共有アカウントに気を付けて!セキュリティ対策で知っておきたいNG例2選
情報セキュリティの重要性
令和4年の統計によると、令和4年の不正アクセス行為の認知件数は、令和3年度より約45%増加しています。
不正アクセスのうち、約半数にあたる47.7%が「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」しているとの統計から、パスワードを管理・運用する私たちの意識の変化で、セキュリティ強度は上げられると言えるでしょう。
参照:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況/警察庁
■ NTTドコモの情報流出から見る情報管理の重要性
2023年3月、NTTドコモが業務委託していた会社の元派遣社員が、顧客データを不正に持ち出したとして、警視庁に書類送検されました。
参照:ドコモ個人情報流出問題 不正持ち出しの元派遣社員を書類送検
この事件では、元派遣社員が業務で使用していたパソコンを使い、個人で契約していたオンラインのストレージサービスに顧客データを保存して持ち出したとされています。
■ セキュリティはシステム導入だけでは強化できない
NTTドコモの顧客データ流出のように、データ流出の原因がシステムやマルウェア(インターネット経由で感染するスパイウィルス)ではないことがあります。
本記事では、セキュリティ強化のためにできることをまとめました。
職場内でアカウント管理について話し合ってみましょう。
よくある運用・管理のNG行為
セキュリティの観点から避けた方がいいアカウント運用と管理は
1、同一アカウントの複数利用・同時利用
2、「クライアント証明書」の管理不足です。
この2つは「ありがちなこと」ですが、情報漏洩を未然に防ぐためにも控えましょう。
■ 1、同一アカウントの複数・同時利用(共有アカウント)
よくある運用・管理のNG行為1つ目は、同一アカウントの複数・同時利用です。
同じID・パスワードを複数人で共有してはいけない理由は、次の4点といえます。
① パスワード管理がずさんになる
② 同一アカウントで複数人が同時利用すると、障害発生時に監査ログで原因が特定できない
③ PC+SMSによる二段階認証など、多要素認証が難しい
④ ライセンス規約違反の可能性が高い
同一ID・パスワードを複数人で使用すると、パスワードの管理が大変です。
セキュリティの観点から「Aさんが退職したらパスワードを変更しよう」と決めていても、新パスワードをどのように通知するのか、メンバーが混乱しないように管理するためには工夫が必要です。
しかし、このように「パスワードを上手に管理する方法」を検討しているうちに、時間が経ち、退職者のどこまでが旧パスワードだったのかを把握することさえ難しくなります。同一アカウントの複数・同時利用の問題点は「問題発生時にログが追いきれない」ことにもあります。
特に同じID・パスワードで複数人が使用している最中に障害が起こった場合、どの端末で起きた障害なのかを特定するのは恐ろしく困難です。
システム障害が起きた際、トラブルからの復旧が遅くなるので、同一アカウントの複数・同時利用は避けましょう。
1人につき1アカウントであれば、携帯電話のSMSを使った認証など、2段階認証が使えます。ワンタイムパスワードの設定など、1つアカウントにつき2つ以上の端末を使うことで、よりセキュリティを強化する方法もあります。
複数人で同じアカウントを使うとセキュリティ対策にどうしても抜け・漏れが出てくるので、1人につき1アカウントを作成するのが望ましいといえます。
そもそもIDの複数利用が、使っているシステムやソフトのライセンス利用規約に違反していることもあります。
システムによってはアカウントごとブロックされたり、利用できなくなるので注意が必要です。
■ 2、「クライアント証明書」の管理不足
2つ目のよくある管理・運用のNG行為は「クライアント証明書」の管理不足です。クライアント証明書とは、ユーザーが利用する端末に証明書をインストールして、ユーザーの信頼性を担保する電子証明書です。
クライアント証明書は端末にインストールするため、すでに退職した方の端末にインストールされているクライアント証明書が有効なまま、というケースが散見されます。
退職した方がクライアント証明書の入った端末を持っていることで、外部から社内システムにアクセスできるため、情報漏洩リスクが高まります。
クライアント証明書は「いつ・誰に・何通」発行したのかをエクセル等で管理し、退職する方がいたらその方の分を無効にすることを忘れないようにしましょう。
セキュリティツール導入の前に運用・管理の見直しを
セキュリティ対策には、サーバーや端末を物理的に守るものや、Webアプリケーションを守るものなど、たくさんの種類があります。
しかし、ツールの導入前に、自社のアカウントの運用・管理を見直すことでも、セキュリティの強度は上げられます。
ここからは、セキュリティツール導入の前に行いたい「見直しポイント」を紹介します。
■ 見直しポイント1:アカウントは1人につき1つを徹底
まず最初に、アカウントのID・パスワードの共有をやめましょう。
また、複数人で同じアカウントにログインするのもNGです。
このポイントを守るだけで、情報流出を防ぐことができます。
■ 見直しポイント2:アカウント制限を設ける
次に、アクセスできる情報に制限を設けることをおすすめします。
たとえば、アルバイト・パート・業務委託の方が社内の特定フォルダにはアクセスできないように、アカウントに制限をかける方法があります。
アカウントにアクセス制限をかけることで、外部への情報漏洩リスクを下げることが可能です。
■ 見直しポイント3:クライアント証明書の管理
最後はクライアント証明書の管理を徹底することです。
クライアント証明書は、入れる端末の基準を明確に決めておきましょう。
クライアント証明書の発行数が多いほど管理に手間がかかるので、少ない端末で管理していく方法も検討するのがおすすめです。
クライアント証明書は、ロックをかけたエクセルなどで管理し、退職する方がいれば、利用停止措置を必ず行うようにしてください。
サイバー攻撃者は油断を見逃さない
サイバー攻撃はいつ・何がきっかけで起こるのか予測できません。
だからこそ組織のひとりひとりの心がけが重要となります。
今回紹介したようなアカウントの共有やクライアント証明書の不十分な管理は氷山の一角で、他にもセキュリティ上危険な管理・運用方法はあります。
セキュリティ対策ソフトやツールに頼るのも一考ですが、利用者側の心がけで防げるサイバー攻撃もあります。
「もしも」に備える心がけが、セキュリティ対策の第一歩ではないでしょうか。
サイバー攻撃を防ぐためにも情報流出のリスクはできるかぎり減らす体制や心がけをしましょう。
ビジネスデザイン研究所は、企業の成長と継続のためのヒントとなる情報を発信しています。
👇人気の記事はこちら