設定ミスによる不正アクセスとは?


設定ミスによる不正アクセスとは?
設定ミスによる不正アクセスとは?

インターネットの普及にともない、情報システムやサーバの有効な活用は企業経営に欠かせないものになりました。一方で世界中につながっているインターネットはセキュリティ上大きなリスクも含んでいます。セキュリティ管理上の大きな課題のひとつに、人為的な設定ミスによる不正アクセスがあります。そこで今回は不正アクセスが起きてしまう可能性を高める設定ミスと対応策を紹介します。

設定ミスによる不正アクセス

設定ミスによる不正アクセスとは、人為的な設定ミスによって起こったシステムの脆弱性などが狙われ、企業のサーバや情報システムに不正にアクセスされてしまうことです。インターネットは世界中につながっていますので、不正アクセスは世界中の悪意を持った攻撃者から実行される可能性があります。

設定ミスによる不正アクセスは、重要情報の漏えいやサーバ・情報システムの停止などを引き起こし、業務に支障をきたすだけでなく企業のブランドイメージを大きく下げる原因となります。

不正アクセスが起きてしまう可能性を高める設定ミス

企業のサーバや情報システムは、設定ミスによって不正アクセスのターゲットとして狙われる可能性が高まります。ここでは、不正アクセスが起きてしまう可能性を高める設定ミスと対応策を紹介します。

1サーバで利用していないサービスを停止していなかった

サーバ向けに提案されているいるサービスの中には不正アクセスに利用されやすいものがあります。たとえば、Telnet(ネットワークを介してサーバを遠隔操作するサービス)やFTP(パソコン間のファイル転送に利用されるサービス)などは、利用していなければ、停止しておく必要があります。

2サーバで利用するサービスのアカウント管理やアクセス制限を適切に設定していなかった

サーバで利用するサービスは、アカウント管理やアクセス制限を適切に設定しておかないと不正アクセスのターゲットとなる可能性があります。

3SSH、SFTPなどのアクセス制御が確実に行われていなかった

サーバでSSH(ネットワークを介して別のコンピューターにログインしたりファイルを移動したりするプログラム)やSFTP(SSHで暗号化された通信路で安全にファイルを送受信する転送プロトコル)を利用している場合は、ポリシーに対応した認証方法を選択して、アクセス制御を確実に行う設定をしなければなりません。

4脆弱性が確認されたソフトウェアの更新を怠った

企業で使用しているサーバや情報システムに採用しているソフトウェアに脆弱性が見つかり、更新の必要性がある場合はスピーディーに更新プログラムを実行する必要があります。更新を怠った隙に脆弱性を狙った不正アクセスが発生する可能性があります。

5パーミッションの設定を怠った

情報を保存しているファイルのパーミッション(ディレクトリやファイルへのアクセス権限)の設定を怠ると、インターネットからの不正アクセスが可能となってしまいます。設定ミスによる不正アクセスの多くは、パーミッションの設定を怠ったことから発生しており、重大な個人情報漏洩に発展しています。

6SQLインジェクション対策を怠った

SQLインジェクションとは、悪意を持った攻撃者が特殊な文字列をウェブサーバに入力して、本来のウェブアプリケーションではありえない動作を実行することで、データベース上のデータを盗み出す攻撃です。

SQLインジェクション対策としてウェブアプリケーションとデータベースは、入力内容のチェックやWAF(ウェブアプリケーションファイアウォール)の導入をおこなう必要があります。こうしたSQLインジェクション対策を怠ると不正アクセスの発生を許してしまう可能性が高まります。

7ファイアウォールやIPSの導入を怠った

不正アクセスのブロックや、通信記録を残しておくためにファイアウォールやIPS(侵入防止システム)を導入することも重要です。

8システムが発するセキュリティ警告に対応した適切な設定を怠った

ファイアウォールやIPS(侵入防止システム)を導入しても、ログやセキュリティ警告を日常的に確認し、適切な対応ができるように業務フローを確立しておかないと、セキュリティ維持のために必要な対応を失念し、不正アクセスを許してしまいます。

9許可されていないソフトウェアを勝手にインストールした

社員が勝手にパソコンの機器構成を変更したり、許可されていないソフトウェアをインストールしてしまうと、脆弱性を招く可能性が高まりますので禁止しなければなりません。

10モバイル端末に社内システムのユーザ名やパスワードを記憶させていた

単純な人為的なミスを防止するためには社員にモバイル端末の適切な管理を徹底させ、紛失などが起きないようにしなければなりません。また、モバイル端末にユーザ名やパスワードを記録させないなど、ユーザ名やパスワードの取扱い厳格化も必要です。

まとめ

設定ミスによる不正アクセスとは、人為的な設定ミスによって起こったシステムの脆弱性などが狙われ、企業のサーバや情報システムに不正にアクセスされてしまうことです。人為的な設定ミスの発生防止を限りなく100%に近付けるためにも、社員個人の問題ではなく、組織の問題として対応していく必要があるでしょう。