デバイス活用マガジン「モビナビ」
デバイス管理の“ できない” を“ もっとできる” に変えるマガジンです。
当社サービスだけでなく、様々な角度で情報を発信しています。
不正アクセス対策、中小企業はどうする?4つの対策法を紹介
皆さんは日々、パソコンやスマートフォンを介してどのようなサービスを利用していますか。チャットツールやSNS、会員制の情報サイトなど多々あると思います。
利用するにはアカウント情報(ログインやパスワードなど)が必要な場合がほとんどですが、第三者に不正アクセスされた経験がある方もいるのではないでしょうか。
不正アクセスは個人だけでなく組織(企業や学校)としての被害や損失に繋がるケースもあります。
今回は、不正アクセスを受けないために、不正アクセスの理解と、具体的な手口や対策をご紹介します。
この記事の目次[表示する]
MDM導入のご検討・
ご相談はこちら
不正アクセスとは?
不正アクセスとは、本来アクセスすべきでない者が、不正な方法でアクセス権限を取得し、デバイスやシステム、サービスに侵入する行為を指します。
乗っ取りや不正ログイン、なりすましなども不正アクセスに該当します。
不正アクセスには様々な種類がありますが、情報漏洩や改ざん、ウイルス感染などがあります。また、不正アクセスによってシステムなどに侵入をされた結果、そこからさらに内部・外部への侵入や攻撃が行われるといった、『踏み台』と呼ばれているケースの被害などがあります。
いずれも他者からの信頼低下や損害賠償など、企業・個人が受けるダメージは軽いものではありません。
参考:https://prtimes.jp/main/html/rd/p/000000004.000069936.html
また不正アクセスの手口は年々巧妙化しており、PCやスマートフォンの普及により、身近なSNSやSaaSサービスなど、公私問わず被害が増えています。
参照:総務省「不正アクセス行為の発生状況」より
総務省の調査に「不正アクセス行為の発生状況」があります。平成28年と比べると件数は1,000件ほど増え、水準の高い状態が続いています。コロナ禍における急な業務環境の変更、リモートワーク(在宅勤務)などもターゲットとされているのではないでしょうか。
企業規模に関わらず、不正アクセスをはじめとしたサイバー攻撃は行われています。大企業の場合はセキュリティ対策に設備コストや人員を確保できますが、それが叶わない中小企業が標的になるケースも多くあります。
参考:https://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_3_1.html
では不正アクセスはどのようにして行われるのか、その手口や方法について触れていきます。
不正アクセスの手口・具体的方法
不正アクセスには複数の手段が存在しており、また手口も巧妙化しています。実際にどのような手口や方法があるのかを知っておくことが、不正アクセス対策の第一歩だと言えるでしょう。
ここでは不正アクセスの手口について、大きく分けて3点ご紹介します。
不正ログイン
不正ログインとは、当事者になりすました第三者がアカウント情報(IDやパスワード)を使い、サービスへログインすることを指します。
具体的には以下の2種類の手法が代表的とされています。
- ブルートフォースアタック(総当たり攻撃)
暗号解読法の一つでID・パスワードの組み合わせを可能な限り試してログインを試みる方法 - パスワードリスト攻撃
何らかの方法で不正に入手したID・パスワードを用いてログインを試みる方法
一見同じように思いますが、ブルートフォースアタックは機械的に莫大な数のログイン施行を行うことからセキュリティ検出が比較的容易とされています。
一方、パスワードリスト攻撃は人為的であり、ログイン施行回数が少ないことから、正規の入力ミスなどと判断がつきにくく、検出が困難とされています。
脆弱性を狙うサイバー攻撃
脆弱性とは、情報セキュリティ用語で、OSやソフトウェアなどの不具合、設計上のミスが原因となるセキュリティの欠陥のことを指します。
セキュリティホールとも呼ばれます。こうした脆弱性を狙った攻撃のことを、サイバー攻撃と総称しています。
「トロイの木馬」と呼ばれるマルウェア※は有名ですが、この場合、正規のソフトやファイルになりすまして侵入し、利用者が気づかない間に情報を外部に流します。
また昨今ではセキュリティホールの修正プログラムが提供される前にマルウェアなどを送り込む「ゼロデイ攻撃」というものがあり、対策が非常に困難とされています。
脆弱性を狙ったものとは少し異なりますが、「フィッシングサイト」も被害が増えています。例えば、公式サイトと見た目がそっくりな偽造サイトへ誘導することで、IDやパスワードといった情報を盗み、それらのアカウント情報を用いて不正アクセスを行うといった手法が取られています。
※マルウェア:不正・有害な動作を行う目的の、悪意のあるソフトウェアや悪質なコードのことを指します。マルウェアについては、下記の記事でも詳しく解説しています。
>>マルウェアとは?ウイルスとの違いや感染防止対策をわかりやすく解説!
添付ファイルなどを使った標的型攻撃
標的型攻撃は、機密情報などを不正取得することを目的として、特定の組織や人を狙う攻撃です。取引先や上司、友人などになりすまし、巧妙なメールを送ります。メールには、添付ファイルやダウンロードURLなどがあり、そこからマルウェアなどに感染させ、不正アクセスを行います。
中小企業が不正アクセス対策をするにはどうすればいい?
