企業をターゲットとした不正アクセスは年々巧妙になり、被害も拡大しています。情報漏洩やデータ改ざんにより倒産まで追い込まれる企業も少なくありません。不正アクセスから自社を守るにはどうしたらよいのでしょうか?
この記事では不正アクセスの対策や対処法について詳しくご紹介します。
企業が不正アクセス対策をすべき4つの理由
信用失墜・ブランド毀損を避けるため
不正アクセスによって会社の機密情報や個人情報が流出してしまうと、どうしてもマイナスなイメージがついてしまい、取引先や利用者からの信頼失墜に繋がります。特に不正アクセスが起きた後の対応がずさんであったり、誠実さに欠けていたりするとサイト利用者の減少やブランド毀損、風評被害に繋がるリスクが高まります。
金銭的なコスト発生を避けるため
個人情報が漏洩してしまった場合は、賠償金の支払いなどの金銭的なコストが発生します。裁判費用や弁護士費用などもかかり、また、不正アクセスの対応でインフラエンジニアの稼働やベンダーとのやり取りで追加のコストが発生することもあります。
業務を滞りなく進めるため
サーバーを攻撃されてしまいシステムが止まってしまった場合は、業務が停止してしまう恐れがあります。特にEC系のシステムが停止すると、その日の売上を損失してしまうでしょう。また、個人情報漏洩などが起こると問い合わせの対応に追われてしまい、通常の業務を行えない可能性も考えられます。
より不正アクセスを招くリスクを避けるため
一度不正アクセスを許してしまうと、セキュリティが甘いことに気づかれてしまいさらなる攻撃を招く可能性も考えられます。不正アクセスの手口は一つではありません。その場その場の対応ではなく、根本的に不正アクセスから会社を守る対応が必要です。
企業への不正アクセスでよくある5つの手口
脆弱性をつく不正アクセス
システムの脆弱性をついた不正アクセスです。脆弱性とはOSやソフトウェアの不具合、設計上のミスなどが原因となるセキュリティの欠陥のことで、セキュリティホールとも呼ばれます。特にセキュリティの修正プログラムが提供される前にマルウェアなどを送り込むゼロデイ攻撃は対策が非常に難しいです。企業では経営に関わる機密情報や多くの個人情報を扱っているため、システムの脆弱性を放置しておくのは非常に危険です。
なりすましによる不正アクセス
第三者がIDやパスワードを不正に入手し、当事者になりすまして不正ログインする被害です。IDやパスワードは正しいものが入力されるため、サイトやシステム側からは本人かどうかを確認することができません。IDやパスワードがリスト化されて販売されているケースもあります。
ウイルスによる不正アクセス
企業や個人にウイルスの入ったURLや添付ファイルなどをメールで送り、リンクやファイルを開かせることでウイルスに感染させる方法も有名です。ウイルスに感染したままデバイスを使い続けると、知らない間にハッキングされ情報が盗まれてしまうこともあります。
フィッシングによる不正アクセス
知名度の高い企業やブランドの公式サイトなどとそっくりな偽サイトへと誘導し、IDやパスワードなどの個人情報を入力させて情報を盗む手口です。業務でよく使うサイトがある場合は、本物をブックマークしておいて、そこからしかアクセスしないようにするといった対策が必要です。
パスワードの推測・総当たりによる不正アクセス
英文字や数字の組み合わせを全て試してIDやパスワードを割り出す「総当たり攻撃」や、入手したIDやパスワードで様々なWebサイトにログインを試みる「パスワードリスト攻撃」などによる不正アクセスです。特に単純な英数字の羅列や生年月日に設定していた場合は割り出されてしまう危険性が高まります。
不正アクセスによる企業の4つの被害例
Webサイトを改ざんされる
不正アクセスによって企業のWebサイトが勝手に改ざんされてしまうことがあります。間違った情報を顧客に提供してしまうことになるため、企業のイメージダウンや信頼失墜に繋がる恐れがあります。また、ウイルスに感染したWebサイトにアクセスされることでウイルスをバラまかれたり、フィッシングサイトに誘導されてしまったりして、企業のWebサイトがウイルスの温床となる可能性もあります。
データが破壊される
不正にファイルを暗号化し、アクセスできなくするようなランサムウェアといったプログラムによりデータが破壊されてしまうことがあります。データが破壊されてしまうと企業のWebサービスが運用できなくなる可能性もあります。復旧まで時間がかかると、それだけ業務の遂行にも影響が出てしまうでしょう。
個人情報が流出する
