- ナレッジ
- その他
不正アクセス対策15選|企業・個人がとるべき防止策
不正アクセスとは、アクセスを許可されていない者が、サーバーやシステムなどへ不正に侵入する行為を指します。不正アクセスされると、機密データの漏えいや改ざんなどのリスクが高まり、ログイン情報の盗難、なりすましといった問題も引き起こします。
セキュリティ事故によって重要な情報が外部に流出してしまえば、信用の失墜や金銭的な損害を被りかねないため、適切な対策を講じなければなりません。不正アクセスの主な手口は多岐にわたり、代表的なものは以下のとおりです。
- システムやネットワークの脆弱性を狙う
- ウイルスを利用したもの
- ソーシャルエンジニアリング
- パスワードの解読
- クラウドの設定不備を狙う
- フィッシング など
企業に対する不正アクセスを防ぐためには、これらの手口があることを踏まえたうえで、次に説明する対策を行いましょう。
■この記事でわかること
|
企業が行うべき不正アクセス対策
企業が行うべき不正アクセス対策としては、以下のようなものがあります.
- アクセス権限を正しく設定する
- サーバー上にある不要なサービスを停止する
- 2段階認証などの多要素認証を取り入れる
- リスクベース認証を取り入れる
- 不正アクセス対策ツールやシステムを導入・運用する
- 社員教育を行う
- 脆弱性診断やペネトレーションテストを定期的に行う
以下で一つずつ解説していくので、自社の状況と照らし合わせながら、適切なセキュリティ対策を構築してください。
アクセス権限を正しく設定する
利用者を限定し、アクセス許可を必要最低限に抑えることで、インターネット経由での第三者の侵入や、社員または関係者による不正な目的でのデータ閲覧などが防げます。
アクセス権限は、多くの場合ファイルやフォルダの設定から変更が可能なので、ツールの操作マニュアルを確認するとよいでしょう。権限を正しく設定し、ユーザーを限定すれば、なりすましによる不正アクセスがあっても被害を最小限に抑えることが可能です。
また、第三者の侵入を防ぐことに加え、たとえ侵入されても、閲覧や盗難からデータを守れるように対策をしておくことが重要です。
サーバー上にある不要なサービスを停止する
使用しないアプリやサービスは、停止するか削除しておきましょう。フィルタリングしておくのも効果的です。使用していないサービスを機能させておくと、脆弱性を狙った攻撃やマルウェア感染などにより、不正侵入される危険性があります。
たとえば、OS(オペレーティングシステム)のソフトをインストールしたときに付いているサービスや、サーバを遠隔操作するリモート接続サービス、パソコン間でのファイルのやりとりができるサービスなどが挙げられます。
使用しているアプリやサービスが多い場合は、停止や削除を適宜おこなうことで管理しやすくなり、不正アクセスのリスクを抑えることが可能です。
2段階認証などの多要素認証を取り入れる
ログイン時に追加で認証コードを要求する、多要素認証の設定をおこなうことで、不正アクセスのリスクを軽減できます。具体的には、パスワードとIDといったログイン情報に加えて、スマホに送られるコード、指紋認証、顔認証、秘密の質問などを入力する2段階認証が効果的です。
これらの設定をしておけば、仮にパスワードが流出した場合でも、ほかの方法での確認がなければログインできないため不正アクセスに有効な対策となります。
認証には「知識」「所有」「生体」の三つの要素があります。スマホやICカードを用いる所有要素、ユーザーの身体的特徴を用いる生体要素の二つを活用することで、より認証強度を高められるでしょう。
リスクベース認証を取り入れる
リスクベース認証とは、デバイスやIPアドレスといった情報からユーザーのアクセス履歴を分析し、いつもと違うアクセス環境でリスクがあると判定された場合に追加認証を要求する仕組みです。代表的な追加認証には、「秘密の質問」があります。質問に答えて正規のユーザーであると証明する仕組みです。
