デジタル化が進み、企業活動でクラウドサービスやIoT機器などを使用する機会が増えています。そのようななか、懸念されるのがインターネット経由の不正アクセス（※）です。

不正アクセスを含むサイバー攻撃の手口は、年々高度化・巧妙化しており、企業が深刻な影響を受ける事例も発生しています。

企業の情報システム管理部門では、組織内で稼働しているサービスを把握したうえで、外部からの侵入を防ぐためのセキュリティ対策を講じることが重要です。

本記事では、不正アクセスの被害状況を踏まえつつ、企業の情報資産を守るための対策方法について解説します。

※不正アクセスとは、アクセス権限を持たない人がサーバーや情報システムに侵入する行為のこと。

出典：総務省『不正アクセスとは？』『クラウドサービス利用時の注意点』／経済産業省『サイバーセキュリティ経営ガイドライン Ver 2.0』

不正アクセスの被害状況

不正アクセスの被害を受けている件数は一般企業がもっとも多く、企業のセキュリティ上の脅威となっています。

総務省の『不正アクセス行為の発生状況』によると、2021年における不正アクセスの認知件数は1,516件となっており、前年よりも46.0％減少しています。

▼不正アクセスの認知件数の推移

画像引用元：総務省『不正アクセス行為の発生状況』

しかし、そのうちの1,492件は一般企業が占めており、不正アクセスの対象として企業が狙われるケースが多いことが分かります。

▼アクセス管理者別の不正アクセスの認知件数

画像引用元：総務省『不正アクセス行為の発生状況』

このように、企業におけるITやIoTの活用は、業務効率化、新たな価値創造を図る有効な手段となっている一方、不正アクセスをはじめとするセキュリティリスクも潜んでいると考えられます。

出典：総務省『不正アクセス行為の発生状況』『企業・組織の対策』／経済産業省『サイバーセキュリティ経営ガイドライン Ver 2.0』

不正アクセスが企業にもたらす影響

企業の情報システム管理部門では、情報資産の保護や事業活動の継続のために、情報セキュリティ対策を講じることが求められます。

不正アクセスによって被害を受けると、自社だけでなく取引先まで被害がおよんだり、サプライチェーン全体への影響によって事業停止につながったりする可能性もあります。

不正アクセスがもたらす被害として、以下が挙げられます。

▼不正アクセスによる被害

• 情報を不正入手・外部流出される
• Webサイトを改ざん・消去される
• サーバーやシステムが停止・破壊される
• 迷惑メールの送信や中継に利用される
• ほかのパソコンへの攻撃の踏み台にされる
• バックドア（※）を仕掛けられて、外部から侵入できるようにされる

なお、クラウド活用によって場所・端末の制約がない働き方ができるようになった現代では、通信経路とエンドポイントでのセキュリティを強化することも重要です。

デジタルワークプレイスにおけるセキュリティ対策については、こちらの記事で解説しています。併せてご確認ください。

※バックドアとは、外部からコンピュータに侵入しやすいように、“裏口”を開ける行為、または裏口を開けるプログラムのこと。

出典：総務省『不正アクセスによる被害と対策』『脆弱性（ぜいじゃくせい）とは？』『企業・組織の対策』

不正アクセスを防ぐための3つの対策方法

企業への不正アクセスを防ぐための対策方法として、主に以下の3つが挙げられます。

①ソフトウェアのインストール制限

情報システム管理部門では、従業員によるソフトウェアのインストールを制限することが重要です。

従業員がさまざまなソフトウェアをインストールすると、社内でのソフトウェア管理が適切に行えず、脆弱性につながるおそれがあります。

以下のように、インストールを許可・禁止するソフトウェアの種類について方針を定めて、従業員に遵守を促すことが必要です。

▼インストールを許可・禁止するソフトウェアの種類

②OS・ソフトウェアのアップデート

使用しているOSやソフトウェアの更新プログラムが発表された場合は、迅速に適用することが求められます。

OSやソフトウェアに対して脆弱性が発見されると、開発元から更新プログラムが提供されることがあります。脆弱性を放置したまま使用すると、不正アクセスを受けたり、ウイルスに感染したりするリスクがあるため注意が必要です。

情報システム管理部門では、つねにOSやソフトウェアの更新情報を収集して、アップデートを迅速に行うように従業員に周知しておくことが重要です。

出典：総務省『不正アクセスによる被害と対策』『脆弱性（ぜいじゃくせい）とは？』

③ログイン時のアクセス制御

Webサービスやアプリケーションを利用する際の不正ログイン、なりすましを防ぐために、アクセス制御を行うことも有効な方法です。

Webサービスやアプリケーションのアカウント情報は、企業の情報資産にアクセスするための重要な情報となります。権限のない人の利用を防ぐには、ログイン時にID・パスワード入力の多要素認証を行い、アクセスを制御することが重要です。

ただし、複数のサービスを利用している場合、同じパスワードを使い回したり、推測されやすいパスワードに設定していたりする可能性も考えられます。複数のID・パスワードを安全に保管・管理するには、マスターパスワードですべてのアカウント情報を一元管理できるツールを活用することも一つの方法です。

パスワード管理ツールについては、こちらの記事で詳しく解説しています。

出典：総務省『不正アクセスによる被害と対策』『安全なパスワード管理』

まとめ

この記事では、企業の脅威となる不正アクセスについて以下の内容を解説しました。

• 企業における不正アクセスの被害状況
• 不正アクセスが企業にもたらす影響
• 不正アクセスを防ぐための対策方法

企業のサーバーや情報システムに不正アクセスが行われると、経営に深刻な影響をもたらすリスクがあります。情報資産の流出、Webサイトの改ざん、サーバーの停止・破壊などの被害につながります。

不正アクセスの脅威から企業の資産を守るためには、インストールの制限をかける、OS・ソフトウェアのアップデートを迅速に行う、ログイン時のアクセスを制御するなどの対策が必要です。

業務に使用するWebサービスが増えて、ID・パスワードの管理が煩雑化している場合には、パスワード管理ツールを活用することも有効な手段です。

『ジェイエスキューブ』では、ID・パスワードをクラウド上で一元管理する『MEDACA認証ソリューション』を提供しております。ID・パスワードの管理・統合認証に加えて、多要素認証・シングルサインオンのサービスによって、不正ログインやなりすましを防ぎます。

詳しくは、こちらから資料をダウンロードしていただけます。