不正アクセスが原因で個人情報が流出するケースもあります。特にクレジットカード番号は狙われることが非常に多く、流出した場合はユーザーの金銭的な直接被害に繋がる恐れがあります。その他にも、個人名や顔写真、住所、電話番号などが流出し、犯罪や詐欺に利用されてしまうこともあります。
送信元偽装に利用される
不正アクセスの中継地として利用されてしまう恐れもあります。インターネットの利用状況はアクセスログとして記録されるので、それを辿ることで不正元の特定ができるのですが、企業を送信元として偽装し、不正アクセスの濡れ衣を着せられてしまうことがあります。疑惑が晴れたとしても、セキュリティに問題のある企業だと認識されてしまうかもしれません。
企業が実施すべき不正アクセス対策
セキュリティソフトを導入する
ウイルス対策としてセキュリティソフトが有効です。ウイルスのスキャンや駆除、ID・パスワード管理、迷惑メールの防止などの効果があります。また、外部ネットワークと内部ネットワークの中間に導入され、外部からの不正アクセスを防ぐファイアウォールというものもあります。ウイルスを完全に防ぐことは難しいですが、ある程度被害を抑えることができるので必ず導入しておくことが重要です。
Web改ざん検知ツールを導入する
万が一、自社のWebサイトに不正アクセスされてWeb改ざんが行われた場合は、被害の拡大を防ぐために一刻も早く対処しなければいけません。そこで効果的なのがWeb改ざん検知ツールです。不正アクセスを防ぐことは重要ですが、もし起きてしまった場合の対処法を考えておくことも重要です。
パーミッションを設定する
パーミッションとはファイルへのアクセスに関する許可情報のことです。情報を保存しているファイルに外部から接続できないように、正しくパーミッションを設定しておくことは情報セキュリティの面において、非常に重要なことです。誰でもアクセスできる状態では、重要な機密情報が漏洩してしまうリスクが高まります。
OS・ソフトウェアを更新する
OSやソフトウェアの更新には脆弱性の改善なども含まれます。使用しているソフトウェアの開発元やシステム機器メーカーから脆弱性に関する更新があった場合は、速やかに緊急性や影響を確認し適用する必要があります。
ID・パスワードを徹底的に管理する
パスワードは生年月日や電話番号、簡単な英数字の繰り返しといった予測されやすいものは避けましょう。使いまわしもNGです。情報処理推進機構(IPA)では、強固なパスワードの基準として、8文字以上で、大文字と小文字の英字、数字、記号を組み合わせた意味のない文字列にすることを推奨しています。
社用デバイスの管理を徹底する
例えば、デバイスにパスワードをかけていなかった場合は、盗難時や紛失時の情報漏洩のリスクが高まります。また、組織が許可をしていないソフトやサービスの利用、個人端末での業務遂行なども考えられます。場合によっては数千台にも及ぶ社用デバイスを適切に管理するのは簡単ではありませんが、目の届かないところでのリスクを抑えるために必要なことです。
社用デバイスにインストール制限をかける
社員個人の判断で会社では許可されていないソフトウェアをインストールすることがないようにデバイスに制限をかけることも効果的です。社内で使用されるソフトウェアの種類が増えるほど管理が難しくなりますが、万が一脆弱性のあるソフトウェアが混じっていた場合は不正アクセスの原因となる可能性があるためです。
セキュリティに強いパソコンを導入する
そもそもセキュリティに強いパソコンを使うというのも、不正アクセスを防ぐ手段のひとつです。認証センサーによるログイン機能があるデバイスや、パスワード以外でのログインができるデバイスであれば不正ログインのリスクを下げることができます。
社員にセキュリティ教育を実施する
社員が不用意に開いてしまったメールや、ウイルスだと気づかずクリックしてしまったURLなどから感染してしまう事例は多くあります。どんなにセキュリティ対策を行っても、社員個人のリテラシーが低ければ意味がありません。社内研修などで社員一人一人のリテラシーを高めることが大切です。
社内無線LANルーターはWPA・WPA2を使う
社内無線ルータを使用する場合は、WPAやWPA2などの新しい通信の暗号化方式を選ぶことをおすすめします。社内無線ルータに暗号がない場合や、古い認証方式である「WEP」の場合は、不正アクセスや通信傍受のリスクが高まるためです。
企業が不正アクセスされた場合の対処法
被害を受けたデバイスを隔離する
