国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策情報管理担当者ハッキングによる被害と対策 トップページへ戻る
「企業・組織」の情報セキュリティ対策:情報管理担当者
ウイルスからの防御
ユーザー権限とユーザー認証の管理
パスワード管理の推奨
バックアップの推奨
ソーシャルエンジニアリングの対策
サーバーの設置と管理
機器障害への対策
ハッキングによる被害と対策
社員の不正による被害
廃棄するコンピュータやメディアからの情報漏洩
情報セキュリティポリシーの導入と運用方法
持ち運び可能なノートパソコンを利用する上での危険性と対策
持ち運び可能なメディアを利用する上での危険性と対策
ASP・SaaSを利用する際の情報セキュリティ対策
SQLインジェクションへの対策
ハッキングによる被害と対策

重要!
 外部からハッキングを受けると、さまざまな被害を受けることが考えられます。以下に代表的な被害を列挙します。

ホームページを改ざんされる。
サーバーに格納されていたデータが盗難される。
サーバーシステムが破壊される。
サーバーサービスが停止してしまう。
メールサーバーを利用した迷惑メールの中継に利用される。
他のコンピュータを攻撃するための踏み台として利用される。
バックドアを仕掛けられ、いつでも外部から侵入できるようにされる。

 これらの被害から企業や組織の情報資産を守るためには、ひとつめの対策としてサーバー設定の確認が有効です。

不要なサービスが実行されていないか。
不要なスクリプトが残されていないか。

サーバーのサービスを確認 まず、確認しなければならない代表的なサービスとして、TelnetサービスFTPサービスがあります。Telnetサービスは、ネットワークを介してサーバーを遠隔操作できるサービスです。また、FTPサービスは、コンピュータ間でのファイル転送に利用される代表的なサービスです。本来であれば、これらのサービスはインターネットを便利にするためのサービスですが、反面、ハッキングに利用されやすい代表的なサービスでもあります。自分で管理しているサーバーで、本当にこれらのサービスが必要かどうかを検討してみてください。

 また、Webサーバーデータベースサーバーにインストールされるスクリプトにも注意が必要です。スクリプトの中にはサーバーの管理用のものも含まれており、過去にハッキングに悪用されたケースがありました。これらのスクリプトは、Webサーバーデータベースサーバーをインストールしたときに、自動的に追加されてしまうものが大部分です。Webサーバーデータベースサーバーをインストールする際には、メーカーの情報セキュリティに関するホームページなどを参考にして、不要なスクリプトを削除するといった対策を行うことが必要です。

 2つ目の対策として、インターネット上でWebサーバーデータベースに接続されたWebアプリケーションを利用している場合におけるSQLインジェクションへの対応が必要です。SQLインジェクションは、特殊な文字列をWebサーバーに受け渡すことでWebアプリケーションに本来はあり得ない動作をさせて、データベースに格納されているデータを盗み出す手法です。SQLインジェクションは、Webアプリケーションデータベースに適切な対策を実施することで防御することができます。

 3つ目の対策として、ファイアウォールの導入も検討してみましょう。守るべきサーバーの外側にファイアウォールを導入することで、インターネットからのTelnetFTPといった通信をブロックすることもできます。

 4つ目の対策として、社員や職員が、勝手にクライアントコンピュータの機器構成を変えたり、企業や組織内で許可していないソフトウェアをインストールしたりすることを禁止するようにしましょう。機器構成を変える代表例として、モデムや回線の接続があります。回線の接続は、情報管理担当者がもっとも発見しにくいものであり、そのような回線を利用され、ハッキングされてしまった事例もあります。また、ユーザーが許可していないソフトウェアをインストールすると、それがセキュリティホールに直結することもあります。

 5つ目の対策として、ユーザーによるモバイル機器などの持ち出しを記録して、モバイル機器には社内システムユーザー名パスワードを記憶させないことです。ユーザーがモバイル機器を紛失しても、すぐにそのユーザー認証情報を変更することで、ハッキングなどの危険から情報資産を守ることができます。

 このような情報セキュリティ対策を通して、ハッキング被害の可能性を減少させましょう。

ページ参照 対策:情報セキュリティを向上するためには(自設サーバー利用者向け)

(2009年3月更新)

国民のための情報セキュリティサイトトップへ