セミナー情報不正アクセス対策15選!中小企業が今すぐやるべき優先順位と実践ロードマップ
・不正アクセスは禁止行為であり、脆弱性の悪用により、情報漏洩、事業停止といった4大経営リスクに直結する。
・対策は段階的に進める。初期はパスワード強化、多要素認証、更新を最優先。中核対策として権限の最小化やログ監視が必要。
・リスクはゼロではないため、緊急時対応の準備として、被害特定・拡大防止、証拠保全、関係各所への報告などの緊急時対応手順を事前に定めておく。
・手動管理には限界があり、対策の実行・管理を効率化し確実性を高めるため、IT資産管理ツールの導入が最も有効な手段である。
「不正アクセス対策の重要性は分かっているが、何から手をつければいいか分からない...」
「リソースが限られるなかで、最も効果的な対策はどれだろう?」
中小企業のIT担当者様にとって、これは切実な悩みではないでしょうか。
本記事では、そうした課題を解決するため、組織の規模や成熟度に合わせて取り組むべき15の対策を3つのレベルに分けて解説します。
・不正アクセスの主な手口と組織が直面する4大リスク
・【レベル別】不正アクセス対策15選・実践ロードマップ
・それでも被害に遭ってしまった際の緊急時対応5ステップ
・対策の実行と管理を効率化するIT資産管理ツール「SS1」
・まとめ
不正アクセスとは?その定義と増加する背景
対策について解説をする前に、まずは「不正アクセス」が何を指し、なぜ今これほどまでに問題視されているのかを正しく理解しましょう。
不正アクセスの定義
まず「不正アクセス」とは、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」によって明確に定義された犯罪行為です。
この法律では、主に以下の5つの行為が禁止されています。
他人のID・パスワードを無断で使い、アクセス権限のないコンピュータを不正に利用する行為。
2.他人の識別符号の不正取得(第4条)
フィッシングサイトなどでID・パスワードを盗み取る行為。
3.不正アクセス行為を助長する行為(第5条)
他人のID・パスワードを、本人の許可なく第三者に教えたり販売したりする行為。
4.他人の識別符号の不正保管(第6条)
不正に取得したID・パスワードを保管する行為。
5.他人の識別符号の不正要求(第7条)
ID・パスワードを不正な目的で要求する行為。
簡単にいえば、正当な理由なく他人の「家の鍵(ID・パスワード)」を使って勝手に「家(コンピュータやサービス)」に入ったり、その鍵を盗んだりコピーしたり、他人に渡したりする行為が罰せられます。
不正アクセスが高い水準にある背景
近年、不正アクセスの被害報告は増減を繰り返しながらも高い水準にあります。
総務省・警察庁・経済産業省の共同報告によれば、令和6年の不正アクセス認知件数は5,358件で前年比15.1%減少したものの、依然として組織にとって看過できない脅威となっています。
では、なぜこれほどまでに不正アクセスが問題視されているのでしょうか。主な背景として、以下の3点が挙げられます。
働き方の多様化(テレワークの普及)
オフィス外で業務をおこなうことが当たり前になり、社内ネットワークという「壁」で守られていない環境でPCが扱われる機会が増え、攻撃者が侵入を試みるポイントが増加しました。
クラウドサービス利用の拡大
便利なクラウドサービスですが、IDとパスワードさえあればどこからでもアクセスできるため、攻撃の標的になりやすくなっています。
サイバー攻撃の巧妙化・ビジネス化
攻撃は組織化・分業化され、ランサムウェア(身代金要求型ウイルス)のように攻撃自体が「ビジネス」として成立しています。また、盗み出した情報をダークウェブで売買するなど、手口も巧妙になっています。
このような背景から、組織は「うちは大丈夫」と油断するのではなく、「攻撃される可能性がある」ことを前提とした対策を検討・実施していくことが重要です。
不正アクセスの主な手口と組織が直面する4大リスク
不正アクセスの脅威を理解したうえで、次に対策を具体化するために知るべきなのが、攻撃者の「手口」とそれによって引き起こされる「リスク」です。
ここでは、主な4つのリスクについて解説します。
不正アクセスの代表的な手口
攻撃者はどのような方法で侵入を試みるのでしょうか。代表的な手口を知ることで、対策の的が絞られます。
他サービスから漏洩したID・パスワードを試す「パスワードリスト攻撃」や、単純なパスワードを総当たりで試す「ブルートフォース攻撃」など。
・脆弱性を突いた攻撃
OSやソフトウェアのセキュリティ上の欠陥(脆弱性)を悪用する手口。修正プログラム(パッチ)が未適用の状態は、セキュリティ上のリスクが高まります。
・標的型攻撃メール
取引先や公的機関になりすまし、ウイルス付きの添付ファイルや不正サイトへのリンクを開かせる手口。
・フィッシング
金融機関などを装った偽サイトに誘導し、IDやパスワードを直接入力させて盗み取る詐欺の手口。
組織が直面する4大リスク
不正アクセスは、状況によっては組織の存続に影響を与え得る深刻な経営リスクに発展する可能性があります。
顧客情報や技術情報が流出した場合、法的な報告義務や損害賠償を課せられる可能性があります。
2.金銭的被害リスク
ネットバンキングの不正送金やランサムウェアによる身代金要求など、直接的な金銭被害が発生します。
3.サービス停止・事業継続リスク
サーバーダウンやデータ暗号化により事業がストップし、機会損失や復旧コストが発生します。
4.社会的信用の失墜リスク
「セキュリティに不安がある会社」といった評価が広まり、顧客や取引先からの信用が低下するおそれがあります。
これらのリスクを回避するためにも、事前の対策が極めて重要です。
【レベル別】不正アクセス対策15選・実践ロードマップ
ここからは、組織の状況に合わせて取り組むべき15の対策を3つのレベルに分けて解説します。まずはレベル1から着実に実行し、自社のセキュリティ体制を段階的に強化していきましょう。
レベル1:全企業共通の最優先対策(まずはここから!)