普段と同じアクセス状況であれば追加認証の必要がないため、リスクがないと判断した場合にはユーザーの手間を増やすことはありません。そのため、高いユーザビリティを確保しながら、不正アクセスやなりすまし対策が行えるといった利点があります。
不正アクセス対策ツールやシステムを導入・運用する
不正アクセス対策のツールやシステムには、以下のようにさまざまな種類があります。
- ファイアウォール
- WAF
- IDS(不正侵入検知システム)
- IPS(不正侵入防止システム)
それぞれ役割が異なるため、自社に適した製品を目的別に使い分けるのがおすすめです。
また、製品を導入するだけでなく、定期的なログ確認や、警告内容の確認など、セキュリティレベルを維持することが重要です。
ファイアウォール
ファイアウォールは、宛先や送信元を監視して不正アクセスから防御するシステムです。内部ネットワークとインターネットとの境界に設置されます。不正なパケットを遮断したり、設定されたルールに則って許可されたデータだけを通過させたりする仕組みで、セキュリティ対策には必須の機能です。
実際に行われた通信の記録を取ることはできますが、通信の内容までは確認できないので、不正侵入を検知、管理者へ警告できる製品と合わせて取り入れるとよいでしょう。
また、ウイルス対策やスパムに対してはファイアウォールだけで対処することは難しいため、各種対応するソフトウェアが必要になります。
WAF
WAFは「Webアプリケーションファイアウォール」の略称で、Webアプリケーションの脆弱性を狙い、悪用する攻撃への対策ができる機能です。通信の詳細まで確認できるため、Webアプリケーションを使用して業務を実施する企業のセキュリティ対策に効果があるでしょう。
ECサイトやインターネットバンキングなど、ユーザーのリクエストに応じて自動的にページを作成するようなWebサイトの保護に最適です。
WAFを導入すれば、Webアプリケーションの脆弱性が発覚した際、すぐに改修できない場合でも時間を稼ぐことが可能になります。
IDS(不正侵入検知システム)
IDSは、通信を監視して不正な侵入を検知した際、ただちに管理者に知らせるツールです。検知することに特化したシステムのため、防御や遮断といった機能はなく、IDSが検知した異常な通信への対応は管理者に一任されます。
通知を受けた管理者は、ファイアウォールのフィルタリング強化や通信のブロックを行い、迅速に攻撃に備えることができます。
不正アクセス対策を複雑に設定すると、ユーザビリティ(使いやすさ)を損なう可能性があるため、こうした不正アクセス検知サービスの利用がおすすめです。
IPS(不正侵入防止システム)
IPSは、インターネットとの通信内容を監視し、異常を検知すれば管理者に通知するだけでなく自動で通信を遮断します。不正に侵入しようする通信や、すでに知られているソフトウェアの脆弱性を狙った攻撃と思われる通信を防御する機能です。
不正アクセスを検知したあとすぐに通信を遮断するため、迅速なインシデント対応が可能ですが、業務に影響を与えることがあるので注意が必要です。仮に、正常な通信であるにも関わらずIPSが誤検知した場合、通信が即座に遮断されることでシステムが停止する可能性もあるでしょう。
このようなトラブルを避けるためには、攻撃パターン情報を定期的に更新するといった、日々の管理が重要になります。
社員教育を行う
個人情報が漏洩する理由の多くは、情報の管理ミスや紛失、置き忘れ、情報の不正持ち出しといった、ヒューマンエラーに起因しています。
モバイル端末やリモートワークの普及など、社外に情報を持ち出す機会が増えているなかで、社員へのセキュリティ教育は非常に有効な対策です。社員教育の例としては、社内のセキュリティルールの制定やセキュリティリテラシーを高める研修、攻撃メール訓練の導入などが挙げられるでしょう。サイバー攻撃や不正アクセスについて最新の情報を収集し、定期的に社員に周知することも重要です。
脆弱性診断やペネトレーションテストを定期的に行う