まずは被害を受けたデバイスを隔離するためにネットワークから切り離します。LANを使用している場合はLANケーブルを抜き、Wi-Fiを使っている場合はWi-Fiを切ってデバイスをオフラインにします。IT関連部門の指示に従い、決して自己判断で再起動はしないでおきましょう。また、企業で緊急時対応計画をつくっておくことも大切です。
パスワード変更・アカウント停止を行う
アカウントへの不正アクセスが起きた可能性がある場合は、関係部署や専門家に連絡すると同時に、さらなる被害の拡大を防ぐためにIDやパスワードの変更を行います。特に目立った被害がないとしても、情報漏洩や二次被害を防ぐために必ず他のデバイスから設定を変更しましょう。不正アクセスによってパスワードを書き換えられてしまった場合は、アカウントの停止処理も行う必要があります。
ログを保存する
自己判断でシャットダウンしたり再起動したりせずに、ログやファイルの証拠を残しておくことが大切です。侵入の痕跡やアクセス履歴などの証拠を残しておくために、通信ログ、認証ログ、イベントログなどのログを残しておきましょう。
現状確認・復旧作業を行う
IT部門や専門家による現状確認や調査のあとに復旧作業を行います。ウイルス感染の有無や不正アクセスの経路、被害の大きさなどを把握します。自社で解明が難しい場合は専門業者に依頼する方法もあります。
もし調査しても原因が分からなかった場合は、攻撃者を完全にシャットダウンするために、OSの再インストールや最新版へのアップデートなどを行いましょう。
企業が不正アクセス対策をする際の5つのポイント
現状の洗い出しをする
まずは、企業の現状を把握しましょう。把握すべきことは以下の通りです。
・社内のネット環境
・ネットワークの使用者
・ネットの使用用途
・ネットワーク図
・社内で使用しているアプリ・システム・サービス
・アカウント管理者
・ユーザーの把握
自社がどんな状況なのかを把握しなければ対策のしようがありません。しかし企業の規模が大きければ大きいほど骨が折れる作業になるでしょう。
弊社では管理側と利用者の間に立ってヒアリングをするサービスを行っていますので、お困りの際はお気軽にご相談ください。
セキュリティリスクのアセスメント
不正アクセスの対策をしようとした際に、まず思いつくのはセキュリティソフトの導入かと思います。しかし、やみくもにセキュリティを導入する前にやるべきことがあります。それはリスク脅威の洗い出しです。対策できている部分とそうではない部分を評価し、強度をアセスメントすることが重要です。
幹部・社員への教育
不正アクセスの対策をするだけでは安心とは言い切れません。不正アクセスは、社員のリテラシーの低さが原因である場合もあります。パスワードの設定方法や、パソコンの使い方などの教育も同時並行で進めていく必要があるのです。
社内での社員による教育が嫌がられるケースもあります。特に幹部が教育を受ける場合は、その傾向が強いです。そこで弊社が間に立つことで教育もスムーズに進めることができるのです。
コストに見合ったシステムサービスの導入を考える
経営に合っていて、かつ信用性の高いサービスを導入することが重要です。しかし、どこまで整えても不正アクセスのリスクは0にはなりません。
万が一何か起きた時の駆け込み寺として弊社が伴走支援します。万が一のために会社の状況を分かってくれている会社を近くに置いておくことは重要です。
弊社はCSIRT(Computer Security Incident Response Team)の組織構築にも関わらせて頂くので、社内でも対応できる体制づくりのお手伝いをさせていただいております。そしてセキュリティに関する定期的なPDCAサイクルを回して、コスト面のチェックやサービスの最適性などを会社環境の変化に応じて変えていくサポートを行います。
対策すべきはデジタル攻撃だけではない
不正アクセスは外部からの攻撃だけではありません。内部での人的な不正リスクも考えられます。アセスメントの中で守るべき情報や会社にとって重要な情報をを明らかにして、アクセスできる人間を限定するなどの人的不正を防ぐ取り組みも必要です。
まとめ
今回の記事では、企業を不正アクセスから守る方法について詳しくご紹介しました。不正アクセスは年々巧妙さを増しています。不正アクセスの対策も日々改善していく必要があるのです。
アスエイトアドバイザリーではネットワークの脆弱性診断やログ監視サービス、セキュリティ教育などを行っています。人員や費用の面から自社だけでは不正アクセス対策の対応が完全にはできないこともあることでしょう。専門知識のある弊社がお手伝いさせていただくことで、より強固な対策ができるはずです。
不正アクセス対策についてお悩みの企業のかた、ぜひお気軽にご相談ください。