内部による不正アクセス対策を解説|市職員がパスワード推測し人事情報を1年間不正に覗き見、自分のPCに保存も
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」6月9日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・内部の不正アクセス対策
・不正アクセスを速やかに検知するために
ニュース解説
市の職員が人事情報に不正アクセスして減給処分を受けたということです。市のセキュリティ対策にどのような問題があり、どのように改善すべきかについて説明します。
市の職員は、職務上の権限で得た情報を用いて人事課職員のID及びパスワードを推測して、ポータル及び専用ファイルに不正アクセスしたということです。つまり、市の職員はパスワードクラックの類推攻撃を行ったということになります。パスワードクラックとは、攻撃者自身が知りえないパスワードを割り出す方法です。最も簡単な方法が類推攻撃であり、パスワードがなかったり、IDと同じ文字列だったり、第三者が類推できるパスワードが設定されていた場合に被害が発生します。
本件について、地方公務員法に基づき、減給3か月の処分を行ったということです。ちなみに、プライバシーマーク取得企業では、セキュリティのルールに違反した場合の懲戒措置を就業規則などに規定しておく必要があるとされています。今回は機能しませんでしたが、懲戒措置が抑止力となり「性弱説」に基づいたセキュリティ対策として、従業員が不正アクセスしていまうことから守る効果があります。
内部による不正アクセス対策
内部犯行を発生させないためには「性弱説」に基づいたセキュリティ対策が必要です。そのためには、仕組みとして不正アクセスが発生しない環境を整備することが必要です。内容について説明します。
例えば「極秘」と書かれたファイルが机の上に放置されていたら、中身を見たくなってしまう人が多いのではないでしょうか。この場合、極秘ファイルを見た人や、極秘ファイルを放置した人ではなく、極秘ファイルが放置されてしまう環境に問題があると考えます。これは、人が弱い生き物であるという「性弱説」に基づいた考え方であり、特に内部犯行の未然防止においては重要な概念です。
今回の不正アクセスでは、パスワードが推測されたということなので、パスワードを推測した人や、パスワードを設定した人ではなく、推測されやすいパスワードが設定できない環境を整備することが必要です。具体的には、パスワードに使用できる文字数や文字種を指定するパスワードポリシーを設定したり、特に重要なシステムには、そもそもパスワードが不要となるICカードや生体による認証を導入することが有効です。
その他のトピックはこちら
不正アクセスを速やかに検知するために
不正アクセスを速やかに検知するためには、ログの取得と監視が必要です。内部犯行を検知する方法として、すでに説明したID管理やログ管理に加えて、出口対策を行うことも重要です。それぞれについて説明します。
放送を聴かれるかたはこちら
記 にしもと