先にも触れた通り、中小企業を標的としたサイバー攻撃が増えています。また中小企業を介して取引先となる大手・中堅企業への被害が及んでいるケースも少なくありません。
経済産業省の資料では「調査した30社中、すべてサイバー攻撃を受けていた」、「大手・中堅企業118社中30社が取引先の中小企業からサイバー攻撃の被害を受けた」とあります。
参考:中小企業におけるサイバーセキュリティ対策と普及に向けた国等の支援事業について
また中小企業におけるセキュリティ対策の課題としては「人員不足」や「意識の低さ」という調査結果もあり、単にコストを投じればいいものではないようです。
参照:IPA「 2018年度SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査 」
以上のことから中小企業のセキュリティ対策強化は急務と言えます。
では、実際にどのような対策が必要か一部ご紹介します。
セキュリティソフトやファイアウォールの導入
セキュリティソフト、いわゆる「ウイルス対策ソフト」に関しては、パソコン購入などの場面で聞き覚えのある人も多いと思います。各社様々な機能がありますが、ウイルスのスキャン・駆除、IDパスワード管理、迷惑メール防止など利用者の端末内、またはファイル内での防衛に役立ちます。
合わせて利用したいものにファイヤーウォールというものがあります。
これはウィルスを防げるものではありませんが、外部ネットワークと内部ネットワークの中間に置き、外部からの不正アクセスを防ぎます。
主には以下のような役割があります。
フィルタリング:
発信元・通信元の不正か否かを判断し、許可されたアクセスのみを通します。
アドレス交換:
IPアドレスと言われるインターネット上の住所情報を外部ネットワークに出る際に変換し外部から特定されないようにします。
監視:
履歴(ログ)を追跡し、不正アクセスを検知したタイミングで、情報システム部門などPCやサーバー管理者に通知を行います。
ID・パスワード管理の徹底
生年月日や簡単な英数字の繰り返し(12345,aaa など)など、他人に推測されにくい文字列を心がけましょう。安易なパスワードは簡単に割り出されてしまいます。またパスワードは複数のサービスで同じものは使い回さず、サービスごとに使い分けましょう。
スマホやパソコンなどのデバイス管理を徹底する
スマートフォンやPC、タブレットなど、企業内で利用される端末に関する物理的なリスク、またはネットワーク経由でのリスクなどから、デバイス管理の重要性が高まっています。
例えば、デバイスにパスワードをかけておらず、盗難や紛失時に情報漏洩につながるケースや、シャドーITと呼ばれる組織が許可していないソフトやサービスの利用、または個人端末での業務進行など目の届かない範囲で様々なリスクがあります。
情報システム部門のような専任者がいたとしても、数十台、場合によっては数千台にも及ぶ端末を、常に適切に運用、管理していくには効率的な手段が必要とされるでしょう。
そこでMDMという「モバイルデバイス管理」というものを紹介します。
MDMは多くの機能を保有していますが、主にはデバイスの位置情報の取得、遠隔ロックや削除、社内のポリシー(方針)に合わせた機能制限や設定変更(パスワード変更なども)、アプリ配信などがあります。
デバイス管理者は管理画面を通して数台から数千を超えるデバイスを一括管理できるため、万が一の事態も遠隔からシームレスに対処が可能です。デバイスを回収する、また現地に赴いて設定するといったコストの削減にもつながります。
OSやソフトウェアを最新状態に保つ
「脆弱性」を狙ったサイバー攻撃がありますが、これらの対処としてOSやソフトウェアのバージョンを最新に保つということも一つの防ぐ方法になります。各サービスが日々更新される脅威に対して対応策をアップデートに含んでいます。
とはいえ、更新をうっかり忘れていたということもしばしば。ましてや企業や学校などでは各デバイス利用者に更新をお願いし、100%同じ状態に保つことはまず難しいでしょう。
そこで、前項で触れた「MDM」が有用性を発揮します。
MDMがあれば、登録された全端末のOSや各ソフト(アプリ)のバージョンアップを行うことが可能です。利用者に連絡することなく、デバイスに触れることなく最新の状態に保つことができます。
またアップデート情報を検知し自動アップデート、または手動アップデートと利用する環境に合わせて設定することが可能です。
手動アップデートに関しては、セキュリティの観点でOSを最新状態に保つことは重要ですが、業務や校務で活用するソフトが最新のOSに対応していない場合などに役立ちます。
MDMでセキュリティ面で安心できる環境を構築しよう
不正アクセスは、アカウント情報の不正入手や脆弱性を狙ったものなど、いずれも事前に対策をしておけばある程度は防げるものも多いものです。
各個人がセキュリティに関する知識を高めることも重要ですが、MDMがあることで管理する全ての端末の活用状況を把握しながら、セキュリティ対策はもちろんのこと、リスクの抑止、利用者の支援、業務効率化などが可能です。
企業としても、いつ、だれが、どこでデバイスを使っているのか、なんのサービスを使っているのかなどを適切に把握したうえで、業務や校務の進行を止めることなく安心・安全な環境を構築することが大切です。
まとめ
今回は不正アクセスの理解と、具体的な手口や対策に関して紹介していきました。
企業のセキュリティ対策に関しては、単に設備や人員のコストだけでなく、知識や意識という点も課題です。
正しい理解と事前の対策で未然に防げるものも多々あるので、これを機に不正アクセスに関する意識を個人や組織レベルで見直し、改善につなげていきましょう。
MDMもセキュリティ対策として有効な手段の一つであることから、検討してみることをお勧めします。当社は、企業の要望に合わせた小規模~大規模な端末台数へのMDM導入実績があり、業種業態問わずご利用いただいているノウハウがございます。まずは相談だけでも、お気軽にお問い合わせください。