公開日 /-create_datetime-/
企業でのWebやITの活用が進む中、総務担当者・システム担当者は不正アクセスへの対応を迫られています。不正アクセスへ対応していくためには、事前の対策が重要です。
不正なアクセスへの対策を立てるため、今回は不正アクセスのよくある手口や対策方法を見てみましょう。
目次【本記事の内容】
不正アクセスとは、アクセス権限を持たない者がサーバや情報システムの内部へ侵入する行為のことです。1999年には不正アクセス禁止法が制定され、アクセス権限を持たない者がインターネット上で不正にアクセスする行為に対しては、法律で禁止・罰則が定められています。
不正アクセスを行う手口は、大きく分けて二つあります。
一つ目は、コンピュータのOSやソフトウェアの「セキュリティホール」からアクセスされる場合です。
セキュリティホールは、OSやソフトウェアの設計上のミスなどが原因で発生するセキュリティ上の欠陥をいいます。セキュリティホールが残されたパソコンを使用すると、ハッキング攻撃やウィルス感染により、不正アクセスの被害に遭う可能性があります。
二つ目は、「識別符号」と呼ばれるアクセス権限者であることを示すIDやパスワードを不正に入手し、アクセスされる場合です。
識別符号の不正入手は、詐欺メールに添付されたスパイウェアやフィッシングサイトにより行われます。
また、総当たり攻撃と呼ばれる、パスワード解析ツールを使用してIDやパスワードが一致し、ログインできるまで繰り返し試行する方法もあります。よく「ID・パスワードは複雑なものにしましょう。定期的にID・パスワードを変更してください。」と呼びかけられるのは、この不正アクセスを防ぐためです。
このように、全くの他人から不正アクセスを受けるケースもありますが、平成29年に検挙された不正アクセス行為の手口をみると、知人による犯行にも注意が必要です。
識別符号を盗まれたことによる不正アクセス行為で検挙された総数545件中、113件が「識別符号を知り得る立場にあった元従業員や知人等によるもの」であり、身近な人間による犯行である場合もあります。
セキュリティホールや識別符号の窃用により、不正アクセスを受けると様々な被害を受けます。代表的な被害は下記の通りです。
上記の被害の中でも、ここ数年で実際に不正アクセス行為が多かったものは「インターネット上で提供される様々なサービスの不正利用」です。
インターネットバンキングでの不正送金や、インターネットショッピングでの不正購入、オンラインゲームの不正操作などがあります。
総務省へ実際に報告された、「インターネット上で提供される様々なサービスの不正利用」については、下記のような検挙事例があります。
平成29年1月、自営業の男(39)らは、個人間融資を仲介するインターネット掲示板で、融資をするとの虚偽の情報を書き込み、応募者に本人確認審査と称して、携帯電話のキャリア決済に必要なID・パスワードを送信させました。
男はこれを使用して携帯電話会社決済用サーバに不正アクセスし、電子マネーをだまし取り、同年10月、不正アクセス禁止法違反(不正アクセス行為)で逮捕されました。
それでは、企業が不正アクセスによる被害を防ぐためには、どうすればよいのでしょうか。管理担当者は下記の点に気をつけて、ITセキュリティを強化しましょう。
識別符号の設定について、容易に推測されない、他で使用しているものとは違うものを設定し、定期的に変更するようにしてください。アクセス権限者だった従業員が退職する場合は、IDの削除や、パスワードの変更実施を徹底しましょう。
金融機関などを装って、口座番号や暗証番号等の個人情報を入力させるフィッシングや、不正プログラムを感染させ、他人のID・パスワードを不正に取得する手口は電子メールを経由して発生する場合が多いです。心当たりのない電子メールは不用意に開かないよう社内で周知徹底してください。
不正アクセスされやすいサービスとして、サーバを遠隔操作できるTelnetやパソコン間でのファイル転送に使用されるFTPがあります。サービスが特に必要なければ、サービスを停止しましょう。
ソフトウェアの開発元などからセキュリティホールの修正のため、更新プログラムの適用を促された場合は、危険性を検討し迅速に更新してください。
その他、重要なセキュリティ対策として、 SQLインジェクションへの対策、パーミッションの設定、ファイアウォールやIPSなどシステムの導入、デバイスの取扱注意などが挙げられます。総務やシステム担当者は、不正アクセスの手口を理解し、企業の信用低下や損失を生み出す可能性のある不正アクセス対策を徹底しましょう。
アフターコロナの採用戦略とコスト最適化
労働契約と業務委託契約の違いとは?契約書に記載すべき重要ポイントを解説
中堅大企業のための人事給与BPO導入チェックポイント
失敗しない!法対応と業務効率化を実現する経費精算システム選び方ガイド【4社の比較表付き】
サーベイツールを徹底比較!
ランスタ開催直前告知!成長企業の経理担当者なら押さえておきたいウェビナーは…?
【管理部門・士業の実態調査】2024年度の給与アップと人事評価の実態とは?
社内不正被害、人材の流動性が高い4月から6月は要注意 被害の6割近くは「情報持ち出し」
学生の就職観は「楽しく働きたい」「ノルマがきついのは嫌!」~企業が採用活動をするときのポイント~
【2024年度の賃金動向】企業の約6割が“賃上げ見込み”過去最高記録を更新へ。半数超が「ベースアップ」を実施予定
よくある残念な英語研修VS成果を出した英語研修の短期計画
契約ライフサイクルマネジメント(CLM)ソリューションの導入に向けて
【新卒エンジニア育成】入社1年で8割が一人前!サイバーエージェントの新入社員育成
【面接対策】ハイスキルエンジニア学生を惹きつける!必見の面談テクニック!
知らないともったいない!ビジネスカードのマル得活用ガイド
経費精算システムで経理業務を劇的効率化! おすすめサービスも厳選紹介
労働者との間で増加するトラブル、不当労働行為を回避する企業の心得
ホールディング経営とは? グループ経営との違いについて解説
社会保険の適用拡大、担当者向けの手引きなどコンテンツを公開 厚労省が特設サイトをリニューアル
雇用就農資金とは?次世代の農業経営者育成を支援!最大2年間の人件費や住居費等を助成します
公開日 /-create_datetime-/