1. 防犯対策・セキュリティのALSOK TOP
  2. 法人・企業向けセキュリティ
  3. ビジネスのお悩み・課題 ここで解決!
  4. 情報漏洩対策のコラム一覧
  5. 不正アクセスを防止するために企業がとるべきセキュリティ対策
ビジネスのお悩み・課題 ここで解決!
防犯対策・防犯カメラ 仕事効率化 災害対策 情報漏洩対策 救命救急 本業に専念
(アウトソーシング) 海外拠点の支援 その他

不正アクセスを防止するために企業がとるべきセキュリティ対策

不正アクセスを防止するために企業がとるべきセキュリティ対策
2022.03.18(2022.12.02更新)

パソコンやスマートフォンなどの情報端末は、個人の暮らしのみならず企業活動においても欠かせないツールとなっています。しかし情報端末の普及を背景に、不正アクセスによるリスクへの対策も必要になりました。
この記事では、不正アクセスの概要や昨今の被害事例をご説明し、企業として不正アクセス被害を防止するためにとるべき対策についてもご紹介します。

目次

不正アクセスに企業や組織が狙われる

企業や組織は多くの機密情報を保有しており、それらについて適正な管理を行っていると思います。しかしそれらの情報に対し、悪意ある第三者が不正な方法で接近・接触を図ろうとするケースがあります。

不正アクセスとは

不正アクセスとは、悪意をもって特定のサーバやコンピュータを攻撃する「サイバー攻撃」の1つです。本来その情報へアクセスする権限を持っていない第三者が、不正な方法でサーバや情報システムの内部へ侵入を試みる行為を指しています。
不正アクセスを実行することは、「不正アクセス禁止法」という法律によって禁じられていますが、現在も数多くの企業・団体が被害を受けています。

また不正アクセスによる代表的な被害として情報漏洩があるほか、他のサイバー攻撃の踏み台として利用される場合もあります。

総務省:不正アクセス行為の禁止等に関する法律はこちら

不正アクセスによる企業の被害事例

企業や団体が受ける不正アクセスの被害や影響には、どのようなものがあるのでしょうか。ここでは、実際に発生した不正アクセス被害の事例をもとに、不正アクセスが及ぼす影響についてご紹介します。

企業の機密情報の漏洩

大手教育関連企業において、企業関係者による内部犯行によって大規模な顧客の個人情報漏洩が発生したケースです。犯人は顧客情報管理の委託先企業の従業員で、重要情報へのアクセス権限を付与されていました。この従業員は、自身のスマートフォンを貸与パソコンで充電しようとした際に情報を持ち出せることを知り、外部記憶デバイスへのコピーが禁止されている顧客情報データをスマートフォンの内部メモリにコピーして機密情報の持ち出しを行っていました。企業から貸与されているパソコンに個人のスマートフォンをつなぎ、機密情報などが含まれる情報を持ち出すことは不正アクセスにあたります。

上記事例は内部からの不正アクセスにより起きたものですが、外部からの不正アクセスにより情報が漏洩した事例も存在します。また、企業が保持する機密情報は顧客情報だけではありません。未公開の研究開発結果や取引先との契約書など、企業にとって重要な機密情報がサーバやコンピュータ、各社員に割り当てられているパソコンに保管されている場合も少なくないため、情報の取り扱いには十分に注意する必要があります。

ALSOK関連コラム

Webサイトの改ざん

公的機関のWebサイトを管理するサーバへの不正アクセスによって、管理しているサイトの内容を勝手に改ざんされた事例です。

この事例では問い合わせ送信フォームにあたるページにあった脆弱性を犯人に発見され、直接攻撃を受けたことで被害が生じたと見られています。

企業だけでなくセキュリティを強固に保つ公的機関においてもサイバー攻撃の被害は数多く発生していることから、セキュリティ対策を徹底することの難しさが伝わるでしょう。

ウイルス感染

大学教員のパソコンがウイルスに感染し、当該パソコンからメールアドレスが窃取される被害が起きた事例や、大手企業の従業員のパソコンがウイルスに感染し、従業員を装った第三者から不審なメールが複数の方に送られる事例もありました。

このような被害は、不正アクセスによりウイルス対策ソフトを停止させる、不審メール検知のアラートを無効化するなど企業のセキュリティレベルを下げた上で、社内のコンピュータやサーバをウイルス感染させるという手口により発生します。

標的型攻撃

国内大手旅行会社が標的型攻撃による不正アクセスで678万件の個人情報が漏洩した事件がありました。

流出の原因になったのは、従業員が取引先を装ったメール(標的型攻撃)を開封したことでした。
同社では「送り主不明のメールは開封しない」といった社員教育が行われていましたが、事件の発端となったメールの件名は「航空券控え 添付のご連絡」とあり、実在する取引先の航空会社のドメインを偽装していました。お問い合わせ内容も通常の業務メールとの判別が難しく、従業員は添付された圧縮ファイルを開封してしまいました。このファイルの中身は偽の航空券のeチケットであり、開封した従業員がチケットに表示された人物の申し込み状況を確認し、「該当なし」と返信しましたが、メールは相手先には届きませんでした。
その後、外部への不審な通信が発生、同社内のサーバデータファイルから個人情報が漏洩していたことが確認されました。
このように、巧妙な手口だったことから事件につながったとされています。

