このページの先頭です
このページの本文へ移動
サイトメニューここまで

本文ここから

管理者向けセキュリティ対策

更新日:2016年8月18日

ネットワーク管理者の方へ

ネットワークの管理者は、各セキュリティ関連サイトで公表されているセキュリティやウィルス情報を確認し、常に最新のプログラムを導入しておきましょう。
セキュリティホールが見つかった場合は、早急にパッチを当てる、又はバージョンアップ等の適切な措置を取ることが大切です。
また、通常時のシステム稼働状況を把握し、定期的なバックアップや点検を行い、システムが攻撃されても容易に復旧できる体制を整えておきましょう。

ID・パスワードの適正な管理

不正アクセス禁止法によると、アクセス管理者が各企業や団体の内部システムに対してアクセスすることを許諾した者(以下「利用権者」という)に付与する識別符号(ID・パスワード)は、他の利用権者と区別して識別することができるように付されたものでなければならないと定められています。

同じIDとパスワードを全員で使い回ししている場合などは、たとえ外部から不正にアクセスされたとしても不正アクセス禁止法で罰することができない場合があります。
また、アクセス管理者は、これらの識別符号をみだりに第三者に知らせてはならないと規定されていますので、適正な管理を心掛けて下さい。
また、ルータ等のネットワーク機器のパスワードをデフォルトのままにしていると、外部からの攻撃のターゲットになる可能性がありますので、必ず変更しましょう。
現職社員や元社員による会社のデータベースに対する、不正アクセス、顧客情報の不正入手事犯が後を絶ちません。退職した社員等のID・パスワードはすぐに無効にする手続きをしたり、社員への情報セキュリティ教育の徹底を図って下さい。

ID・パスワードの使い回しによる危険性について、啓発動画で分かりやすく説明されています。

啓発動画イメージ画像

ファイアウォール、不正侵入検知システムの適切な導入を

平成13年5月頃、中国サイトからのハッキングにより日本の官公庁・企業をターゲットとしてワーム等によるホームページ書き換え事件が連続発生しました。
サーバコンピュータのぜい弱性を攻撃する方法により、インターネット通販業者等の企業の顧客情報が、流出する事案が数多く報告されています。
外部にサーバを公開する場合は、本格的なファイアウォールの導入を検討する必要があるでしょう。「インターネットからの攻撃を防ぐ」だけでなく、「不正侵入検知システム(Intrusion Detection System)」の導入が必須と言えます。
どのようなファイアウォールであっても、適切な設定が行われないと何の意味もありませんので、取扱説明書をきちんと読み、設定する必要があるでしょう。また、ファイアウォールの定期的なバージョンアップも忘れずに!

情報セキュリティポリシーの策定

情報セキュリティポリシーとは、どのような情報資産をどのような脅威からどのようにして守るかについての基本的な考え方、並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定です。
パソコンや情報通信網の普及に伴って、インターネットは誰でも自由に接続できる環境となってきましたが、各企業や団体の活動も情報化、ネットワーク化の進展なしには考えられないのが現状です。
しかし、コンピュータ技術を悪用した情報システムへの侵入をはじめ、コンピュータウィルス対策や内部からの情報漏洩など、情報セキュリティに関する危険性は高まっています。
侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、廃棄された紙ゴミから企業・組織に関する重要情報を取得するなどの「ソーシャルエンジニアリング」の被害対策も欠かせません。

ソーシャルエンジニアリング

「こちらはXX(プロバイダ名)のシステム管理者ですが、システム障害のため、アクセス不能となっております。大変恐縮ですが、あなたのパスワードをお教え願えませんでしょうか。」等という電話により、パスワードを獲得する方法。
あるいは、正当ユーザとして偽ってプロバイダ等へパスワードを照会したり、再発行の手続を依頼する、更には巧みな話術により、電話会社やネットワーク・プロバイダのオフィスに電話をかけ、内部の関係者のように装って担当者等から機密情報を聞き出す。
これらを回避するため各企業とも情報セキュリティポリシーを策定することは不可欠です。策定にあたっては、

  1. 組織・体制を確立し、その組織・体制の下で
  2. 基本方針の策定
  3. リスク分析及び
  4. 対策基準の策定を行い
  5. 明文化して正式に定める必要があります。

ここ数年、企業の個人情報流出事件が多発していますが、原因は管理者の設定ミスだけでなく、情報の保存されているパソコンの紛失・盗難や、内部の人間が情報を持ち出す場合も少なくありません。
これらのケースを想定して、情報セキュリティポリシーの中で具体的に

  • 重要データを保管している部屋の出入りチェックを厳重に管理する
  • 重要データはパソコンの内部に保存しない
  • 重要データのコピーは管理者の許可を得る
  • ポリシー違反の場合の罰則を設ける

などの項目を盛り込んでおくべきでしょう。
策定後は、ポリシーを関係者に周知させた上、確実に運用していくために組織・体制の確立、監視、侵入時の対応等の措置を適切に行う必要があります。
誰か一人でもセキュリティに対する認識が低く協力が得られなければ、どんな高価なシステムを構築しても、人がセキュリティホールとなりかねません。
また、ポリシーや情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを行うことも重要です。

情報資産のバックアップ

各企業や団体においても、貴重な情報資産が壊れたり、消滅する場合に備え、定期的なバックアップが必要となります。
万が一の事態を想定し、ミラーリングやデュープレキシングなどを活用した情報資産の復旧に備えることが大切です。
システム障害が発生した場合のコンティンジェンシープラン(不測事態対応計画)を立て、

  1. 緊急(災害)時対応計画
  2. バックアップ計画
  3. 復旧計画

について、具体的に手続き等を明確にしておくと良いでしょう。
サーバ上でのアクセス制御、パケットフィルタリング、ファイアウォール、IDS、ユーザ教育、セキュリティポリシー、等すべてが欠かせないセキュリティ対策となっています。
但し、ファイアウォールはアクセス許可しているサービスに対する攻撃は防御できませんし、IDSは外部からの攻撃の「抑制」、「防止」、「回復」等の機能はありません。これらを踏まえ、適切な対策を施す必要があります。

サイバー犯罪に係る電話相談窓口

電話:03-3431-8109
受付時間:平日午前8時30分から午後5時15分まで

情報発信元

警視庁 サイバー犯罪対策課 対策係
電話:03-3581-4321(警視庁代表)

本文ここまで


Copyright © Metropolitan Police Department. All Rights Reserved.
フッターここまでこのページのトップに戻る