2022-02-08 18:47:53

企業が不正アクセスから身を守るために必要な対策とは？

複数のセキュリティ対策機能が搭載された製品企業で利用している端末、サーバ、Webサービスなどは、通常は特定のユーザーしか利用できません。
しかし、「不正アクセス」というサイバー攻撃によって第三者に利用されてしまうこともあります。
こちらでは、不正アクセスによる被害や不正アクセスを防ぐための対策についてお話しします。

不正アクセスについて動画解説！

不正アクセスとは

不正アクセスとは、本来であればアクセスすべきではない第三者からネットワーク経由でアクセスを受けることです。
主に端末やシステム、サーバ、Webサイトなどが対象になります。
ID・パスワードといった他人のアカウント情報を入手してログインすることは、不正アクセスに該当します。

不正アクセスされると、決済に関する情報を見られる、ユーザー本人になりすまされるなどの危険があります。
さまざまなリスクをはらんでいることから、不正アクセス対策は必須です。

不正アクセスによる被害

不正アクセスによる被害について、代表的な例をご紹介します。

機密情報の流出

現在は多くの企業でクラウドストレージが利用されています。
ファイル共有に役立つことから、業務効率化のメリットがあるクラウドストレージですが、当初はセキュリティを懸念する声も少なくありませんでした。

しかし、現在は、ベンダー側の取り組みにより強固なセキュリティが保たれています。
ただし、IDやパスワードを外部に知られてしまった場合はその限りではありません。
機密情報をクラウドストレージに保存していた場合は、不正アクセスによって簡単に盗み見られてしまいます。

ECサイトアカウントの不正利用

ECサイトのアカウントに不正アクセスされた場合、氏名や住所、購入履歴などの個人情報が流出してしまいます。
また、勝手に買い物をされることにより登録しているクレジットカードに見に覚えのない請求が届くケースもあります。

インターネットバンキングの資金流出

インターネットバンキングに不正アクセスされると、第三者の口座に不正送金されてしまうリスクがあります。
インターネットバンキングサービスは不正アクセスを防ぐために堅牢なセキュリティ対策を実施していますが、それでも不正送金の事案はなくなっていません。
悪意ある第三者はフィッシングやウイルスなどを駆使し、さまざまな手口でアカウント情報を盗もうとしてきます。

SNSの乗っ取り

現在は多くのユーザーがSNSを利用しています。
しかし、アカウント情報を盗まれると乗っ取りの被害にあう可能性があるため注意が必要です。
心当たりのない投稿を発見し、アカウントの乗っ取りに気づくケースが相次いでいます。

本人になりすまし、フィッシングサイトなどの情報を発信して他のユーザーを誘導する手口が代表的です。
また、パスワードを変更し、本人がログインできないようにすることもあります。

誤認逮捕

アカウントやメールアドレスの不正アクセス、ウイルス感染によりパソコンを不正利用され、遠隔操作パソコンで情報発信されることで、誤認逮捕されるケースがあります。

過去には遠隔操作されたパソコンによって犯行予告が流され、誤認逮捕される事件が実際に起きています。
この事件が警察のサイバー犯罪への操作力が疑問視されるきっかけとなりました。

不正アクセスを取り締まる「不正アクセス禁止法」

相次ぐ不正アクセスを取り締まるため、2000年から施行されているのが不正アクセス禁止法です。
「不正アクセスの行為者に対する規制」として、以下のような行為を禁止しています。

・不正アクセス罪
権限のない第三者のユーザーがシステムに内部に侵入する行為。「なりすまし行為」「セキュリティホールを攻撃する行為」に大別される。

・不正取得罪
他人のパスワードを不正に取得する行為。

・不正助長罪
ID・パスワードなどの情報を、許可なく第三者へ公開する行為。

・不正保管罪
他人のパスワードなどを許可なく保存する行為。

・不正入力要求罪
パスワードのなどの情報を入力させる行為。フィッシング行為などが該当する。
不正アクセス禁止法は施行後もサイバー攻撃のトレンドや実際に起きた事件などを反映させ、改正が行われています。

自社のセキュリティ対策は大丈夫？？

企業ができる不正アクセス対策

企業として、不正アクセスに対して具体的にどういった対策を講じるべきなのでしょうか。
代表例をご紹介します。

社内の意識改革

どんなユーザーでも不正アクセスの対象になり得ます。
業務で使用しているパソコンやスマホなども、例外なく不正アクセスの標的になる可能性があるのです。
そのため、社内の意識改革をして不正アクセス対策に取り組む必要があるでしょう。

