1.そもそも不正アクセスとは？

情報漏えいなどのリスクに適切に対処するためにも、まずは不正アクセスという言葉の意味を理解しておきましょう。不正アクセスという言葉には広い定義がありますが、簡単にいえばアクセス権限を持たない第三者が情報システムの内部へ侵入する行為のことです。不正アクセスは必ずしも外部の人間によって行われるわけではなく、企業内部の人間の手による場合もあります。不正アクセスの事例としては、企業全体で使っているファイルサーバーへの不正ログインや部署内で使っているクラウドサービスへの不正ログインなどが挙げられるでしょう。不正アクセスが行われる主な目的には、企業の機密情報を盗み出すことやシステムの破壊による業務妨害、サイバー攻撃の拡大などがあります。

不正アクセスによって、企業は情報漏えいやシステムの停止などの被害を受けることになります。その結果、企業のブランドイメージを大きく損ねたり、業務に支障をきたしたりする恐れがあるのです。不正アクセスの恐ろしさは、インターネットにさえつながっていれば世界中のどこからであっても行うことができるという点にあります。企業が情報資産を守るためには、世界中からの攻撃を想定して対策を行っておかなければならないのだといえるでしょう。

2.不正アクセスの発生状況から見えてくるもの

不正アクセスの発生状況をみると、特に一般企業への脅威が増しているということがわかります。政府が平成29年に行った調査によれば、不正アクセス全体の認知件数は1202件でした。不正アクセスの認知状況は平成26年をピークとして減少傾向にあり、確かに平成26年の3545件に比べると全体の認知件数は3分の1程度になっています。しかし、平成29年の管理者別の認知件数の内訳をみてみると一般企業が1177件となっており、その他の管理者はすべて合わせても25件です。すなわち、不正アクセスを受けた組織としては一般企業が圧倒的に多いということになります。年を追うごとに不正アクセスの件数は減ってきているとはいっても、一般企業のさらされているリスクは依然として大きいままだということができるでしょう。

不正アクセスの動機としては「顧客データの収集等情報を不正に入手するため」が第2位に、「不正に経済的利益を得るため」が第3位に位置付けられています。第1位は「好奇心を満たすため」となっていますが、不正アクセスで得た情報を悪用しようとしている人間がいかに多いかということがわかるでしょう。また、不正に利用されたサービスでは「社員・会員用等の専用サイト」や「電子メール」などが上位に入っています。いずれも業務上利用することの多いサービスであり、不正アクセスが企業にとっての脅威になっているということをこれらのデータが裏付けています。

3.不正アクセスによる被害

不正アクセスによる被害のうち、代表的なものが個人情報の漏えいです。一度個人情報が漏えいしてしまうと、売買されて他の犯罪に利用されるなど、被害が飛び火的に広がっていきます。例えば、個人情報の中に住所やメールアドレスなどが含まれていれば、顧客がダイレクトメールやスパムメールの対象となる恐れがあります。また、IDとパスワードの情報を利用してパスワードリスト攻撃が仕掛けられるようなこともあるでしょう。

そして、個人情報が漏えいしてしまった企業では後始末のために膨大な手間とコストをかけることになります。まず、第三者機関に依頼して不正アクセスの再発防止や原因究明のための施策を行わなければなりません。このとき、ウェブサービスやECサイトなどは一時的に停止させる必要があるので、経営面でも大きな損害を被ることになるでしょう。さらに、被害を受けた顧客に対応するための問い合わせ窓口の設置、情報セキュリティの見直しなど、やらなければならないことは膨大にあります。これほどの手間とコストをかけて事態の収拾に努めても、失墜した企業のブランドイメージは容易に取り戻すことができないのです。

不正アクセスによって漏えいするのは何も個人情報だけではありません。機密情報の漏えいもまた、企業にとっては大きな痛手となるでしょう。特に、大企業や政府機関の場合は新製品や国に関する情報を盗まれることで重大な問題が引き起こされます。例えば、これから販売しようと考えていた製品の設計図が盗まれ、他の企業に情報が流れて先に販売されてしまえば大規模な損害を被ることになるでしょう。

次に、システムの改ざんや破壊を目的として不正アクセスが行われるケースもあります。ライバルの同業者がホームページを改ざんして企業イメージの低下を図ったり、重要なデータを消去してしまったりする場合がこれに該当します。万が一ECサイトなどのシステムが破壊されてしまえば、やむを得ず業務停止せざるを得ないような事態に追い込まれる恐れもあるのです。さらに、不正アクセスした際にシステム内部にバックドアという裏口を作っておき、いつでもシステムにアクセスできるように改ざんされてしまうこともあります。このようなケースでは、システム内部からインターネットを通じて他のシステムへの攻撃に利用されるというパターンにも発展しかねません。

