不正アクセスがもたらす企業リスクと対策


Pohoto by

不正アクセスという言葉をご存知だろうか?あなたのパソコンに全く知らない人が自由に出入りし、情報を自由に閲覧したり盗むだけでなく、悪質なプログラムを実行し気付かないうちに加害者に仕立て上げることもある、極めて悪質な犯罪の一つだ。

こうした被害にあうと、自分の知らないところで取引先に迷惑メールを送信していたり、大量のデータ通信を行いプロバイダから突然、利用停止勧告を受けるなど身に覚えのないトラブルに巻き込まれてしまうこともある。2012年に起きた「パソコン遠隔操作事件」では、全く関係のない4人が誤認逮捕されてしまうという事件まで発展している。

今回は個人としての防衛策ではなく、中小企業としての視点で気をつけるべき対策をまとめてご紹介しよう。

1.不正アクセスで起きる企業リスクとは?

まずは不正アクセスにより、実際にどのような被害が起きているのかをご覧いただこう。

1-1.情報漏えいリスク

まず会社のパソコンに自由に出入りできるようになると、同じネットワーク内(つまり社内)にある他のパソコンやサーバーへもアクセスできるようになる。もし、パスワード管理などしていなかったら、情報はすべて筒抜けになり閲覧はもちろん、盗み出すこともできるため機密情報が社外へ漏えいしてしまう。不正アクセスによる情報漏えいをした企業は、例外なく「信用できない企業」というレッテルを貼られている。

1-2.パソコン内のデータ紛失・破損リスク

ファイルやメールの閲覧も容易にできる反面、それらを上書きしたり、消去したり、壊すことも簡単にできる。また、セキュリティソフトなどのアンインストールすらできてしまうので、どんなにパソコン内で対策を講じていても意味をなさない。データを壊すなどは愉快犯や私怨を晴らすためなど被害は小さなものだが、実際は金銭目的で情報を売買するために盗み取られることが多い。

1-3.ウィルス感染

ウィルス対策ソフトを導入していたとしても、ソフトを消してしまえば効力は発揮されない。実際、ウィルスやマルウェアへの感染を行い、そこから不正送金などの犯罪への足がかりへと使われている。さらにウィルスは感染するため、気がつけば社内のパソコンの半数以上がウィルスに感染していたというケースもある。

1-4.踏み台にされる

攻撃者のそもそもの目的であるサーバー攻撃などを行う際に、データ送信元を偽装するために他人のパソコンを乗っ取り「踏み台」としてまた別のパソコンへ不正アクセスする。冒頭にお話した事件で起きた4人の誤認逮捕者は、踏み台とされたことで全く関係のない被害者たちが犯人扱いされたのだ。

1-5.他人のパソコンを攻撃してしまう

不正なプログラムを実行され、「迷惑メールを送信するパソコン」にされたり、大量のデータ通信を行うことでサーバーダウンやビルのネットワークダウンなどの被害が起きている。他社のネットワークまで巻き込む大惨事なので、当然慰謝料などの損害賠償まで発展している。

2.中小企業ができる不正アクセス対策

では、どのようにして不正アクセス対策をすれば良いのか?一度被害にあうと、いつでも遠隔操作ができる状態にされてしまう上に、その状態になっていることを利用者が気付くことはほぼ不可能といえる。不正アクセスは未然に防ぐための対策が重要だ。

予算や時間が限られている中小企業にとって、必要最低限ともいえる対策は次のとおりだ。

2-1.パソコンのセキュリティ対策

まずはパソコン本体のセキュリティ対策を実施しよう。インターネットに潜む脅威のほとんどはウィルスや脆弱性といった原因がほとんどだ。しかし、その感染ルートは日に日に増加しており、中には一般企業が不正アクセスされたことによりホームページを改ざん、そのホームページを閲覧しただけでウィルスに感染するなどの被害も起きている。会社を守るためには、まず社内のパソコンから見直そう。