不正アクセス被害を受けた企業の被害は、障害などで事業が一時的な停滞へ追い込まれることだけではありません。もし被害によって情報漏洩があった場合、訴訟問題へ発展するなどで巨額の賠償が発生することもあり得ます。
また被害内容によってはその事実が明るみに出ることで、企業としての信用失墜につながってしまう可能性もあるでしょう。

不正アクセスの被害状況と主な手口

現在、企業の不正アクセス被害はどのような状況になっているのでしょうか。ここでは、企業の不正アクセスの被害状況や主な手口をご紹介します。

不正アクセスの被害状況

以下の図は、経済産業省による不正アクセスの認知件数について内訳をまとめたものです。

・不正アクセスを受けた特定電子計算機のアクセス管理者別認知件数

一般企業 行政機関など 大学や研究機関 インターネット
プロバイダ		 合計
2016年 1,823 5 2 6 4 1,840
2017年 1,177 9 5 6 5 1,202
2018年 1,314 6 161 4 1 1,486
2019年 2,855 90 3 6 6 2,960
2020年 2,703 84 11 5 3 2,806
2021年 1,492 15 4 5 0 1,516

出典:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

2021年(令和3年)の不正アクセス行為の認知件数は計1,516件ですが、もっとも被害を受けたのは一般企業で1,492件にのぼります。
2020年に比べると不正アクセス行為の認知件数は減少しているものの、不正アクセスがあったことを確認できたものだけでこの数字ですから、認知されていない不正アクセス行為も含むと、実際に試みられている不正アクセス件数はさらに多いと予測されます。

不正アクセスの主な手口

不正アクセスは、どのような手口で試みられているのでしょうか。
もっとも多い手口は「識別符号窃用型(他人のIDを不正に利用する)」で、すべての不正アクセス件数の大半を占めています。
その中でも特に、パスワードの設定や管理の甘さによって被害を受けてしまうケースが多いとされます。

参照:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

不正アクセスをはじめ、すべてのサイバー攻撃は企業の存続にも関わる大きな課題であるという認識が必要でしょう。常に対策を行いながら、攻撃の有無を監視していくことが大切です。

不正アクセスされないための対策

不正アクセスされないための対策

どのような企業であっても、業務に情報端末を使用していれば不正アクセスの被害に遭う可能性があります。ここでは、企業が取り組むべきセキュリティ対策についてくわしくご紹介します。

IDやパスワードの管理

社内で管理しているアカウント数が多ければ、不正アクセスの標的がそれだけ増えることになります。社内のシステムに登録されているアカウント情報はこまめに棚卸しを行い、不要になったアカウントは速やかに削除しましょう。

また、アカウント情報やログイン情報は徹底管理しなければなりません。
パスワードを設定する際も「1111」「ABCD」など簡単に推測できるものや、管理者本人の属性に基づくもの(名前や誕生日など)で推測される可能性があるパスワードは設定しないようにしましょう。
また、パスワードの管理も適正に行いましょう。特に、パスワードを他人から見えやすいところ(パソコン本体やデスクなど)に置いたり貼ったりしないよう留意する必要があります。

定期的なソフトウェア更新

OSや各種ソフトウェアはこまめに新たなバージョンへ更新し、脆弱性対策を行いましょう。セキュリティパッチがリリースされたら速やかに適用するなど、常にソフトウェアを最新の状態に保つことが重要です。

従業員のセキュリティ教育

従業員も、教育・研修活動などによりセキュリティに対する意識やリテラシーを高めることが重要です。また不審なメールや添付ファイルは不用意に開くことのないよう、シミュレーションなどで訓練することも有用です。

セキュリティシステムの導入

何らかの異常が発生した際、すぐに発見・対応できる体制や仕組みを整備することが必要です。現在行っているセキュリティ対策に不安を感じた場合は、セキュリティ会社に相談することや、新たなセキュリティを導入することも有効な手段のひとつです。

企業の不正アクセス防止はALSOKにお任せください

上述のとおり、情報端末の普及にともない増加している不正アクセス被害を防止するため、セキュリティ対策を強化する必要があります。
ALSOKでは、情報セキュリティに関するサービスを多数ご提供しています。

ネットワーク監視サービス(UTM)

ネットワークの監視から緊急時の対応、定期的な通信状況のレポート送信まで、情報セキュリティ関連業務の一貫したアウトソーシングが可能です。より強固なセキュリティ対策の実現と同時に、管理の手間とコストも削減できます。

ALSOKの関連商品

ALSOK PCマネジメントサービス

社内のパソコンやモバイル端末、またそれらにインストールされているソフトウェアのバージョンやライセンスを一元管理できます。毎月の利用状況を定期報告するとともに、設定変更などのお手伝いも行います。各端末のセキュリティを常に最新にしておき、セキュリティ対策を強化しながら社内パソコンの管理負担を軽減することも可能です。

ALSOKの関連商品

その他関連商品はこちら

ALSOKの関連商品

まとめ

ほとんどの企業がパソコンやスマートフォンなどの情報端末を使用している現在、不正アクセス防止のためのセキュリティ対策は必須といえます。自身・自社の情報端末やシステムへの被害にとどまらず、知らぬ間にDDoS攻撃等の加害者になってしまう可能性もあるため、事業活動を守るための取り組みとして積極的な情報セキュリティ対策が必要でしょう。
情報セキュリティに関する疑問や質問があれば、ぜひALSOKにご相談ください。