ホーム企業・組織の対策情報管理担当者の情報セキュリティ対策 > 不正アクセスによる被害と対策


不正アクセスによる被害と対策

  外部から不正アクセスを受けると、さまざまな被害を受けることが考えられます。以下に代表的な被害を列挙します。

  • ホームページを改ざんされる。
  • サーバ内に保存されていたデータが外部に送信される。
  • サーバシステムが破壊される。
  • サーバやサービスが停止してしまう。
  • 迷惑メールの送信や中継に利用される。
  • 他のパソコンを攻撃するための踏み台として利用される。
  • バックドアを仕掛けられ、いつでも外部から侵入できるようにされる。

  これらの被害から企業や組織の情報資産を守るためには、管理下のサーバで稼働しているサービスを把握し、各種設定が適切であるか確認を行い、必要なセキュリティ機能を導入し対策を行うことが重要です。

サーバで利用するサービスの確認

  確認しなければならない代表的なサービスとして、ネットワークを介してサーバを遠隔操作できるTelnetなどのリモート接続サービスと、パソコン間でのファイルの転送に利用されるFTPがあります。これらのサービスは、ホームページの改ざんや不正侵入などにも利用されやすいものですので、自分で管理しているサーバでこれらのサービスが不要であればサービスを停止します。サービスを利用する必要がある場合は、アカウントを厳重に管理し、アクセス制御を適切に設定することが大切です。

  また、最近はこれらに替わって通信路の暗号化を行うSSHSFTPなどが利用されるようになってきていますが、ポリシーに応じて適切な認証方式を選択し、アクセス制御を確実に行うようにしましょう。

ソフトウェアの更新

  自分が管理するシステムに関して、ソフトウェアの開発元やシステム機器メーカーから、脆弱性(ぜいじゃくせい)の修正に関する更新が発表されることがあります。このときは、まず自分が管理するシステムについての影響や緊急性を検討します。特に、外部に広く公開しているWebサーバなどに深刻な脆弱性が発表されたときは、迅速な判断と対応が求められます。不正アクセスなどの被害を受けないよう、可能な限り迅速に更新プログラムを適用しましょう。

パーミッションを正しく設定

  パーミッション(ディレクトリやファイルへのアクセス権限)を設定して、収集した情報を保存しているファイルには、インターネットから接続する利用者がアクセスできないようにしなければなりません。実際に発生している個人情報の漏洩(ろうえい)事件の多くは、このパーミッションの設定を怠ったことが原因となっています。

SQLインジェクションへの対策

  インターネット上のWebサーバデータベースに接続されたWebアプリケーションを利用している場合には、SQLインジェクションへの対策が必要です。SQLインジェクションは、悪意を持った攻撃者が特殊な文字列をWebサーバに入力することでWebアプリケーションに本来はあり得ない動作をさせて、データベースに保存されているデータを盗み出す攻撃手法です。

  SQLインジェクションは、Webアプリケーションデータベースに適切な対策を実施することで防御することができます。対策としては、利用者から受け付けた入力をチェックすることが基本ですが、ウェブアプリケーションファイアウォール(WAF)の導入も有効な手段と言えます。

ファイアウォールや侵入防止システム(IPS)の導入

  守るべきサーバの外側にファイアウォールを導入することで、インターネット側からの不要な通信をブロックしたり、実際に行われた通信の記録を取ることもできます。また、IPSを導入することで、インターネットとの通信内容を監視し、不正に侵入を行おうとする通信や、ソフトウェアの既知の脆弱性を狙った攻撃と言える通信を防御することができます。

  さらに、自分が管理するネットワークのセキュリティレベルを維持するためには、ファイアウォールIPSの導入を行った後にも、適宜ログを確認したり、システムが発するセキュリティ警告などの内容を確認して、必要な対応を行っていくことが重要です。このような日常の運用にかかるコストも考慮して導入を計画しましょう。

機器構成の変更やソフトウェアのインストール制限

  社員や職員が、勝手にクライアントパソコンの機器構成を変えたり、企業や組織内で許可していないソフトウェアをインストールしたりすることを禁止するようにしましょう。利用者が許可されていないソフトウェアを勝手にインストールすると、ソフトウェアの管理が適切に行えないばかりか、それが脆弱性に直結することもあります。

モバイル機器の適切な管理

  モバイル端末には社内システムユーザ名パスワードを記憶させないようにしましょう。社員や職員がモバイル機器を紛失しても、すぐにそのユーザ認証情報を変更することで、不正アクセスなどの危険から情報資産を守ることができます。

  このような情報セキュリティ対策を通して、不正アクセス被害の可能性を減少させましょう。