効果的な対策を実施するためには、現在のセキュリティ対策がどの程度有効なのかを確認し、自社のサイバー攻撃耐性を把握する必要があります。脆弱性診断やペネトレーションテストといった検査を、定期的に行うことがおすすめです。
脆弱性診断
脆弱性診断は、Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなどを対象に、脆弱性や欠陥を見つけるために行う検査です。「ツール診断」と「手動診断」の2種類があり、コンピュータープログラムを用いて網羅的にテストしたり、エンジニアが手動で疑似攻撃を行ったりしてシステムの欠陥を洗い出します。
それぞれ特徴が異なるため、予算や診断する範囲に応じて適宜組み合わせるとよいでしょう。脆弱性診断を行うことで、セキュリティの欠陥や課題を洗い出し、適切な対策が可能になります。
ペネトレーションテスト
攻撃者の視点に立ち、実際にシステムに侵入を試みることで脆弱性をテストする手法です。「ペンテスト」「侵入テスト」とも呼ばれます。
専門家が侵入シナリオを設定して疑似攻撃を仕掛けるテストも行われ、侵入技術だけでなく、業務手順や組織の構成なども考慮したシナリオでテストすることもあります。
専門知識のあるテスターが、システムへの侵入経路や、目的とするデータにたどり着けるか否かなど、さまざまなテストを行い診断します。
不正アクセスを受けた際に想定される被害、適切な対策が可能かどうかといった詳しい状況を明らかにできるのが特徴です。
個人ができる不正アクセス予防策
不正アクセスを防ぐには、日ごろからセキュリティ意識を持って行動することが大切です。ここからは、個人でもできる簡単な対策を紹介します。
OSやソフトウェアを常に最新の状態にする
OSやソフトウェア、アプリケーションを、常に最新の状態に保っておくことで、セキュリティ・ホールを狙った攻撃による不正アクセスのリスクを軽減できます。
ソフトウェアやOSの開発元からは、セキュリティ上の脆弱性を解消するためのアップデートが定期的に発表されるため、新しいアップデートが発表されたらすぐに実行しましょう。バージョンが古く、サポート期間が終了しているソフトウェアやOSは、セキュリティパッチが新たに作られないため安全とはいえません。脆弱性がしっかりカバーできるよう、サポート期間が終了しているものは使わない方がよいでしょう。
パスワードは複雑なものにする
ルータの管理画面やWebサイトへのログインなどに必要なパスワードは、初期設定のままであったり簡易な文字列に設定していたりすると簡単に特定されてしまいます。
また、「password」や「111111」など、推測されやすいパスワードでは、まったくセキュリティ効果がありません。複雑で強力なパスワードを設定する際には、以下のことを意識するとよいでしょう。
- なるべく長い文字数にする
- 大文字、小文字、数字、記号を組み合わせる
- 名前や会社名、誕生日など推測されやすい文字列を使わない など
複雑なパスワードを生成してくれるサービスやツールがあるので、それらも利用しつつ、強力なパスワードを作成するのがおすすめです。
パスワードの使い回しをしない
パスワードの使いまわしはセキュリティリスクを高めてしまうため、アプリやWebサイトごと、それぞれ個別にパスワードを設定しましょう。前述のようにパスワード生成ツールを用いれば、簡単に複雑なパスワードの作成がおこなえます。
各パスワードがわからなくなってしまわないよう、パスワード管理ツールを活用するのもおすすめです。重複しているパスワードをピックアップしてくれる機能もあるので、適宜使ってみてください。
たとえ使いまわしをしていなくても、長年同じパスワードでは安全とはいえないため、定期的に変更するとより効果的です。
端末内部にパスワードなどを記憶させない
端末のパスワード記憶機能は、いちいちパスワードを管理しなくてよいので便利ですが、セキュリティリスクが高くなるため使用には十分な注意が必要です。パスワード記憶機能を利用して社内システムなどにログインしていると、端末が不正アクセス被害に遭った場合、社内システムにまで被害が及ぶ危険性があります。
