自宅のIT環境・スマートホーム化のセキュリティって大丈夫なの?最低限守った方が良いと思うセキュリティ対策
1、多要素認証(2要素認証) パスワードだけでは心配
2、使用しない・連携しないデバイス(誤動作で火事にならないために)
3、子供による誤動作対策
4、夫婦で情報を分ける
5、セキュリティが弱いアプリは使わない(ベンチャーや海外製)
6、WiFi管理ソフトで知らないデバイスを自宅ネットワークには繋がない
多要素認証とは、ID・パスワード以外の他の要素(例えば、指紋や顔認証、認証アプリなど)を使用して、ID・パスワードが誰かに漏れたとしても第三者にログインさせないようにする仕組みです。Googleアカウント、Appleアカウント、Yahooのアカウント、Amazonアカウントなど特に重要なアカウント(これを誰かに乗っ取られると影響が大きいもの)については多要素認証を設定することで漏洩することを防ぐことができます。
我が家ではGoogleアカウントは特にスマートホームの設定や写真保管などに使用していますので多要素認証を設定しています。Googleアカウント以外には、クレジットカードを登録しているようなサイトにログインするものは多要素認証を設定することをお勧めします。銀行のオンラインバンキングでは強制的に取引を行う場合は多要素認証を必要としますが、ショッピングサイトなどでは多要素認証を設定していないものもあります。(ショッピングサイトのアカウントが漏れた場合は例えば住所変更(犯人の)されたのち、クレジットカードを使用されるといったことが考えられます)
2、使用しない・連携しないデバイス(誤動作で火事にならないために)
スマートホーム化ではスイッチを自動で押してくれるIotデイバス(例スイッチボット※1)があります。これらはスマホで外出先からボタンを押すことができ、例えばお風呂のボタンを押すことや暖房器具につけておけば帰宅前に家が温かくなったりさせることが可能です。ただ、これらの暖房器具は誤動作(機器製品の会社のバグであったり、設定の誤り)があった場合に外出の間暖房をつけたままになり、地震などで転倒するなどと重なった場合に火事に繋がる可能性がありますので、こういった人がいなくて少し不安な機器にはスマートホーム化はしない方が良いでしょう。自動化する機器は、取捨選択して適用範囲を決める必要があります。安全な仕組み(例えばお風呂のボタンは一日に一度しか押せないなど)を入れることで問題ない場合もありますが設定が難しいと思われる方は導入しない方がいいでしょう。
また、誤動作で帰宅までその家電を使用し続けることになりますので、電気代も無駄になります。
湯沸かしなどに対応している製品としてはHEMS(AiSEG2という機器で操作)と呼ばれる国や家電メーカーが推進している家のスマートホーム化の仕組みがありますので、それに対応した製品で行うのが安全かと思います。
子供は、親のスマートフォンに対してとても興味があります。我が家では特にYouTubeや写真(カメラ)を見ることが多く、パスコードもすぐに覚えて勝手にスマホを使っているといったことも良くあります。我が家は5歳~6歳でスマホを使いこなし、じぃじ・ばぁばの家にLINE電話を行うこともすぐに覚えてしまいます。
心配なのが見せるべき有害コンテンツの閲覧、スマホ依存症、有料サイト(突然の請求)、年齢があがるとSNSや子供間などのネットでのいじめ問題などのトラブルに巻き込まれることが親としては心配です。スマホを持たせるメリット(親などと連絡ができる、子供の位置がわかる、ITリテラシーが付くなど)も大きいと思いますし、もし持っていない場合も友達のスマホなどから有害な情報を閲覧してしまったりしますので、持たせる時期(年齢)を考えつつ、年齢が上がればある程度はリテラシーを子供に持たせることが重要になると思います。
iPhoneの場合には、子供用のアカウントを作成・そのアカウントでスマホにログインし、そのアカウントを親のアカウントとファミリー設定しておくことでペアレントコントロールという子供のスマホに不適切な情報を防御しつつ、親が承認すればアプリを入れられるなど柔軟な設定が可能です。