「情報は会社の資産であり、セキュリティで保護していかなければならない」という意識を全社的に定着させることが大切です。
新型コロナウイルスの感染拡大によってテレワークが急速に普及した現代では特に、不正アクセスに対する緊張感が個々人にまでいきわたっていないことが考えられます。
不正アクセスによって被ることになるリスク、求められるセキュリティ対策の双方を徹底して共有しましょう。

適切なソフトウェアの導入・アップデート

不正アクセスを防ぐため、端末にはセキュリティソフトウェアをインストールしておくのが一般的です。
多数のセキュリティソフトがありますが、性能については大きな差はありません。
動作の軽さ、ライセンス数、ライセンス期間、コストなどに違いがあるため、自社にとって適切なものを選びましょう。

また、セキュリティソフトがをアップデートされてしていない場合は、最新のマルウェアに対する修正プログラムが適用されておらず、不正アクセスに対して脆弱になってしまいます。
新しい修正プログラムが配布され次第、すぐにアップデートを行うことが大切です。

情報の暗号化

アカウントの情報が流出したとしても、暗号化されていれば第三者が閲覧することはできません。
特に流出が許されない情報に関しては、暗号化して保護することをおすすめします。

情報を守る仕組みづくり

不正アクセスにつながる情報流出事案の多くは、人為的ミスによって起きています。
ヒューマンエラーを完全になくすことはできませんが、情報を守る仕組みをつくって流出を防ぐ取り組みが重要です。

ファイルにアクセスできる権限を一部の社員のみに与えるといったルールづくりが大切です。
近年普及しているビジネススタイルを考えると、モバイル端末利用についてもフリーのWi-Fiを利用しないといったルールが求められます。

不要なサービスの利用停止

利用しているサービスが多ければ多いほど不正アクセスを受ける確率は高まります。
現在はビジネスにおけるWebサービスの利用が一般的になっていますが、導入しても使わなかったサービスや、既に移行して使っていないサービスも少なくないでしょう。

そうしたサービスを残しておくと不正アクセスの被害にあうことも考えるため、アカウント削除や利用停止の手続きを行ってください。
また、セキュリティ対策のために可能な限り複数の業務を1つのサービスに統合すると、業務ツールの一元化により結果的に業務効率化につながることがあります。

自社のセキュリティ対策は大丈夫？？

不正アクセスを防ぐ技術

不正アクセス対策として活用されている技術をご紹介します。

UTM

UTM（Unified Threat Management）は、複数のセキュリティ対策機能が搭載された製品のことです。
具体的には、ファイアウォール、IDS/IPS、不正侵入防御などの機能がひとまとめになっています。
インストール不要で設置しやすいほか、ネットワークの出入り口に設置するため、1台設置するだけでオフィス全体のセキュリティ対策になる点が特徴です。

WAF

WAF（Web Application Firewall）とは、Webアプリに対して使用するファイアウォールのことです。
一般的なファイアウォールが内部ネットワークへの不正アクセスを検知するのに対し、WAFはWebアプリへの不正アクセスを防ぎます。
具体的には、メールやビデオ通話ツール、各種業務効率化システムなどブラウザで使うアプリへの不正アクセスを防止します。

認証システム

多くのサービスでは認証システムを複雑化させることで不正アクセスに対抗しています。
二段階認証がその代表例です。

二段階認証とは、知的認証、所有物認証、生体認証のうちいずれか2つ以上の認証要素を使用し、認証を行う方式のことです。
「ユーザー本人である」という証拠を複数求めることにより、不正アクセスを防ぎます。

不正アクセスが発覚した時は

自社が不正アクセスにあったことが発覚した後に求められる行動について解説します。

対策を行う内部組織の設置

不正アクセスは発覚したとしてもすぐに実害が出るわけではありません。
しかし、その後の被害を想定して、専門の組織を設置しておくことが求められます。
セキュリティにどんな不備があったのか確認することもこの組織の仕事です。
一度、内部組織を設置しておけば、その後もセキュリティ被害の対応窓口として機能します。

被害の調査・復旧作業

被害の拡大を防ぐためにまずネットワークを遮断します。
その後、関連していると思われるそれぞれの社員に、業務用端末の使用状況を確認しましょう。
消失しているファイルや見に覚えのないログ、決済の履歴などがないか確認してください。
Webサービスに関しては、再発を防ぐためにパスワードを変更する必要があります。