1.ウィルス対策ソフトの導入

パターンファイル+振る舞い検知の対策がついたものであれば、十分なコストパフォーマンスを発揮する上に、個別のパソコンを守る手段には無くてはならない存在なので必ず導入しよう。また、市販されている家庭用以外にも業務用としてライセンス販売しているものもある。5台以上のパソコンがある場合はライセンスで購入した方が管理しやすいだろう。

ウィルス対策ソフトの特徴

導入コストが安い

一台あたり数千円と導入コストはとても安く、年間利用できることも大きなアドバンテージといえる。

管理コストが高い

一台に対し都度、最新化を常に行わなければならず、複数台ある中小企業の場合は最新化の管理が意外と煩雑になる。ライセンス版ならば一括で更新ができるので中小企業には家庭用ではなくライセンス版がおすすめ。

費用対効果はとても高い

すぐに導入できるうえに、パフォーマンスはすこぶる高いので必ず導入しよう。

2.Webフィルタリングソフトの導入

インターネットの接続先を指定または拒否するためのソフトだ。これは社内で閲覧自体を禁止するほか、閲覧履歴が残せるものもあるため有事の際にも役に立つ。特にファイル交換ソフトや掲示板といった、匿名性が高く不特定多数の人が集まりやすい場所にはウィルスは仕込まれやすいので、これらを一括で禁止している企業も少なくない。

Webフィルタリングソフトの特徴

一元管理

企業用として導入するため、複数のパソコンに入れることを前提としている。そのため基本的には一元管理が原則的となっている。

導入時にルール設定が必要

インターネットの閲覧先を制限するため、業務にダイレクトに支障が出やすい。そのため導入当初にある程度のルール設定が必要になる。

費用対効果はとても高い

社内のパソコンを乗っ取られてもシステム的に外に出られなくする効果があり、情報を盗まれるリスクを下げることができる。導入効果は高いため導入をおすすめする。

3.パソコンを最新化を保つ

パソコンに対するセキュリティ対策でもっとも重要な事は「常に最新の状態を保つこと」だ。自動更新機能を有効にし、常に最新の状態になるように設定をしておこう。ここでは他にも大衆的にインストールされている代表的なソフトをご紹介するが、基本的に脆弱性はあらゆるソフトで見つかる可能性がある。必ず自動更新設定は有効にしておこう。

最新化を保つべき代表的なソフト

ウィルス対策ソフトの最新化

毎日の自動スキャンや定期アップデートなど、ソフトにより様々な設定があるが、常に最新化されるように設定しておこう。

OSの最新化

WindowsUpdateは必ず自動更新されるようにしておこう。また、念のため現時点で最新化されているか調べておこう。
参考:『コンピューターが最新の状態かどうかを知る方法』

ブラウザの最新化

InternetExplorerは当然として、その他インストールしているブラウザもすべて対象だ。
参考:『Internet Explorer を更新する』

Adobeの最新化

AdobeReaderやFlashPlayerなどは過去にも脆弱性が見つかり大きなニュースとなった。必ず自動アップデード設定をしておこう。
参考:『自動アップデートの環境設定』『Flash Player 自動更新の設定』

Javaの最新化

Javaは自動最新化ではなく自分で最新化する必要がある。自動更新することもできるので詳しい手順は『Javaのヘルプページ』を参考にしよう。

2-2.ネットワークのセキュリティ対策

中小企業で見落とされがちなのが、この社内ネットワーク対策だ。パソコンの対策よりも一気に専門的になり、IT担当者がいないと「よく分からないため導入を先送り」という対応をしてしまいがちだ。しかし、パソコン単位での対策には限界があり、台数が増えると管理が倍増していくという悪循環に陥る。そこを付け狙われてしまうケースが非常に多いため、しっかりと対策をしていただきたい。

1.ファイアウォールの導入

パソコンにもWindowsファイアウォールといった機能が標準搭載されているが、それはパソコン自体を守るものだ。ここでご紹介しているファイアウォールは、社内と社外のネットワークを分断させ、不正アクセスなどの攻撃を防ぐ「防火壁」の役割をするものだ。会社を守る最初の砦ともいえる。機器にはルーター機能を兼ね備えているものもあり、社内のルーターとして使うケースが多い。

