国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
攻撃者は、正規のユーザーのIDおよびパスワードを用いて組織の機密情報等に不正アクセスを行うことがあります。
正規のユーザ情報を入手される原因としては以下のようなことが挙げられます。
一般従業員より、システム管理者の方がより多くの権限を保有しているため、システム管理者のアカウントやシステムの特権を有するアカウントは格好の標的になります。推測されやすいパスワードを設定しない様に、システムを利用する人(従業員)に対して以下の内容をアナウンスする様にしましょう。またシステム管理者のパスワードについても同様の対策を講じるようにしましょう。
従業員からパスワードの再発行依頼があったときには、利用者の本人性の確認が必要になります。電話での問い合わせに対し本人確認をせずに、電話で回答するというのではソーシャルエンジニアリングの危険があります。本人確認の方法として、問い合わせた本人が所有していることがわかっている電話にコールバックを行うことや、本人しか知り得ない情報を確認するなど、あらかじめ適切な対応方法を決めておきましょう。
長期間利用されていないアカウントや、本来であれば削除しておくべきアカウントがないか定期的に確認し、不要なアカウントは無効化したり、削除したりするようにしましょう。
