私が金融口座の自衛のために取っているセキュリティ対策
こんにちは、アメリカ駐在員のKenji(@sorakoge)です。
さて、前回の投稿では私がアメリカで使っている資産管理ソフト「パーソナルキャピタル」をご紹介しましたが、今回の投稿ではその続きものとして、私が行っているセキュリティ対策を纏めてみたいと思います。
私も徹底できていない部分もあり反省材料ですが、自分自身への戒めも込めてのエントリです。
皆様への注意喚起になれば幸いです。
Sponsered Link
Contents
セキュリティも自己防衛の時代
パーソナル・キャピタルのようなオンライン・トラッキングツールがあるのは以前から知っていましたが、実は私は利用に二の足を踏んでいました。
その大きな理由がセキュリティです。
何でもかんでもオンラインでつながってしまう今、情報が漏れたときのダメージは図り切れませんよね。
特にパーソナル・キャピタルのようなポータルアプリの場合、普段はとても便利なツールですが、ひとたび情報が洩れると芋蔓式に金融情報が知られてしまいます。
つい最近もコインチェックが600億を超えるNEMを流出した問題が世間を騒がせましたが、実は私自身もコインチェックの被害者で、(金額は小さいですが)しばらく口座を凍結された口です。
結局本件はコインチェックが補償をすることでいったんは落ち着きました(とは言ってもクラスアクションが起きたり、2度目の業務改善命令が出たりとまだまだ大騒ぎですけれど・・)が、フィアットからの入金はコインチェックに頼っていたため、仮想通貨市場の暴落と、その後のリカバリーの間全く取引が出来ず、相当歯がゆい思いをさせられました。
事件を通じて改めて感じたのは、繋がることの利便性の裏に潜む「リスク」と、リスクに対する「備え」を怠らないことの重要さです。
父親世代が子どものころあけっぴろげにしていた玄関や家の窓も、いまでは在宅中でさえ鍵をかけておく時代。
それと同じで、今後は金融口座のセキュリティもかけられる鍵は掛けておくのが当たり前の時代になるような気がします。
パーソナル・キャピタルはMFAが導入されているので比較的セキュリティは高いと言えますが、MFAの危険性を指摘するサイトや専門家もたくさんあるため、やはり基本動作をしっかりしておくことが大事です。
私が取っているセキュリティ対策
さて、私がとっている自衛法は以下のとおりです。
✔パーソナルキャピタルのメールアドレスは別の物を使う
✔Gmail、Yahoo、Hotmailのようなブラウザメールは使わない
✔連想されるパスワードは使わない、使いまわしは×
✔ブラウザにパスワードは記録しない
✔人からもらった管理ファイルをそのまま使わない
✔管理ファイルのパスワードの保存は鍵付きにする
✔パスワードは適時に更新する
つぶつぶで見ると当たり前のことばかりだと思いますが、これらを組みあわせることで、セキュリティの強度が上がっていくのだと思います。
では一つひとつについてそれぞれ解説しておきたいと思います。
パーソナルキャピタルのメールアドレスは別の物を使う
→面倒くさいという理由で、メールアドレスやパスワードを使いまわしている方、いませんか?
特に銀行やクレジットカードのオンライン口座と、パーソナル・キャピタルのようなポータルサイトで同じアドレスやパスワードを使いまわしている方はすぐに別のアドレスに変更した方が良いと思います。
ショッピング補償や盗難補償がついているといっても、一度やられたらどこまで、そしてどのくらいタイムリーにリカバーしてくれるかわかりません。
コインチェックのように会社自体がやられてしまうケースだってあります。
私はメールアドレスは5つ程度を目的・口座などに応じて使い分けていますし、メルマガ向けのいわゆる「捨て」アドレスも保有しています。そして、「捨て」アドレスの登録情報上は、漏れることを前提に個人の名前などを入れることはしないようにしています。
Gmail、Yahoo、Hotmailのようなブラウザメールは使わない
→上記に似ていますが、ブラウザメールは使わない方が無難です。
特にYahoo、Hotmailのような迷惑メールが頻繁に届くようなメジャーなメーラーはアタックされる可能性が比較的高いことを認識すべきです。
マイナーなアドレスサーバや、願わくば個人で取ったドメインのアドレスを利用するのが望ましいと思います。
また、MFA(二段階認証)が使えるブラウザメールであれば即導入しましょう。
それだけで完全とはもちろん言えませんが、ないよりやっておいた方が断然ベターです。
Gmailにはずいぶん前からMFAが導入されていますが、皆さん使っていますか?
