を放置したIoT機器やルーターをなくすことではありますが、それには長い長い時間がかかってしまいます。NISCの注意喚起では、組織がすぐにできるリスク低減策が紹介されています。ぜひ目を通して欲しいのですあり、すぐにできる低減策としては以下が推奨されています。

• 海外などに割り当てられたIPアドレスからの通信の遮断
• DDoS攻撃の影響を排除又は低減するための専用の対策装置やサービスの導入
• コンテンツデリバリーネットワーク（CDN）サービスの利用

　特にすぐにできそうなものは、やはり海外のIPアドレスを遮断してしまうことかもしれません。ただし、これは正規の通信にも影響を与えますので、攻撃を受ける前にしっかり検討をしてから対策を施す必要があるでしょう。加えて、同一のIPアドレスからのしきい値を超えた大量のリクエストを遮断するという対策も効果的です。

　それでもやはり、DDoS攻撃の根本的な対策は難しいかと思います。加えて、普段からネットワーク機器の脆弱性を把握すること、設定を見直し悪用を防ぐことも重要です。何も対策しなくていいというわけではありませんので、まずはこの注意喚起をチェックし、できるところから始めていきましょう。

3．はやりの「ASM」を学ぶのに最適な入門ドキュメントが登場

　もう一つ、チェックしてほしいのは、マクニカのセキュリティ研究センターブログが公開した記事です。アタックサーフェスマネジメント（ASM）を簡易的に実践するという内容ですが、ASM入門として大変分かりやすく、実際に手を動かしつつ無料で体感するという、ありがたい内容となっています。

マクニカのセキュリティ研究センターが公開したブログ記事は、ASM入門として最適だ（出典：マクニカのWebサイト）

　このブログ記事では、皆さんも聞いたことがあるかもしれない用途限定の検索エンジン「Shodan」を使い、サーバやネットワーク機器を対象として、特定のホスト名やIPアドレスレンジ、さらにはポートや機器ベンダーを抽出することで、インターネット側から見た自組織の現状を把握しよう、という内容です。分かりやすくShodanの活用方法をガイドしており、「Google Chrome」などの検索エンジンを使ったことがあるのであれば、無料でASMを体感できるというものになっています。

　このブログ記事では「ASMは今、全ての組織が実施すべき取り組み」と述べています。しかし、ASMはソリューションを手に入れないとできないと思っている方は多いはずです。ASMとは何かを知るだけでなく、組織が攻撃者からどう見えてしまっているのか、把握する方法を知れる大変有用なブログです。ぜひ、チェックしてみてください。

　サイバーセキュリティ月間はまだまだ続きます。このような有用な資料が公開されているだけでなく、全国各地でたくさんのイベントなどが予定されていますので、皆さんもぜひ、この機会にサイバーセキュリティの世界に触れてみてはいかがでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。