規模や業種を問わず、多くの組織で早期の実施が望まれる基本的な対策です。これらが未実施の場合、セキュリティ上のリスクが高い状態にある可能性があります。
パスワードの強化と使い回しの禁止
単純なパスワードは攻撃の標的となります。内閣サイバーセキュリティセンター(NISC)やIPAの推奨にもとづき、英大文字・小文字・数字・記号を組み合わせ、10桁以上を目安としましょう。
複数のサービスで同じパスワードを使い回さないことは、被害の連鎖を防ぐ上で非常に重要です。
多要素認証(MFA)の導入
ID・パスワード(知識要素)に加え、スマホへの通知(所有要素)や指紋認証(生体要素)などを組みあわせる認証方式です。仮にパスワードが漏洩しても不正ログインを防止できるため、費用対効果が高い対策の一つといわれています。
特に、管理者権限アカウントには必須です。
ソフトウェアの定期的な更新
OSやアプリの「脆弱性」を放置することは、家の鍵を開けっ放しにするのと同じです。修正プログラム(パッチ)は速やかに適用しましょう。
IPAの調査によれば、不正アクセスの約3割は、既知の脆弱性が放置されていたことが原因で発生しています。
Windows Updateの効率的な管理方法は、「Windows Update管理を解説!効率的に更新する方法とは?」で詳しく解説しています。
ウイルス対策ソフトの導入と更新
マルウェア(悪意のあるソフトウェア)を検知・駆除する対策です。すべてのPC・サーバーに導入し、定義ファイルが常に最新の状態に保たれているかを確認しましょう。
従業員へのセキュリティ教育
高度なシステムを導入しても、利用者のセキュリティ意識が低い場合、その効果は十分に発揮されません。標的型メールの見分け方やパスワード管理の重要性など、定期的な教育が不可欠です。
不審なメールやWebサイトへの注意喚起
「請求書送付」など、思わずクリックしそうな件名のメールには注意が必要です。送信元アドレスや日本語表現に不審な点があれば開かない、という基本動作を組織全体で徹底しましょう。
レベル2:中小企業向け標準対策(体制構築の要)
基本対策の次に、セキュリティ体制をより確かなものにするための中核的な対策です。場当たり的な対策から脱却し、体系的な体制を構築するうえで重要なレベルとなります。
ファイル・フォルダ共有設定の見直し
ファイルサーバーやクラウドストレージで、誰でもアクセスできる設定になっていないか定期的に確認しましょう。ちなみに、アクセス権は必要最小限の従業員にのみ付与する「最小権限の原則」が基本です。
退職者アカウントの即時削除
退職した従業員のアカウントが放置されていると、不正利用の温床になります。総務省の報告によれば、令和6年の検挙件数では「識別符号を知り得る立場にあった元従業員や知人等による犯行」が107件と、2番目に多い手口となっています。
退職・異動時のアカウント削除を徹底するルールを確立しましょう。
アクセス権限の最小化と定期的な棚卸し
「誰が」「どの情報に」アクセスできるかを厳格に管理します。異動や職務変更に伴い、不要になった権限が残っていないか、半年に一度など定期的に棚卸しを実施することが重要です。
PC操作ログ・サーバーログの監視
「いつ誰がどのファイルにアクセスしたか」を記録・監視します。不正の兆候を早期に検知できるため、万が一の際の原因究明に役立ちます。
PC操作ログの具体的な活用方法は、「PC操作ログでどこまでわかる?ログで社員の勤務状況を知ろう」も参考になります。
ただし、これらのログを手動で継続的に監視するには多くの工数を要するため、IT資産管理ツールなどで自動化することが有効な手段です。
デバイス(USBメモリ等)の利用制限
USBメモリは情報漏洩やウイルス感染のリスクが高いデバイスです。会社が許可したデバイスのみ利用可能にするなど、システム的な制御が望ましいでしょう。具体的な制御方法は、「テレワーク時の情報漏洩の心配には...「段階的」なUSBメモリ制御が効く!」で解説しています。
この制御も、IT資産管理ツールなどを活用することで効率的に実現できます。
