情報化社会の進展に伴って、企業が所有するデータをネットワークと繋いで保存する機会も増えています。しかし、オンライン上でデータを保存するときに最も心配なのが、不正アクセスではないでしょうか。不正アクセスはネットワークを活用するうえで避けては通れない問題です。会社で企業情報を扱う部署にいる人はそれらの問題について理解を深めておき、対策方法についても知っておかなければいけません。そこで、この記事では不正アクセスの現況や対策方法などについて紹介します。

不正アクセスの現況について

不正アクセスの現況について知るには、総務省がまとめている「不正アクセス行為の発生状況」という資料が参考になります。この資料によると、2017年に警察庁へ報告のあった不正アクセス行為の認知件数は1202件です。過去の認知件数は2015年が1998件、2016年が1823件となっており、減少傾向にあることがうかがえます。2017年に不正アクセスを受けた管理者別の件数では一般企業が圧倒的に多く、およそ98%の1177件です。この数字は2015年の約97%、2016年の約99%と大きく変わっていないので、不正アクセスを行う犯罪者のほとんどが、一般企業をターゲットにしていると考えられます。

不正アクセス行為を認知した理由については、「利用権者からの届出」が655件(約55%)と最も多く、全体の半数以上を占めています。その次に「警察活動」が283件(約24%)、「アクセス管理者からの届出」が255件(約21%)と続いています。過去からの推移をみていくと、アクセス管理者からの通報が2015年は約44%を占めていましたが、およそ半減しているのが特徴です。一方、利用権者からの届出は2015年時点で約30%だったのと比べると、大きく上昇しています。これらのことから、ターゲットとなっている一般企業のセキュリティ対策への意識が向上し、不正アクセスされるケースが少なくなっていることがうかがえます。

不正アクセス後の行為別認知件数によると、「インターネットバンキングでの不正送金等(442件、約37%)」が第1位となっています。また、「仮想通貨業者などの不正送信(149件、約12%)」が第2位となっていることからも、不正アクセスで行われるのはお金に直接かかわる犯罪が多いといえるでしょう。なお、個人情報などを盗み見られる可能性のある「メールの盗み見等の情報の不正入手(146件、約12%)」は第3位となっています。

不正アクセスが行われる方法については、ほとんどがログインするためのIDやパスワードをなんらかの形で入手したうえで行う「識別符号窃用型」です。2017年では検挙件数599件のうちおよそ91%にあたる545件が識別符号窃用型で行われていました。一方、システムの脆弱性を狙って不正アクセスを行うセキュリティホール攻撃型(いわゆるハッキングやウイルスによるもの)は54件、約9%しかありません。また、不正アクセス行為の手口については、「利用権者のパスワード管理の甘さにつけ込んだもの(230件、約42%)」が最も多くなっています。このことから、個人情報を守るうえでまず大切なことは、システムを強化することよりも、利用者の意識改革だといえるでしょう。

不正アクセスによる被害の代表的な事例について

不正アクセスで被害を受ける代表的な事例は「情報漏えい」です。企業には顧客の個人情報や企業秘密にかかわる機密情報が大量に保管されています。それらが万一不正アクセスによって外部に流出してしまうと、顧客からの信用を一気に失ってしまい、取り戻すには長い年月が必要になるでしょう。場合によっては、顧客から取引の停止を求められてしまい、経営に大きなダメージを受けるかもしれません。また、会社の今後の経営戦略や独自に所有しているノウハウなども流出すると大問題です。その情報が他社へ渡ってしまうと、長期的な経営に問題が生じる可能性があります。

不正アクセスでは、「他人になりすます」ことができるのも恐ろしい点です。ログイン情報が盗まれていると、「不正送金」や「不正購入」といったことが簡単にできてしまいます。なぜなら、PC上では本当はだれが操作しているかチェックすることができないからです。ログインさえしていれば、本人だとみなされて自由に操作されてしまいます。たとえば、仮想通貨で実際に行われた事例は、一時期よくニュースで取り上げられていました。仮想通貨を扱っている業者へ不正アクセスをして、違う口座へ送金したのです。しかも、その総額は数十億円以上だといわれています。同じようなことがどの企業でも起こりうるのです。

また、そのほかの事例としては不正操作による「サイトの改ざん」があります。ホームページなどへ不正アクセスすることで、管理者の知らない間にリンク先などに手を加えるのです。それによって、閲覧した人たちにウイルスが感染するサイトなどへ誘導する事例があります。この場合は、企業にとって直接的な被害はありませんが、社会的な信用が落ちるという点ではほかの事例と変わりません。不正アクセスを受けないように対策を取っておく必要があります。

不正アクセスの対策法にはどんなものがある?

