不正アクセス対策を強化せよ!テレワーク・リモートワーク時代の情報セキュリティ


新型コロナウイルスの感染予防のため、テレワーク、リモートワークを導入する企業が増えていますが、従業員がオフィス以外の場所で働くようになると「不正アクセス」を受ける危険性も高まります。在宅勤務をしている従業員が悪意ある攻撃者に狙われるリスクがあるので、企業としては然るべき対策を講じなければいけません。

不正アクセスを受けた結果、サーバーやシステムがダウンしたり知的財産や顧客情報が漏えいしたりすると、企業は莫大な損失を被り、その信頼は失墜します。

「リモートワークを導入したけど、情報漏えいが心配・・・」「テレワークを認めているけど、セキュリティは大丈夫か・・・」という担当者様は被害が出る前に対策を見直しておきましょう。今回は、不正アクセスを防ぐ情報セキュリティ対策について解説していきます。

不正アクセスとは?

不正アクセスの概要

不正アクセスとは、アクセス権限を持たない第三者が悪意を持ってサーバーやシステムに侵入する行為のことです。不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)では、「侵入行為」「なりすまし行為」を不正アクセス行為として禁止しています。加えて、「持ち主の許可を得ずにIDおよびパスワードを第三者に提供する行為」を、不正アクセスを助長する行為として禁止しています。

不正アクセス行為の種類

侵入行為
侵入行為とは、パスワード以外の方法によってアクセス制御を回避する行為です。コンピューターのOSやアプリケーション、あるいはハードウェアに存在する脆弱性(セキュリティホール)を突いた攻撃によって認証を回避してコンピューター内に侵入します。

なりすまし行為
なりすまし行為とは、他人のパスワードを用いてアクセス制御を回避する行為です。コンピューターの正規の利用者のID・パスワードを盗んだり推測したりして認証を得て、コンピューターを悪用したりサービスを利用したりします。

不正アクセスを防ぐセキュリティ対策

不正アクセスを防止するための、基本的なセキュリティ対策をご紹介します。以下の5つは必須の対策として取り組むようにしてください。

不正アクセス対策① OS・ソフトウェアのアップデート

不正アクセスの手法として、OSやソフトウェアの脆弱性(セキュリティーホール)を突いて攻撃するケースが多く報告されています。特にバージョンが古いソフトウェアほど、セキュリティホールを突かれやすいので注意が必要です。OSやソフトウェアは頻繁にアップデートをおこなってセキュリティの脆弱性を解消しているので、こまめに更新情報を確認し、常に最新の状態に保つようにしましょう。

不正アクセス対策② セキュリティ対策ソフトの導入

セキュリティ対策ソフトは、ウイルスの感染予防や駆除のほか、不正アクセスを防止する機能も備えています。従業員に貸与するPCに導入するのはもちろんですが、テレワーク、リモートワークの環境下では、従業員が個人のスマホを業務に用いるケースも見られます。そのような状況が想定される場合は、従業員のスマホにもセキュリティ対策ソフトを導入してもらうようにしましょう。

不正アクセス対策③ ファイアウォール、IDS・IPSの導入

ファイアウォールとは、未知の相手からの不正通信をブロックするシステムのことです。また、IDS(不正侵入検知システム)はリアルタイムで不正アクセスの有無をチェックし、疑わしいアクセスを検知・通知するシステムで、IPS(不正侵入防止システム)は不正アクセスの侵入を遮断するシステムのことです。それぞれ守備範囲が異なるため、いずれか一つを導入するのではなく併用してセキュリティを向上させるのが理想的です。

不正アクセス対策④ パスワード管理の強化

安易なパスワードはすぐに破られてしまいますし、複数のシステムやサービスで同じパスワードを使い回すのも危険です。推測されにくいパスワードを設定するのは基本ですが、定期的なパスワード変更をルールにすることのほうが重要です。また、システムやサービスごとに異なるパスワードを設定することも徹底しましょう。

不正アクセス対策⑤ 端末管理の徹底

テレワーク、リモートワークを導入すれば、従業員は会社の端末を社外に持ち出すことになります。端末にIDやパスワードを記憶させないなど、端末の紛失や盗難があった場合に備えて対処法を決めておくことが重要です。また、従業員の判断でソフトウェアをインストールするのはリスクがあります。万が一、脆弱性のあるソフトウェアを入れてしまうと不正アクセスを許す隙きを与えることになるので、会社の端末にはインストール制限をかけておくのが賢明です。

不正アクセス対策前に確認する方法

不正アクセス対策の第一歩は、「不正アクセスされていないか?」を確認することです。不正アクセスを受けている場合、それに気付くのが遅れるほど被害が拡大していきます。大きなトラブルに発展する前に食い止めるには、定期的に不正アクセスを受けていないかを確認しましょう。最低限、チェックすべき点は以下の3つです。

不正アクセスを確認する方法① セキュリティ対策ソフトでチェック

端末をウイルスに感染させることによって不正アクセスを可能にする手法は多く見られます。そのため、ウイルス感染の有無は定期的に確認しておくべきです。期間や日にちを決めて、セキュリティ対策ソフトで端末をスキャンするようにしましょう。

不正アクセスを確認する方法② ログイン履歴をチェック

不正アクセスの一種である「なりすまし行為」をチェックするには、アカウントのログイン履歴を調べるのが有効です。データベースやホームページ、SNSなどのログイン履歴をチェックしておきましょう。企業のアカウントは複数の従業員がアクセスするケースが多いので、不正アクセスを見逃さないよう不審なログインがないか目を光らせておく必要があります。

不正アクセスを確認する方法③ 利用履歴をチェック

不正アクセスによって、クレジットカードやネットバンキングが不正利用される事例も少なくありません。定期的にクレジットカードやネットバンキングの利用履歴をチェックして、不審な取引がないか調べるようにしましょう。

備えあれば憂いなし!不正アクセス対策を万全に

「不正アクセスなんて今まで1回もなかったから大丈夫」という企業でも、これからは分かりません。テレワーク、リモートワークが当たり前になりつつある今だからこそ、ワンランク上の不正アクセス対策が必要になってきます。取り返しのつかないことになる前に、新しい業務フローやルールを策定するなどして不正アクセス対策を強化していきましょう。