夫婦といってもプライバシーがありますし、夫婦でアカウントを共有すると利用規約違反になるものもあり、情報を共有する場合も夫のアカウント、妻のアカウントを使って、そのアカウント同士で情報共有をするといった対応が必要となります。
ファイル・写真の共有はアカウントのIDとパスワードで共有するのではなく、共有するファイルやフォルダを都度共有することで見せたいものだけを共有する。
ファイル共有:共有設定
5、セキュリティが弱いアプリは使わない(ベンチャーや海外製)
筆者はITエンジニアとしてシステム管理をやってきたことから多少理解しているつもりですが、金融機関や携帯電話など社会インフラとなっている会社の情報管理はしっかりしていますが、それ以外の中堅・ベンチャー企業の情報管理は情報丸見えのようなお粗末な管理をしているところがあります。(会社によりますが)
| 金融機関や携帯電話などしっかりしている会社 | システム担当者でも情報閲覧には社内承認が必要であったり、データセンター立ち入りには空港の保安検査場にあるような赤外線検査でチェックされる仕組みなどがある |
| 情報管理がお粗末な会社 | システム担当者であれば誰でも顧客情報が閲覧できる、監視されずに個人メールに送信することが可能 |
こういった情報管理が適切でない会社の製品を使うと社内で、「顧客の〇〇さん〇〇やっているよ」とか会話されているかもしれませんし、どこに顧客情報がコピーされているかもわかりません。信頼できる製品としては、一概には決められませんが、Google、Microsoft、Amazon、Yahoo、KDDIなどの大手企業、海外製よりも日本製の方が比較的安心度は高いと思います。利用規約などを確認すると個人情報の取り扱い範囲や公開する場合の条件(訴訟など)も記載していますので、その範囲を超えない取り扱いがされているのがわかります。一方、安心できない会社では、利用規約があいまいであったり、記載がないものがあります。ただし、Google、Microsoft、Amazon、Yahooなどの大手企業についても情報管理は他の企業よりも優れていたとしても、製品設定時に「障害や開発協力としてデータを利用してもよいか」といった選択肢があり、それに対してYESを選ぶと情報を利用されてしまうこともあります。こういった設定を注意しながら実施することで適切な情報設定が可能になると思います。
これらの理由から例えば、Google社のAIスマートスピーカーやアプリは安心であっても有名でない〇〇製品にはいつもと違うIDとパスワードを使うといった選択をすることができます。それによりセキュリティ不安な製品から万が一IDとパスワードが漏れた場合も他の製品のIDとパスワードが漏れることはありません。
スマホアプリで危ないもの
スマホに入れるアプリについても危険なものがあります。例えば、海外製でその国の法律などに不安があること、必要以上にユーザデータを取集しているといったアプリを入れると、気づかないうちに情報がその会社で収集されていることがあります。以下のサイトではiPhone、Andoroidで「絶対に使っていけない危険アプリ一覧」の記載がありますので、ご参考にしてみてください。ZoomやTikTokなど有名アプリも含まれます。
6、WiFi管理ソフトで知らないデバイスを自宅ネットワークには繋がない
自宅に設置したWiFiは、自宅付近からも電波を拾うことができます。パスワードが漏れてしまうと、自宅のWiFiに接続される可能性があります。これらを防ぐためには、自宅に繋ぐ機器(例えば、自身のスマートフォン、パソコン、テレビなど)を設定して、その設定したデバイス以外は繋がないように設定することで、パスワードが漏れても自宅外から接続できないようにすることができます。
接続できないように制限を入れるためにはルータと呼ばれる機器(WiFiなどの電波を飛ばしている機器)に接続してMacアドレスの制限(Macアドレスは機器を特定するための一意のキー)を入れることで制限することができます。