不正アクセス対策として最も一般的なのは、セキュリティソフトによる対策です。セキュリティソフトを利用することで、自動的にウイルスのスキャンや駆除を行ってくれます。ただし、セキュリティソフトで有効なのは基本的にウイルス対策だけです。ログイン情報の流出による不正アクセスは防げませんので、あまり過信することなく他の対策も併用するようにしましょう。セキュリティソフト以外の対策としては、「ファイヤーウォール」や「SSL認証」を利用するという方法があります。

ファイヤーウォールとセキュリティソフトの違いは「効果を及ぼす場所」です。セキュリティソフトは、基本的にシステム内部に侵入してくるウイルスに対して効果を発揮します。それに対して、ファイヤーウォールはネットワークとシステム内部の境界で効果を発揮するので、外部からの不正アクセスを未然に防げるのです。火災における防火壁(ファイヤーウォール)のように、被害が拡大するのを防げます。一方、SSL認証とは、ネットワーク通信を暗号化するシステムです。ネットワーク間で送受信される情報を暗号化することで、第三者による盗み見を防ぐ効果を期待できます。それによって、ログインに必要なIDやパスワードといった情報を抜き取られる危険性が少なくなり、不正アクセスのリスクが減るというわけです。

また、不正アクセス対策として有効なのは、管理者が行う対策だけではありません。不正アクセスの手口のうち約42%が、利用者のIDやパスワードなどのずさんな管理につけ込んでいたことを忘れないようにしましょう。利用者ができる対策としては、パスワードを「複雑にする」「使い回さない」といったことが有効です。さらに、注意しておきたいのが「会社のパソコンを社外に持ち出すこと」だといえます。社内でどれだけ安全対策を行っていても、外部のWi-Fiなどのセキュリティの甘いネットワークを利用しては意味がありません。会社の機密情報が入ったパソコンは基本的に社外へ持ち出すことを禁止するべきです。どうしても持ち出さなくてはいけないときは、セキュリティソフトを入れておくか、必ずカギ付きのWi-Fiに接続するといった対策を取るようにしましょう。

不正アクセスを受けたときの対応について

どれだけ対策を取っていても、不正アクセスを受ける可能性はゼロにはなりません。ネットワーク技術は常に進化していて、不正な手段を考える犯罪者の手口も巧妙化しているからです。そのため、不正アクセスの対策を取ることは重要ですが、それと同じくらい「不正アクセスを受けたらどのように対処するのか」についても事前に考えておくことが大切です。不正アクセスを受けてしまったら、まずはネットワークからそのサーバーを遮断することが大切だといえます。不正アクセスを受けたサーバーを分離することで、他のサーバーに被害が拡大するのを防ぐことが目的です。

次に、不正アクセスを受けた事態をセキュリティ委員会などの組織へ報告しましょう。これは、あらかじめ不正アクセスが発生する事態を想定して、会社内で定めておく組織です。複数のメンバーで構成し、できれば課長級以上のある程度身分の高い管理職で構成することが望ましいです。また、不正アクセスはいつ行われるかわかりませんので、緊急時に備えていつでも連絡がとれる体制を構築しておくとよいでしょう。以後、システム管理者はこの委員会で決められた事項に沿って行動します。

一般的には、不正アクセスの被害状況やその原因となった部分の調査を依頼されることが多いでしょう。それらが判明してから、具体的なシステムの復旧方法や顧客に対する説明などについて検討されます。問題なのは、不正アクセスの原因がはっきりとわからないケースです。この場合は早急に対処したいところですが、原因がわからないため何から手をつけてよいか判断できません。そのようなケースでは、いっそのことOSのインストールからやり直す場合が多くなります。その後、パッチの適用や各種ファイルの復旧作業などが行われます。

被害の復旧作業がある程度落ち着いたら、警察やセキュリティ関連団体へ被害を届け出ます。特に後者では、セキュリティ対策に関する助言や、不正アクセスの追求といったサポートを行ってくれるケースもあるので、積極的に連絡してみるとよいでしょう。

不正アクセスはいつ起こるかわからない!万全の準備を整えておこう

不正アクセスの方法として最も多いのは「識別符号窃用型」で、利用者のIDやパスワードのずさんな管理が原因となっているケースが多いです。これらは利用者の危機意識向上によって、ある程度対策が取れますので、システム管理者は周知しておくとよいでしょう。ただし、不正アクセスはどのような手段で行われるかわかりません。万が一のことを考えて、万全の対策を取っておくことが求められます。セキュリティ対策としては、「セキュリティソフトの導入」「ファイヤーウォールやSSL認証の活用」といったものが効果的です。

また、事前に対策を取っておいても不正アクセスされる可能性がゼロになるわけではありません。いざというときに慌てないためにも、あらかじめセキュリティ委員会などの組織を作っておいて、会社として備えておく姿勢は大切です。万全の体制を整えたうえで、ビジネスに注力していきましょう。

セキュリティ機能「Fleekdriveのセキュリティ・情報漏洩対策」 企業向けオンラインストレージ「Fleekdrive(フリークドライブ)」の資料請求はこちらから