企業では事業を継続していく上でさまざまなリスクへの対策が必要になります。最近では大手銀行、クレジットカードサイト、SNSサイトなどを中心に、不正アクセスや不正ログインによる被害が拡大しています。今回は、企業にとって大きな脅威となりかねない、「不正アクセス」対策について解説します。
目次
急増する不正アクセス
平成31年に公表された資料によれば、不正アクセスの認知件数は年々低下しているものの、平成30年時点で1,486件の被害が報告されており、いまだ問題の根絶からはほど遠い状況です。
参照:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
不正アクセスというと、ハッカーや悪意のあるソフトウェアによるサーバーやネットワークの脆弱性を狙ったサイバー攻撃を思い浮かべる人が多いかもしれません。
しかし、実際には組織内からの情報流出や、なりすましによるものなど、人的な脅威による不正アクセスも多く報告されており、手口としては、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」がもっとも多くなっています。
参照:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
不正アクセスの最大の原因、誰もがやりがちな“あの”方法とは、安易なパスワードの設定・使い回しといってもよいでしょう。不正アクセスに対して、企業、または個人として、どのような対策がとれるでしょうか。以下では企業として、また個人としての不正アクセス対策について解説していきます。
不正アクセスに遭わないために:企業としての対策
不正アクセスを受けた結果、企業が直接被る可能性のある被害として、ホームページの改ざん、データの流出、システムやサービスの停止などが挙げられます。
間接的には、システムがスパムメールや攻撃の踏み台として利用され、他社への不正アクセスに利用される可能性もあります。
このような被害を防ぐには、適切なシステムの構築と、知識・技術を持った管理者による運用が不可欠です。実際に不正アクセス受けた際の早期の復旧を鑑みた場合でも、システム管理者に対する投資は必要といってよいでしょう。
具体的な対策として、総務省は以下の対策を挙げています。
- サーバーで利用するサービスの確認
- ソフトウェアの更新
- パーミッションの正しい設定
- SQLインジェクションへの対策
- ファイアウォールや侵入防止システム(IPS)の導入
また、組織を構成する社員や職員に対しては、特に以下の対策を挙げています。
・モバイル機器の適切な管理
企業のシステムのセキュリティ対策の状況をチェックするサービスを提供している会社もあります。この機会にシステムの状態を総点検して、不正アクセスに対するリスクや不安を払拭するのも一考の価値があります。
ただし、人的な脅威による不正アクセスも多いため、パスワードの設定の甘さ、パスワードの聞き出し・覗き見といったリスクについては、社員や職員への周知の徹底と教育がシステムの整備と合わせて必須になります。総務省が公開している『国民のための情報セキュリティサイト』などを参照し、今一度不正アクセスの脅威とリスクについて組織で確認し、対策を共有するとよいでしょう。
不正アクセスに遭わないために:個人としての対策
不正アクセスの問題は何も対企業だけのものではありません。不正アクセス後に行われた行為として「インターネットバンキングの不正送金」が多いほか、「仮想通貨交換業者等での不正送信 」や「インターネットショッピングの不正購入」など、個人にとって金銭的に大きな被害を受ける可能性があります。また、なりすましや情報の改ざんなどにより、個人の信用が損なわれる可能性もあります。
不正アクセスの手口を見てみると、「パスワードの設定や管理の甘さにつけ込んだもの」や「識別符号を知り得る立場にあった元従業員や知人等によるもの」といった手口が多いものの、どちらも「パスワードの定期的な変更」により容易に対策を講じることができます。
パスワードについては、「忘れてしまいそうだし、都度問い合わせたり再設定したりするのは面倒くさい・・・」と思う人も多いかもしれませんが、パスワードの使い回しは避けましょう。一か所で流出したパスワードが他所で試され、不正アクセスにつながるリスクがあるからです。
また、日々使用するコンピューターについては、ソフトウェアのアップデートとあわせて、セキュリティソフトウェアのインストールと定期的なチェックを実施しましょう。不正アクセスを防止するだけでなく、万が一の事態に脅威の早期発見と対策につながり、被害を最小限にとどめることができます。これは、自分自身を守るだけでなく、データでつながっている友人や知人を守ることにもなります。
今後はSNS運用のセキュリティ面に注意
昨今では、企業・個人を問わずSNS運用が一般的になりました。無料で利用を開始できて、広告の打ち出しや顧客との交流に利用できることから、特にビジネスシーンでは必須のツールとなりつつあります。
こうして、いまや情報発信のために不可欠となったSNSは、運用する際に以下のような被害に注意しなければなりません。
社外秘情報やプライバシー情報の流出
SNSは、従来のホームページやブログよりも気軽な情報発信を得意としており、使い方次第では大きな拡散力を期待できます。裏を返せば、情報の扱いには一層の注意が必要となったのです。
たとえば、社内の様子をSNSでアップする際に、投稿に漏洩させてはいけない顧客の情報が含まれていたり、社員の個人情報を特定できる書類等が写りこんだりすれば、それらは瞬く間に不特定多数に拡散されて削除は困難になります。
自社がステークホルダーから信用を失う
個人情報の特定により嫌がらせ行為を受ける
たった1つの投稿が、このような被害に発展する可能性があるため、SNSは本来リテラシーの高い人物により運用されることが望ましいのです。
第三者によるSNSアカウントの乗っ取り
何らかの方法によりアカウントのログイン情報を抜き出されて、運用者が本来意図しない投稿・メッセージが発信される事例があります。
昨今では、第三者によるSNSアカウントの乗っ取りが増加しつつあるため、前述した「運用者に起因する情報流出」だけでなく、サイバー攻撃の可能性も意識しなければなりません。
第三者による乗っ取りは、明らかな悪意を持って行われることから、高確率で「信用毀損につながる投稿」や「悪質なURLの発信」などの不正操作が実行されるのです。前者は企業のブランドイメージ低下、後者は不正サイトの誘導による情報の抜き出しといった、深刻な被害を招きます。
企業・個人がSNSを安全に運用するための方法とは?
心当たりのない投稿・メッセージを自身で見つけたり、見知らぬデバイスでのログイン履歴を見つけたり、乗っ取りをいち早く発見する手段には限界があります。
そのため、SNSに起因するセキュリティ問題の予防を心がけて、以下のようなルールを設けつつ運用することを強く推奨します。
- 投稿前に文章・画像が情報漏洩を招く可能性を確認
- ログイン情報(ID・パスワード)をこまめに変更する
- 不用意にSNSを他社サービスと連携しない
- SNSを運用するデバイスにセキュリティソフトを導入する
特に、投稿前に文章・画像を確認するプロセスは、情報漏洩を回避するうえで重要です。手軽に情報発信ができてしまうSNSだからこそ、投稿前に「問題の火種」となる可能性について確認しなければ、そのほかの予防策は全て効果を発揮しません。
そのうえでログイン情報を定期的に更新し、不要なサービス連携の解除、セキュリティソフトの導入を順次実施していきましょう。
まとめ
この数年、増加している不正アクセスについて、現状や手口、企業と個人それぞれがとりうる対策について解説しました。パスワードの使い回しをやめるなど、すぐにできる対策も多くあります。まとめて時間が取れる時に対策を講じて、漠然と感じていた不正アクセスに対する不安を払拭してする機会としてはいかがでしょうか。
参考:総務省 – 情報セキュリティ初心者のための三原則
参考:総務省 – 一般利用者の対策
参考:総務省 – SNS利用上の注意点