中小企業のセキュリティー対策 vol.32 設定不備による被害も

利用しない機能の無効化やアクセス制限の設定が必要

ソフトウエアのインストール直後やインターネットサービスの利用開始時、サーバーやネットワーク対応機器などの購入時点では、不要な機能が有効になっている製品・サービスや、機能へのアクセス制限が設定されていない製品・サービスがある。これに気付かず利用開始することで情報漏えいや乗っ取りなどの被害が発生することがある。

2013年、情報共有を行うインターネットサービスを利用し、関係者でやりとりをしていたメールが、同サービス利用者であれば誰でも閲覧できる状態なっており、その結果機密情報が漏えいしてしまった、という報道が相次いだ。16年、インターネットに接続された複合機などの設定に不備があるため、機器内に保存されたデータが外部から閲覧できてしまう問題が依然続いていることが報道された。19年、総務省および関係機関が実施した、脆弱(ぜいじゃく)なID・パスワード設定などのためサイバー攻撃に悪用される恐れのあるIoT機器の調査においても、第2四半期までに505件の注意喚起が行われた。

企業は設定の不備による情報漏えいや乗っ取りなどの被害を防止するため、製品・サービスの利用開始時の設定確認や定期的な設定の見直しを行う必要がある。

必要に応じ初期設定を変更

■利用開始時に設定を確認する

利用しない機能や不要な設定は無効にする。また、セキュリティーを強化する機能や設定は有効にする。必要性が分からない場合は、マニュアルやインターネット上の情報を確認して、必要か不要か判断する。特に、ブロードバンドルーターや、複合機、ウェブカメラなどのネットワーク対応機器の各種機能の設定、例えばユーザー認証の有効化設定やファイル共有設定などを、必要に応じて適切な設定に変更する。また、パソコンに初期インストールされているソフトウエアについても不要と判断できるものはアンインストールしておくことで、リスクを低減できる。

■アクセス制限や権限を設定する

初期状態においてアクセス制限されておらず、管理機能やデータを誰でも利用できるように設定されている製品・サービスが存在する。攻撃者に、機密情報を閲覧される、設定変更されるなどの被害を防止するためには、利用開始前にアクセス制限機能を有効にし、利用者ごとのユーザーアカウントの作成とアクセス権限の付与を適切に行う必要がある。特に、重要なファイルが保存されているフォルダのアクセス権限は、全アカウントが閲覧や削除ができる設定(フルコントロール)にせずに、特定のアカウントのみがアクセスできるように設定する。

■設定の見直しを実施する

従業員の退職時には速やかにユーザーアカウントを抹消する。また、従業員の部署異動時には、アカウントに付与したアクセス権限を見直す必要がある。 マニュアルを読まなくても使い始めることができるソフトウエアやインターネットサービス、LANケーブルを差し込めばすぐに使えるネットワーク対応機器が増えているが、利用に当たっては製品・サービスの設定について必ず確認してほしい。(独立行政法人情報処理推進機構・江島将和)

この記事をシェアする Twitter でツイート Facebook でシェア

次の記事

中小企業のセキュリティー対策 vol.33 なりすましメールに注意

独立行政法人情報処理推進機構・江島将和

「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙う攻撃メールが、国内企業で広く着信している。Emotetは、情報の窃取に加え、別のウイルス...

前の記事

中小企業のセキュリティー対策 vol.31 適切なパスワード管理を

独立行政法人情報処理推進機構・江島将和

インターネットサービス(クラウドサービス、SNS、ショッピングサイトなど)の多くは、IDおよびパスワードによる本人認証方式が採用されている。しか...

関連記事

中小企業のセキュリティー対策 vol.61 被害防止へ対策進むも道半ば

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は3月、「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開した。16年度調査(前回調...

中小企業のセキュリティー対策 vol.60 21年度下半期の被害状況を公開

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、経済産業省の告示に基づき、コンピュータウイルスなどによる被害の状況把握や対策検討を目的として、コ...

中小企業のセキュリティー対策 vol.59 「情報セキュリティ10大脅威」を発表

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティーに関するトピックについて、情報...

月刊「石垣」

20225月号

特集1
〝二刀流〟で逆境に打ち勝つ! 主業務×自社ブランドで販路拡大

特集2
コロナ禍を乗り越えて長続きする会社へ 人材が活性化する職場の仕組みをつくる

最新号を紙面で読める!

詳細を見る

会議所ニュース

月3回発行される新聞で、日商や全国各地の商工会議所の政策提言や事業活動が満載です。

最新号を紙面で読める!

詳細を見る

無料会員登録

簡単な登録で無料会員限定記事をすぐに読めるようになります。

無料会員登録をする