また、外部からではなく内部からの不正にも注意を払っておく必要があります。内部の人間が、企業に対して個人的に抱いている恨みを晴らすために機密情報を持ち出したり、情報を販売して利益を得ようとしたりする場合もあるのです。特に、情報の管理を任されている従業員がデータを盗むというケースには注意が必要でしょう。アクセス権限のある従業員による不正については、そもそもそれが不正なのかどうかということ自体が非常に見極めにくいためです。情報セキュリティポリシーを策定する段階で、不正アクセスの例外的な部分までカバーできるように細かく規定を定めておくとよいでしょう。

4.不正アクセスを防止する5つの対策

4-1.不正アクセスの対策1.ソフトウェアの更新

不正アクセスへの対策として、まずはソフトウェアをこまめに更新するという方法が挙げられます。ソフトウェアは時間が経つにつれてぜい弱性が発見されていくものです。そのため、ソフトウェアは常に最新のものにアップデートしておく必要があるのです。ソフトウェアの開発元やメーカーからは、更新プログラムの内容に関する告知が送られてくることがあります。告知の内容の中でも、特にぜい弱性の修正に関する部分については普段から注意を払っておき、状況に応じて迅速に判断して対応を行う必要があるでしょう。

4-2.不正アクセスの対策2.パーミッションを正しく設定

次に、パーミッションを正しく設定しておくことも不正アクセスの対策としては効果的です。パーミッションとは、ファイルなどを利用するためのアクセス権限のことです。1台のパソコンを複数の従業員が利用する場合などでも、アクセス権限を適切に設定しておけば個人情報が漏えいするリスクも抑えることができるでしょう。情報セキュリティを意識する習慣の一環として、普段からファイルにパーミッションを設定する癖を付けておくことが大切だといえます。

4-3.不正アクセスの対策3.SQLインジェクションへの対策

不正アクセスの攻撃方法の一つであるSQLインジェクションへの対策を行っておくのも重要なポイントです。SQLインジェクションの対策がなされていないウェブサイトの場合、不正ログインやデータの流出、ホームページの改ざんなどの被害を被る恐れがあります。SQLインジェクション対策としては、ウェブアプリケーションへの不正アクセスを防ぐことができるウェブアプリケーションファイアウォールを利用することが効果的な方法だといえます。

4-4.不正アクセスの対策4.ファイアウォールの導入

不正アクセスを防ぐためには、ファイアウォールなどのセキュリティシステムの導入が欠かせないといえるでしょう。ファイアウォールには不正なパケットの通過を制限する機能が備わっています。このファイアウォールと併せて、侵入検知システムや侵入防止システムを同時に導入すればサーバーの情報セキュリティはさらに向上するでしょう。侵入検知システムとは、不正なアクセスがあったときに管理者に通知してくれるシステムのことです。また、侵入防止システムは不審なパケットを自動的に遮断してくれます。

4-5.不正アクセスの対策5.サーバーで利用するサービスの確認

不正アクセスへの対策として、最後にサーバーで利用するサービスを確認するという方法を紹介します。企業のサーバーで不要なサービスを利用している場合、なるべく早めに利用を停止するようにしましょう。特に、古いバージョンのアプリケーションはぜい弱性を狙われて不正アクセスの対象とされる恐れがあります。情報の漏えいを防ぐためにも、不要なアプリケーションは早急に削除しなくてはならないのです。

5.もしも不正アクセスをされてしまったら

情報セキュリティ対策を行っていても、不正アクセスを受けてしまう可能性はあります。不正アクセスを受けたときの対処方法として、まずはサーバーやパソコンをネットワークから遮断して被害拡大の防止に努めることが重要です。次に、対策委員会を立ち上げて不正アクセスによる被害状況と原因の調査を行う必要があります。自社だけでは対応しきれないような場合はセキュリティ企業などの第三者機関に協力を仰ぎましょう。被害状況と原因を把握したら、システムの復旧や対策、再発防止の方法を決定し、実行していくことになります。なお、不正アクセスによる被害を受けたときはセキュリティ関連団体や関係省庁に報告しておくことも大切です。

6.不正アクセス禁止法への理解を深めよう！

不正アクセス禁止法とは、インターネット上での不正アクセス行為を禁じるための法律のことです。規定の中で、不正アクセスを行ったときの罰則や、不正アクセスの再発防止のための措置などが定められています。不正アクセス禁止法は「不正アクセスの行為者に対する規制」と「アクセス管理者による防御側の対策」という2本の柱から構成されています。防御側、すなわち企業の行うべき対策として挙げられているのは、アクセス管理者による情報漏えい防止策の実施やアクセス制御機能の高度化などです。

7.効果的な施策で不正アクセスを防止しよう！

インターネットで世界中とつながっている以上、不正アクセスを完全に防ぐのは難しいといえます。しかし、適切な対策を行うことで不正アクセスのリスクを下げることは可能です。まずはできることから始めて、徐々に会社のセキュリティレベルを引き上げていくとよいでしょう。