情シス担当者必見!不正アクセスの要因と対策

2024年10月17日(木) 情シス

情シス担当者の役割は、社内システムが健全かつ安全な状態に保つことにあります。それを壊す最たるものとして、不正アクセスが挙げられるでしょう。万一不正アクセスが起こった時には、業務停止や取引先への対応、関連省庁への連絡など大きな工数が発生します。

この記事ではそうした不正アクセスの要因と、その対策について解説します。今回は特に社内システムを対象に考えます(インターネット上に公開しているサーバーではなく)。

多くは社内犯行

社内システムにおける不正アクセスの多くは、社員または元社員などによって起こります。退職する直前に顧客リストを抜き取られたり、機密情報をライバル企業に売られるといった話が聞かれます。

こうした社内犯行の防止としては、適切なログ管理と監視が重要になります。顧客情報を一括取得するような処理が行われた場合は注意が必要です。また、退職が決まった人員に対するファイルアクセス権限は絞り込むといった対策も必要でしょう。

人員が退職した場合には、すぐにIDの無効化が必要です。それらを放置した結果、外部から社内データにアクセスができたり、管理画面にアクセスできてしまいます。これらを防ぐためにIDを共有しないようにしたり、適切なタイミングでの権限変更が大事です。

訪問者による犯行

常駐ではなく、一時的に訪問してきた業者などによって情報が抜き取られるケースがあります。特に良くあるのがパソコンに付箋紙で重要な情報を貼り付けているケースです。そういった情報が盗まれることで、大きな損害につながる可能性はあるでしょう。

インタビューなどでカメラマンが撮影した写真から重要なデータが漏れることもあります。執務スペースでは、どこに機密情報があるのか分からないので、安易に撮影を許可しない方が良いでしょう。

対策としては、外部の人たちが不要な情報に触れないように注意したり、そもそも重要な情報を簡単に見られる状態に置かないことです。

利用場所を規定する

昨今ではリモートワークが増え、自宅で仕事をしたりカフェなどで仕事をする人が増えています。カフェでPCを放置していたり、コワーキングスペースの中で大きな声で機密情報を喋っている人がいます。

持ち歩けるノートPCを貸与している以上、厳密に作業場所を決めるのは難しいでしょう。そのため、対策としては社員教育が大事になります。また、画面をロックするタイミング設定やストレージの暗号化、ローカルには機密情報を残さないといった仕組みが大事になります。

ウイルス感染による外部犯行

Emotetに代表されるマルウェアによって社内データが盗み出されるケースが増えています。取引先などとのやり取りを偽装してメールが送られてくるので、つい添付ファイルを開いてしまったりリンクをクリックしてしまうようです。その結果、認証情報が盗まれたり、社内感染が広がります。

他のランサムウェアとしては、ファイルを暗号化してしまうものがあります。暗号化したファイルを人質として、身代金を要求してきます。なお、身代金を支払ったとしても確実にデータが戻る保証はありません。また、再度暗号化される可能性もあります。

対策としてはウイルス対策ソフトウェアの最新化であったり、不用意な添付ファイルやリンクをクリックしないことでしょう。Emotetは亜種が多く、進化も早いのが特徴です。ウイルス対策ソフトウェアに頼り切ると、亜種に感染する可能性は高いです。運用上も注意が必要です。

関連記事:【2024年版】アンチウイルスソフトおすすめ10選を徹底比較!(無料・有料)

脆弱性によるアクセス

ルーターや社内OSなどの脆弱性によって外部から不正アクセスされるパターンです。脆弱性はいつ出るか分からず、常に注意が必要です。こうしたセキュリティホールを悪用した犯行は、情シス担当者が確実に防がなければならないものでしょう。

対策としてはセキュリティ情報に目を配り、パッチを適切に適用することです。特にルーターやファイアウォールに脆弱性があると、外部から容易にアクセスされてしまいます。専用ハードの場合は、メーカーからの情報に目を配るのと同時に、サポートされているハードを選択しなければなりません。

まとめ

インターネット上に公開しているサーバーと比べて、社内はルーターがあるために脆弱性に対する意識が若干低くなりがちです。そこを狙ってくる悪意を持った人たちがいますので、情シス担当者としては気を緩めずに対応しなければなりません。

情報の重要性でいえば、社内の方が機密情報が多いでしょう。不正アクセスによって機密情報が漏洩しないよう、適切な情報管理を行いましょう。

おすすめの情報共有ツール「NotePM」

NotePM

NotePM(ノートピーエム) は、Webで簡単にマニュアル作成できて、強力な検索機能でほしい情報をすぐに見つけられるサービスです。さまざまな業界業種に導入されている人気サービスで、大手IT製品レビューサイトでは、とくに『使いやすいさ・導入しやすさ』を高く評価されています。

NotePMの特徴

  • マニュアル作成、バージョン管理、社外メンバー共有
  • 強力な検索機能。PDFやExcelの中身も全文検索
  • 社内FAQ・質問箱・社内ポータルとしても活用できる
  • 銀行、大学も導入している高度なセキュリティ。安全に情報共有できる

URL: https://notepm.jp/

NotePMについて詳しく見る >