CRM(顧客管理システム)・オンライン会議など、ビジネスでもネットワークが広く活用されるようになりました。
しかしインターネットで手軽に情報を扱えるようになった反面、管理を徹底しないと不正アクセスされてしまう恐れもあります。不正アクセスがどのようなリスクを招くかを理解し、対策を講じなければいけません。
当記事では、企業が取り組むべき不正アクセス対策とポイントについて紹介します。
1. 不正アクセスとは
不正アクセスとは、アクセス権限のない人間が不当な方法でID・パスワードなどの権限を取得し、デバイスや社内ネットワークに侵入したり、利用したりする行為を指します。
不正アクセスをきっかけに社内ネットワークの停止・情報漏洩など業務に大きく影響してくる可能性があります。
1-1. 不正アクセスのリスク
不正アクセスによっておこる二次被害は多岐にわたります。ここでは不正アクセスによって起こる企業のリスクについてご紹介します。
■情報漏洩
まず考えられる不正アクセスのリスクが、情報漏洩です。外部から社内PCなどに不正アクセスされると、情報が盗難されたり、漏洩する可能性があります。
企業が保有する情報の中には、顧客の個人情報や機密情報が含まれています。情報が漏洩してしまうと、顧客との取引停止・企業イメージの低下・株価の下落など、企業が受ける被害は計り知れません。
■データの改ざん
不正アクセスによって起こる二次被害として、データの改ざんがあります。企業の情報を書き換えられ、顧客やユーザーに虚偽の情報を与えてしまい、企業イメージの低下に繋がる恐れがあります。
またID・パスワードなどのログイン情報を改ざんされ、管理者やユーザーが社内システムやデータベースにアクセスできなくなるケースもあるのです。
このようなデータの改ざんを受けると、企業は業務を停止せざるを得なくなり、生産性の低下だけではなく、多大な損害を被ってしまう可能性があります。
■ウイルス感染
不正アクセスが原因でウイルス感染が起こることも考えられます。ウイルスは拡散し、他のPCやサーバー、社内ネットワークに感染します。
ウイルスに感染するとデータが破壊されたり、メールアカウントを乗っ取られ、顧客にスパムメールを発信するなど被害が拡大する恐れがあります。
1-2. 不正アクセスの被害事例
ここでは実際に起きた不正アクセスによる被害事例を紹介します。
事例①個人情報の流出
2022年2月28日、琉球大学のウェブサーバーに対する不正アクセスが発生し、287名の卒業生や教員の情報が流出した可能性があると明らかにしました。データには、氏名や電話番号、当時の学籍番号や成績、レポート内容などの情報が含まれていました。
事例②スパムメールの発信
2022年3月9日、株式会社クリエイティブマシンは不正アクセスのなりすましによってスパムメールを発信していた可能性があると明らかにしました。
メールアカウントのパスワード情報が外部に流出したことが原因です。
同社は被害アカウントからの電子メールに注意するように呼びかけています。
2. 企業が取り組むべき6つの不正アクセス対策
不正アクセスのリスクの可能性は至るところに潜んでいます。不正アクセスのパターンを想定し、それらを踏まえた対策を講じることが重要です。
ここでは、人的要因でおこる不正アクセスに備えた「内部対策」と、外部からの侵入に備えた「外部対策」にわけて解説していきます。
2-1. 内部対策
■IDやパスワードの管理
不正アクセスが起こる原因として、認証情報(IDとパスワード)の流出が考えられます。第三者に盗まれないように下記の点を意識して管理を徹底する必要があります。
● 単純なパスワードを設定しない(※誕生日・短い・数字や英字のみなど)
● 複数のシステムでパスワードを使いまわしをしない
● 定期的にパスワードを変更する
● 二段階認証機能を設定する
● 認証情報が記載されたメモ紙などは第三者に盗まれないようにする
● モニター画面をつけたまま席を離れない
● 企業側で利用できる端末を制限し管理する(※許可された社内PCのみがネットワークにアクセス可能にする)
■社内モバイル機器の管理
IDやパスワードだけでなく、社内モバイル機器の管理も気をつける必要があります。昨今リモートワークの広がりで、PCやスマホなどの機器を社外へ持ち出す機会が増えました。
モバイル端末が盗まれないように気をつけるとともに、紛失した際は管理者側ですぐに対策を講じられるようにしておきましょう。
社内モバイル機器の管理においては下記のチェックポイントをおさえておくと良いです。
● モバイル端末を持ち出す際は管理者に許可を取るようにする
