セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 内部による不正アクセス対策を解説|市職員がパスワード推測し人事情報を1年間不正に覗き見、自分のPCに保存も ~ 懲戒処分内容

内部による不正アクセス対策を解説|市職員がパスワード推測し人事情報を1年間不正に覗き見、自分のPCに保存も ~ 懲戒処分内容

ニュース解説
目次
  • 今回の解説ニュース
  • 内部の不正アクセス対策
  • 不正アクセスを速やかに検知するために

今回の解説ニュース

市職員がパスワード推測し人事情報を1年間不正に覗き見、自分のPCに保存も ~ 懲戒処分内容

沖縄県宜野湾市は5月31日、市職員の懲戒処分について発表した(記事はこちら)


【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

市の職員が人事情報に不正アクセスして減給処分を受けたということです。市のセキュリティ対策にどのような問題があり、どのように改善すべきかについて説明します。

市の職員は、職務上の権限で得た情報を用いて人事課職員のID及びパスワードを推測して、ポータル及び専用ファイルに不正アクセスしたということです。つまり、市の職員はパスワードクラックの類推攻撃を行ったということになります。パスワードクラックとは、攻撃者自身が知りえないパスワードを割り出す方法です。最も簡単な方法が類推攻撃であり、パスワードがなかったり、IDと同じ文字列だったり、第三者が類推できるパスワードが設定されていた場合に被害が発生します。

本件について、地方公務員法に基づき、減給3か月の処分を行ったということです。ちなみに、プライバシーマーク取得企業では、セキュリティのルールに違反した場合の懲戒措置を就業規則などに規定しておく必要があるとされています。今回は機能しませんでしたが、懲戒措置が抑止力となり「性弱説」に基づいたセキュリティ対策として、従業員が不正アクセスしていまうことから守る効果があります。

内部による不正アクセス対策

内部犯行を発生させないためには「性弱説」に基づいたセキュリティ対策が必要です。そのためには、仕組みとして不正アクセスが発生しない環境を整備することが必要です。内容について説明します。

例えば「極秘」と書かれたファイルが机の上に放置されていたら、中身を見たくなってしまう人が多いのではないでしょうか。この場合、極秘ファイルを見た人や、極秘ファイルを放置した人ではなく、極秘ファイルが放置されてしまう環境に問題があると考えます。これは、人が弱い生き物であるという「性弱説」に基づいた考え方であり、特に内部犯行の未然防止においては重要な概念です。

今回の不正アクセスでは、パスワードが推測されたということなので、パスワードを推測した人や、パスワードを設定した人ではなく、推測されやすいパスワードが設定できない環境を整備することが必要です。具体的には、パスワードに使用できる文字数や文字種を指定するパスワードポリシーを設定したり、特に重要なシステムには、そもそもパスワードが不要となるICカードや生体による認証を導入することが有効です

不正アクセスを速やかに検知するために

不正アクセスを速やかに検知するためには、ログの取得と監視が必要です。内部犯行を検知する方法として、すでに説明したID管理やログ管理に加えて、出口対策を行うことも重要です。それぞれについて説明します。

例えば、大量のダウンロードや印刷が休日や夜間などにあった場合、内部犯行の可能性があります。これはあくまでも一例ですが、社内ルールに基いて異常値と考えられる閾値を設定します。閾値を超えるアクセスが確認されたら、パソコンの操作ログなどを確認して実際に不正アクセスがあったかを確認します。もちろん、調査に必要なログが取得できるよう設定することは必要です。

また、それでもログの監視をすり抜けてしまう場合を鑑みて、出口対策として社外へのメール送信やWebアクセスの制限を行うことも有効です。また、物理的な対策として、USBメモリや印刷の制御も挙げられます。最後の水際で内部犯行を防止するのが出口対策で、情報の持ち出し自体を防ぐ対策となります。

ログ管理や出口対策が行われているということで「心理的な抑止」が働いていること自体が、内部犯行への対策となります。性弱説に基づいたセキュリティ対策として、内部犯行の発生による「すべての被害者」を減らしていきたいですね。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