設定ミスによる不正アクセスとは?
インターネットの普及に伴い、情報システムやサーバの有効な活用は企業経営に欠かせないものになりました。
一方で世界中につながっているインターネットはセキュリティ上、大きなリスクも含んでおり、大きな課題のひとつに人為的な設定ミスによる不正アクセスがあります。
そこで今回は不正アクセスが起きてしまう可能性を高める設定ミスと対応策を紹介します。
- 1. 設定ミスによる不正アクセス
- 2. 不正アクセスの可能性を高める設定ミス
- 2.1. サーバで利用していないサービスを停止していなかった
- 2.2. サーバで利用するサービスのアカウント管理やアクセス制限を適切に設定していなかった
- 2.3. SSH、SFTPなどのアクセス制御が確実に行われていなかった
- 2.4. 脆弱性が確認されたソフトウェアの更新を怠った
- 2.5. パーミッションの設定を怠った
- 2.6. SQLインジェクション対策を怠った
- 2.7. ファイアウォールやIPSの導入を怠った
- 2.8. システムが発するセキュリティ警告に対応した適切な設定を怠った
- 2.9. 許可されていないソフトウェアを勝手にインストールした
- 2.10. モバイル端末に社内システムのユーザ名やパスワードを記憶させていた
- 3. まとめ
設定ミスによる不正アクセス
設定ミスによる不正アクセスとは、人為的な設定ミスによって起こったシステムの脆弱性などが狙われ、企業のサーバや情報システムに不正にアクセスされてしまうことです。インターネットは世界中につながっているため、不正アクセスは世界中の悪意を持った攻撃者から実行される可能性があります。
設定ミスによる不正アクセスは、重要情報の漏えいやサーバ・情報システムの停止などを引き起こし、業務に支障をきたすだけでなく企業のブランドイメージを大きく下げる原因となります。
不正アクセスの可能性を高める設定ミス
企業のサーバや情報システムは、設定ミスによって不正アクセスのターゲットとして狙われる可能性が高まります。ここでは、不正アクセスが起きてしまう可能性を高める設定ミスと対応策を紹介します。
サーバで利用していないサービスを停止していなかった
サーバ向けに提案されているいるサービスの中には不正アクセスに利用されやすいものがあります。たとえば、Telnet(ネットワークを介してサーバを遠隔操作するサービス)やFTP(パソコン間のファイル転送に利用されるサービス)などは、利用していなければ、停止しておく必要があります。
サーバで利用するサービスのアカウント管理やアクセス制限を適切に設定していなかった
サーバで利用するサービスは、アカウント管理やアクセス制限を適切に設定しておかないと不正アクセスのターゲットとなる可能性があります。
SSH、SFTPなどのアクセス制御が確実に行われていなかった
サーバでSSH(ネットワークを介して別のコンピューターにログインしたりファイルを移動したりするプログラム)やSFTP(SSHで暗号化された通信路で安全にファイルを送受信する転送プロトコル)を利用している場合は、ポリシーに対応した認証方法を選択して、アクセス制御を確実に行う設定をしなければなりません。
脆弱性が確認されたソフトウェアの更新を怠った
企業で使用しているサーバや情報システムに採用しているソフトウェアに脆弱性が見つかり、更新の必要性がある場合はスピーディーに更新プログラムを実行する必要があります。更新を怠った隙に脆弱性を狙った不正アクセスが発生する可能性があります。
▼サーバーのセキュリティリスクを防ぐ!
>>脆弱性診断(セキュリティ診断)
パーミッションの設定を怠った
情報を保存しているファイルのパーミッション(ディレクトリやファイルへのアクセス権限)の設定を怠ると、インターネットからの不正アクセスが可能となってしまいます。設定ミスによる不正アクセスの多くは、パーミッションの設定を怠ったことから発生しており、重大な個人情報漏洩に発展しています。
SQLインジェクション対策を怠った
SQLインジェクションとは、悪意を持った攻撃者が特殊な文字列をウェブサーバに入力して、本来のウェブアプリケーションではありえない動作を実行することで、データベース上のデータを盗み出す攻撃です。
SQLインジェクション対策としてウェブアプリケーションとデータベースは、入力内容のチェックやWAF(ウェブアプリケーションファイアウォール)の導入をおこなう必要があります。こうしたSQLインジェクション対策を怠ると不正アクセスの発生を許してしまう可能性が高まります。
ファイアウォールやIPSの導入を怠った
不正アクセスのブロックや、通信記録を残しておくためにファイアウォールやIPS(侵入防止システム)を導入することも重要です。
システムが発するセキュリティ警告に対応した適切な設定を怠った
ファイアウォールやIPS(侵入防止システム)を導入しても、ログやセキュリティ警告を日常的に確認し、適切な対応ができるように業務フローを確立しておかないと、セキュリティ維持のために必要な対応を失念し、不正アクセスを許してしまいます。
許可されていないソフトウェアを勝手にインストールした
社員が勝手にパソコンの機器構成を変更したり、許可されていないソフトウェアをインストールしてしまうと、脆弱性を招く可能性が高まりますので禁止しなければなりません。
モバイル端末に社内システムのユーザ名やパスワードを記憶させていた
単純な人為的なミスを防止するためには社員にモバイル端末の適切な管理を徹底させ、紛失などが起きないようにしなければなりません。また、モバイル端末にユーザ名やパスワードを記録させないなど、ユーザ名やパスワードの取扱い厳格化も必要です。
まとめ
設定ミスによる不正アクセスとは、人為的な設定ミスによって起こったシステムの脆弱性などが狙われ、企業のサーバや情報システムに不正にアクセスされてしまうことです。
人為的な設定ミスの発生防止を限りなく100%に近付けるためにも、社員個人の問題ではなく、組織の問題として対応していく必要があるでしょう。
▼こちらの記事もおすすめ