ファイアウォールの特徴

機器の導入コストは5万~20万程度

業務用の機器にしては比較的導入コストを抑えられるが、実際には設定費用などが上乗せされる。

設定が難しい

IT担当者が不在の場合、まず自分で設定することは避け専門業者に委託することが望ましい。

2.IPS(不正侵入防御)とIDS(不正侵入検知)の導入

ファイアウォールでは防げない「怪しいデータ通信」を見つけたらその通信を遮断する(=IPS)もので、ネットワーク単位で「振る舞い検知」が働くもの(=IDS)。ファイアウォールが破られた時に本領発揮するものだが、導入コストが非常に高く中小企業ではあまり現実的なものではないが、ネットワークを守る手段としては欠かせない対策。

IPS/IDSの特徴

機器の導入コストは数百万~

業務用の機器にしては比較的導入コストを抑えられるが、実際には設定費用などが上乗せされる。

設定が難しい

IT担当者が不在の場合、まず自分で設定することは避け専門業者に委託することが望ましい。

3.拠点間VPNの導入

複数の拠点で情報共有する場合に必ずと言っていいほど導入されるVPN接続。低コストながら安全に自社の機密情報をやり取りするために必須ともいえる方法。

VPNの特徴

導入コストは月額数千円~

基本的に月額費用がかかるが、コストパフォーマンスは非常に高い。

IT担当者が必要

複数の拠点間を結ぶため、相応の構成図が必要になる。IT担当者が不在の場合は外注することをおすすめする。

いくつか対策をご紹介したが、今はこれらを網羅したUTMというアプライアンス機器一つで対策できるため、「最終的にはUTMがもっともコストパフォーマンスが高い」という結論になることが多い。

3.中小企業ができる不正アクセスまとめ

不正アクセス対策には社内のセキュリティ対策が欠かせない。今一度見なおしていただきたい。

  1. パソコンのセキュリティ対策
  2. 1.ウィルス対策ソフトの導入
  3. 2.Webフィルタリングソフトの導入
  4. 3.パソコンを最新化を保つ
  1. ネットワークのセキュリティ対策
  2. 1.ファイアウォールの導入
  3. 2.IPS(不正侵入防御)とIDS(不正侵入検知)の導入
  4. 3.拠点間VPNの導入

企業を狙った不正アクセスの場合、ほとんどの場合がルーターなどを通り抜け社内ネットワークを通じて一台のパソコンへ辿り着く。対策重要度が高いのは社内ネットワークだが、中小企業にはIT担当者不在であったりコストの問題により敷居が高いのが実情だ。今はUTMのようなオールインワンになったアプライアンス機器があるため、少なくともUTMによる対策くらいはしておいた方が良いだろう。

不正アクセスの恐ろしいところは不正アクセスされていても気が付かないことにある。最悪の場合、全く見に覚えが無いにも関わらず加害者扱いされてしまうのだ。不正侵入対策をしっかりと実施しておくことが何より身を守る手段となるので、ぜひ実践していただければ幸いだ。

中小企業のセキュリティ対策についてのご相談やお問い合わせ

OAランドグループではオフィス作りを中心に行う起業家支援企業です。近年、爆発的に増加しているセキュリティ事故を一件でも未然に防ぐため、セキュリティ対策に予算や時間をかけられない中小企業向けのセキュリティ対策のご提案をしています。ご相談やお問い合わせに費用はかかりません。

> ご相談・お問い合わせはこちらから

中小企業のセキュリティを守る「最強の1台」

関連記事

  • セキュリティ事故

    ネットバンキング不正送金の手口と中小企業がすぐできる対策
    >>続きを読む>>続きを読む

  • セキュリティ事故

    中小企業に必要な情報漏えい対策
    >>続きを読む>>続きを読む

  • セキュリティ対策

    パソコン・ネットワークのセキュリティ対策
    >>続きを読む>>続きを読む

  • よくある勘違い

    市販のセキュリティソフトを使ってるから大丈夫でしょ?
    >>続きを読む>>続きを読む

このページの先頭へ