● モバイル端末にID・パスワードを記録しない・記憶させない
● リモートワイプを取り入れる(遠隔操作でデバイス内の情報を消去する)
● リモートロックを取り入れる(遠隔からのログインをできないようにする)
■研修やOJTの実施
パスワードやモバイル機器の紛失は人的要因によるものが多いです。リスクを抑えるためにも従業員一人ひとりのセキュリティ意識がとても重要になってきます。
セキュリティ対策に関する研修やOJTを設け、日々の業務でセキュリティ意識を高めるように促すようにしましょう。
■ログの管理
ログとはパソコンやシステムのデータ履歴を指し、ログを適切に管理することで、個人情報や機密情報の流出を防ぐことができます。いつ・誰が・どのような操作を行なったのかが明確になるので、不正アクセスが発覚した際も即座に原因究明と対応がしやすいです。
また、ログ管理を行うことで社内の状況を確認することができ、「従業員が業務を適切に行なっているか」「不正を行なっていないか」などを把握できます。ログ管理は社内の内部統制の役割も果たします。
2-2. 外部対策
■セキュリティソフトの導入
不正アクセスの外部対策においてなにより重要なのが、セキュリティソフトの導入と定期的なアップデートです。
セキュリティソフトを導入する際は、自社の規模やソフト提供会社の実績を確認しながら検討するようにしましょう。
またソフトの定期的なアップデートも忘れないようにしましょう。マルウェアなどのウイルスは年々手口が巧妙になってきています。更新しないで古いバージョンのままだと、システムの脆弱性をつかれ侵入されてしまう場合があります。
常にソフトの更新がないかを確認し、最新の状態を保つように心がけましょう。またアップデートがある場合、メールなどで通知してくれるソフトウェアもあり、セキュリティソフトを導入する際の一つの基準となるでしょう。
■EPP・EDRの導入
EDRは、エンドポイントに特化したセキュリティ対策です。エンドポイントとは、遠隔地から社内ネットワークにアクセスする端末(PC・タブレットなど)を指します。
また昨今企業のリモートワークの普及で、家やカフェなど社外で業務する従業員が増えました。従来は社内ネットワークにて情報を保有し管理していましたが、社外での業務ゆえに管理が行き届かない場合もあります。
社内ネットワークのセキュリティだけでなくリモート側の端末(エンドポイント)のセキュリティを強化することが必要です。
EPP(Endpoint Protection Platform)はエンドポイント内に侵入する外部からの脅威を検知・駆除する機能があります。従来のファイアウォールやIDS/IPS検知システムだけでは対処できないネットワーク内の脅威侵入を防ぐことが可能となります。
EDR(Endpoint Detection and Response)はエンドポイント内の監視を行い、検知・隔離する機能があります。マルウェアの感染防止を目的とするEPPに対し、EDRはウイルス感染後の被害を抑えることを目的としたセキュリティ対策です。
EPPの場合、未知のマルウェアへの対処に関してサイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性が懸念されていました。EDRはウイルスを検知次第、即座にアクセス遮断などの対策をとり、ウイルスの拡散や社内情報が盗まれる被害を最小限に抑えます。
弊社が提供する「EXOセキュリティ」はエンドポイントセキュリティに特化したツールです。
新種のマルウェアの検知機能や悪性サイトへのアクセス遮断機能を備えており、リモートワーク時の様々なセキュリティの脅威に対応することができます。
運用も簡単で今なら無料でお試しができます。リモートワークのセキュリティ対策を検討している方はぜひお試しください。
⇨法人向け総合エンドポイントセキュリティ「EXOセキュリティ」
まとめ
今回の記事では、不正アクセスのリスクとその対策についてご紹介しました。不正アクセスの脅威は、私達の身の回りの至るところに存在しています。
不正アクセスが起きてしまうと、情報漏洩・データの改ざんなど企業に甚大な被害を招く恐れもあります。企業は不正アクセスの対策を十分に検討する必要があるでしょう。
セキュリティ関連部署や管理体制の強化など基本的な取り組みはもちろんのこと、企業に在籍する従業員一人ひとりがセキュリティ意識を持って、日々の業務を徹底してくことがより求められています。
当記事を参考に今後の不正アクセスの対策に役立てていただければ幸いです。