レベル3:体制強化を目指す応用対策(より高いレベルへ)
専門のIT担当者がいる企業や、より高度なセキュリティを目指す組織向けの対策です。
不正PCのネットワーク接続遮断
許可されていない私物PCなどが社内ネットワークに接続されると、そこが感染源となる恐れがあります。検疫ネットワーク等を導入し、未許可のデバイスを自動的に遮断する仕組みを構築します。
脆弱性診断の定期的な実施
自社のWebサイトやサーバーに攻撃の糸口がないか、専門ツールで定期的に診断します。自社では気づけないセキュリティホールを発見し、先回りして対策を講じられます。
WAF(Web Application Firewall)の導入
Webサイトへの攻撃に特化した防御システムです(Webサイトを保護する盾のようなもの)。SQLインジェクションなど、アプリケーションの脆弱性を狙った攻撃からWebサイトを守ります。
SaaS利用状況の管理
従業員が会社に無断で利用するSaaS(シャドーIT)は、管理外のためセキュリティリスクの温床です。利用実態を把握し、会社としての利用ルールを定めることが求められます。
それでも被害に遭ってしまった際の緊急時対応5ステップ
どれだけ対策を講じても、リスクをゼロにすることは困難です。万が一の事態に備え、冷静に対応するための手順を事前に定めておきましょう。
Step1:被害の特定と拡大防止
まず、感染が疑われるPCをネットワークから物理的に切断(LANケーブルを抜くなど)し、被害の拡大を防ぎます。その後、どの情報が、どの範囲まで影響を受けた可能性があるかを特定します。
Step2:証拠保全
原因究明や警察への相談に備え、ログや感染したPCの状態を保全します。むやみに再起動したりファイルを削除したりすると、重要な証拠が失われるため注意が必要です。
Step3:関係各所への報告・連絡
速やかに経営層へ報告します。個人情報の漏洩が発生し個人の権利利益を害するおそれがある場合は、個人情報保護法にもとづき、個人情報保護委員会への報告や本人への通知が義務付けられています(令和4年4月1日施行)。
また、警察やIPA(情報処理推進機構)など外部専門機関へも連絡します。
Step4:復旧作業
バックアップからのデータ復旧やシステムの再構築を行います。
Step5:再発防止策の策定
最も重要なのは、なぜ不正アクセスを許したのか原因を徹底的に調査し、同様の事態を繰り返さないための恒久的な再発防止策を策定・実行することです。
被害に遭ってしまったことを単なる結果で終わらせず、組織のセキュリティ体制を強化する機会と捉え、確実な対策実行へとつなげましょう。
対策の実行と管理を効率化するIT資産管理ツール「SS1」
これまで解説してきた対策を見て、「これをすべて手作業で実行・管理するのは大変だ...」と感じた担当者の方も多いかもしれません。
そこで有効なのが、IT資産管理ツール「SS1」の活用です。
「SS1」は、社内のIT資産を一元管理するだけでなく、本記事で解説した多くのセキュリティ対策の実行と運用を支援する機能を提供しています。
更新プログラムの適用状況を可視化し、適用漏れを防ぎます。
・ログ管理(レベル2)
「誰が」「いつ」「何をしたか」を記録し、不正の兆候を早期に検知します。
・デバイス使用制限(レベル2)
USBメモリなどの利用を細かく制御し、情報漏洩を物理的に防ぎます。
・不正PC遮断(レベル3)
未許可のPCが社内ネットワークに接続されるのを防ぎます。
これらの機能を活用することで、担当者の負担を軽減し、包括的な不正アクセス対策の実現を支援します。実際にSS1を導入し、セキュリティ強化に成功したお客様の事例として「【シャープファイナンス株式会社様】IT資産管理ツール「SS1」導入事例インタビュー」もぜひご覧ください。
自社のセキュリティ対策に課題を感じている方、対策の効率化を図りたい方は、ぜひ一度、機能の詳細がわかる資料をご請求ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