連想されるパスワードは使わない、使いまわしは×
→これも当然ですが、連想されるパスワードは使わないようにしましょう。
実は私自身、仮想通貨口座のパスワードは使いまわしをしていたのですが、NEMの一件があってから全て更新しました。
求められるパスワードの最低桁数で設定するのも危険ですよね。
たとえば8桁以上を求められるサイトをハッキングするのであれば、当然短い桁数から狙われます。
最近はパスワードの自動生成ツールなどもありますので、自分にもハッカーにも連想できないような乱数を使ったパスワードを設定するのが望ましいですよね。
(ただし、乱数で絶対に想像できないので、なくしてしまわないように注意が必要ですね)
乱数パスワード生成ツールとしては下記ページのようなものがあります。よろしければご覧ください。
特に仮想通貨投資は全てがデジタルなので、乱数パスワードやコールドウォレットを利用するなど、通常の金融口座よりもさらに対策を厚くしておくに越したことはないと思います。
http://www.graviness.com/temp/pw_creator/
ブラウザにパスワードは記録しない
→最近ブラウザはログインの際パスワードを保存するかを聞いてくると思いますが、金融関連のサイトではNoを選択します。
そして、折に触れてブラウザのキャッシュもクリアするようにしています。
もっとも、キャッシュクリアは特にポイントサイトを踏んでいるときなどは履歴が消えてしまって成果が反映されなくなってしまう恐れもあるので気を付けたいですね。
人からもらった管理ファイルをそのまま使わない
→IDやパスワードをExcelファイルで保管されている人も多いと思いますが、管理ファイルをオンラインで入手してそのまま使っているという人、いませんか?
便利なファイルがオンライン上でいろいろ手に入る世の中ですが、そのファイル自体もウイルスに感染していたり、ハッカーの知るところになっているかもしれません。
最低限数式や書式を別ファイルにコピーするなどして、一度リスクを遮断した上で使いなおしたいですね。
管理ファイルのパスワードの保存は鍵付きにする
→パスワードは管理ファイルに保存するとして、ファイル自体のセキュリティ対策は大丈夫ですか?
一覧性や管理性を高めるにはファイルにまとめて記載しておくのがベストですが、なんでもかんでもまとめてしまうのも考えものですよね。
私もいままで全部纏めて一つのファイルの別タブに突っ込んでいたのですが、ちょうどひょんなことからテンプレを見直す機会があったので、これを機にファイナンス系・ウェブサイト系とファイルを分けました。
Excelファイル自体にもパスワードを付けるなどして、万が一PCを無くした際にもID、パスワードが漏れないようにしたいものです。
ファイル自体の名称も「パスワード一覧.xls」などにしておくのはやめましょう。
人によっては、管理ファイルをDropboxに落として、更にDropboxのMFAを利用しているという人もいるようですね。
パスワードは適時に更新する
最後に、とても当たり前のことですが、パスワードは適時に更新しましょう。まぁ私もすべては出来ていないですけどね・・・
ちなみに、パスワードは万一忘れた際の回復キーとして直近のものを聞いてくるケースも多いため、私は管理ファイル上、直近のものと2つ保存しています。
どれも書いてみると当たり前のことばかりですが、私も含めて意外と徹底できていない人が多いように思います。
編集後記
仮想通貨ではコインチェックのハッキング事件が起きた際、コールドウォレットの売れ行きが爆発的に伸びたようですが、私が仮想通貨に投資しているのは非常に少額なので、費用対効果を考えてそこまでしていません。
昔ながらのフィアット通貨については、銀行やカード会社が莫大なお金と時間を使ってセキュリティの仕組みを作っており、盗難補償もついているため、後は基本動作をしっかり行っておけば、ハッキングの対象になる可能性は相対的に低いのかなと今のところ思っています。
私は日本とアメリカでいろいろなサイトや、アプリケーション、口座を使っているので、登録するパスワードも100-150件程度になっています。
絶対安全という方法はないと思いますが、ハッカーから見て「これは破るのが簡単そうだな」という印象を持たれないようにしておくことが第一だと思います。
「パーソナル・キャピタル」についての詳細はこちらの投稿をご参照ください。
アメリカ在住者には「パーソナル・キャピタル」での資産管理が断然お勧め
Sponsered Link |
Sponsered Link |
最新情報をお届けします
Twitter でKenji@米国駐在員のカネとバラの日々をフォローしよう!
Follow @sorakoge
最近のコメント