とくにモバイル端末は紛失や盗難といったリスクが高いため、パスワードを記憶させないとともに、内部に重要な情報を保存しないようにしましょう。モバイル端末を失くした場合は、すみやかに認証情報を変更することが重要なため、管理者がいる場合はすぐに申し出てください。
不審なメールは開かないなどフィッシング詐欺を予防する
フィッシング詐欺とは、有名企業や行政機関に見せかけた偽のWebページにログインさせ、IDやパスワードを盗んで不正アクセスを行う犯罪行為です。フィッシング詐欺を防ぐためには以下のような方法が有効です。確認して実施してみましょう。
- メールアドレスやURLが正しいか確認する
- 添付ファイルやURLは安易にクリックしない
- すぐにログイン情報を入力しない同様の情報があるか
- 公式サイトで確認するセキュリティソフトの導入
ワンタイムパスワードや二段階認証を使う など最近では、SNSの広告から偽サイトに誘導するフィッシング詐欺も増えているため、サイトに飛ぶ前に情報を収集し、騙されないように気をつけることが大切です。
公衆Wi-Fiを使用しない
公共の無料Wi-Fiは安全性の不明なものが多く、不正アクセスのリスクが高いため、なるべく使用しないようにしましょう。公衆Wi-Fiの通信セキュリティが低ければ、通信内容を盗み見られるリスクが高くなるため、重要なデータのやり取りが盗聴されるかもしれません。
また、社内のシステムにログインするためにパスワードを送信すると、そのパスワードが漏えいするといった危険もあります。社外で仕事を行う場合や、重要なデータにアクセスするときには、キャリアの回線や安全なWi-Fiを準備するといった対策が必要になるでしょう。
個人情報を他人に漏らさない
普段の何気ない会話の中から、パスワードを推測できる情報や住所、家族構成などの個人情報が漏れるケースがあります。また、家族で共有しているデバイスに重要なデータを保存していたり、メールやチャットで他人の個人情報について話したりするのも危険です。何気なく漏らしたことが個人情報の漏えいにつながり、会社や身内に大きな損害を与えてしまうかもしれません。
とくに、業務上知り得た機密情報を漏らすことは顧客や世間の信用を失うことになるため、取り扱いには日ごろから十分な注意が必要です。
情報を安易に放置・廃棄しない
以下のように、誰もが見える状態で情報を放置するのは、大変危険なので気をつけましょう。
- スマートフォンやPCの画面を開いた状態のまま離席する
- 書類をそのまま廃棄する
- 個人情報が載った書類をデスクに置きっぱなしにする など
席を離れる際にはPCやスマホをロック状態にし、個人情報が記載された書類は鍵のかかる場所に保管することが大切です。
また、重要な書類を破棄する際には必ずシュレッダーにかけ、何が書かれているのか読み取れない状態にして廃棄するといったセキュリティ対策を行ってください。
Webサイトの不正アクセスを防止するならどこどこJP!
さまざまな手口がある不正アクセスへの対策は、複数のセキュリティ機能を組み合わせ、広範囲で強固にガードすることが大切です。
対策の一環として「どこどこJP」を活用することをおすすめします。
どこどこJPはアクセス元の地域や接続環境を特定できるサービスです。これらの情報をリスクベース認証に組み合わせることで、不正リスクの高いアクセスを検出することができます。ユーザーのIPアドレスからアクセス地域を特定し、特定アカウントやオンライン口座に日ごろと異なる地域からのアクセスが頻繁にある場合や、物理的に移動するには難しい距離を時間を空けずにアクセスしている場合に、追加のパスワード認証を行ったり、アラートを内部で発生させることが可能です。
また、通信元を秘匿できる環境からのアクセスや口座開設・アカウント開設の場合も、不正アクセスの可能性があるとアラートを出すことができます。
一部、利用データの制限などございますが、予算を気にせず不正アクセス対策ができる無料プランもご用意しております!まずはお気軽にお問い合わせください。