PCやサーバ、ストレージ、複合機など様々なデバイスがネットワーク接続され、クラウドサービスの利用も拡大している現在。これらの「共有設定」しだいでは、実は第三者から情報が閲覧されるリスクがあり、実際にトラブルにもつながっています。今回は、『 情報セキュリティ5か条 ※』をもとにした Security Upgrade-1 のチェックポイント4「共有設定を適切に行っているか」について詳しく見ていきます。
- Security Upgradeシリーズ(全6回)
「共有設定」の不備による情報漏えいリスクとは?
業務におけるクラウドサービスの利用が普及した今、クラウド上で様々なデータやファイルを共有することが増えています。また、PCやスマートフォンだけでなく、プリンタや複合機、カメラ等のデバイスもネットワークに接続して活用されるようになりました。
その反面、悪意のある第三者によって不正アクセスされ、情報漏えいなどのインシデントが発生するリスクも高まっています。こうした被害の原因の1つとしては、機器類やツール、サービス等の共有設定のミスが挙げられます。共有設定ミスによるリスクについてどのようなものがあるのか、いくつか代表的なケースを整理してみましょう。
●クラウドストレージの場合
クラウドストレージは場所を問わず利用でき、容量を柔軟に変更できるといった利便性がある反面、設定ミスにより第三者がデータにアクセスできる危険性があります。例えば、次のような共有設定ミスが考えられます。
- リンク共有ミス、誤送信:誤って共有リンクを公開したり、関係者以外に共有する
- 権限設定ミス:権限設定を間違えて、第三者が閲覧可能な状態になる
- パスワード未設定:リンクを知っていれば、誰でも見ることができてしまう
- 有効期限未設定:期限を設定しないことで、意図せず第三者に閲覧されてしまう可能性も
●インターネットに接続されたプリンタや複合機、NAS等がある場合
社内に置かれたプリンタや複合機、NASもネットワーク接続されたことで便利になりましたが、あらかじめ共有設定を確認しておく必要があります。プリンタや複合機には、一定期間、印刷情報などが保存されている場合があり、正しく設定しておかなければ、社内・社外双方から不正アクセスされてしまい情報漏えいにつながる可能性もあります。例えば、次のような危険性が考えられます。
- デフォルト/工場出荷時パスワードは推測されやすいので、設定変更しなければたやすくアクセスを許してしまう危険性があります。
- アクセス権の設定が適切ではなく印刷データが閲覧できると、印刷内容の確認・再印刷される可能性があります。
- ファームウェアを更新しないことによりセキュリティホールが残ってしまい、それが悪用される可能性があります。プリンタや複合機の内部ストレージに機密情報が残っている際に、社内のみならず社外から不正アクセスされる危険性も考えられます。
- リモート環境からのアクセス設定が適切に行われていないと、外部からの不正アクセスの原因となります。
ここで挙げたのは一例ですが、複合機をはじめIoT機器の危険性やセキュリティ対策については下記の資料でも訴えられています。インシデント事例についても記載されているので参考にしてはいかがでしょうか。
「共有設定」を見直すための5つのポイント
上記では共有設定のミス等による危険性をいくつか挙げました。情報漏えいなどを避けて、社内の共有設定を見直すためのポイントをご紹介します。チェックして当てはまるところがないか確認してみましょう。
ポイント①管理者ユーザを共有していないか?
Windowsの初期設定で作成される「Administrator」アカウントは、システム管理のための権限を持つユーザアカウントです。しかし、このアカウントは多くのシステムにも用いられる一般的なもので、もしこのアカウントを攻撃者に乗っ取られると、システム全体が危険にさらされてしまいます。
そのため、新たに管理者アカウントを作成することで、リスクを軽減することが推奨されます。また、システムの安全性を確保するためには不必要な権限拡大を防ぐことも重要で、役割に応じたアカウントをその都度設定し、権限を適切に管理することが望ましいと言えます。
ポイント②Webサービスのアクセス制御をIDとパスワード以外の方法で認証できるようにする
- ①知識情報:パスワード、PINコード、秘密の質問など
- ②所持情報:USBキー、スマートフォン、ICカード、ハードウェアトークンなど
- ③生体情報:指紋、光彩、顔、手の平の静脈など
ポイント③管理者パスワードを初期値から変更しているかを確認
複合機、ネットワークカメラ、NASの管理者パスワードを、工場出荷状態(初期パスワード)のまま使っている場合には変更する必要があります。初期パスワードは推測しやすいパスワードであり、不正アクセスを許してしまう危険性があるからです。特に外部公開されているネットワークカメラはパスワードの変更は必須です。
ポイント④IPアドレス制御を行っているかを確認
複合機、ネットワークカメラ、NASのアクセス制御では「IPアドレスによる制御」を設定します。特定のネットワーク内のデバイスのみがアクセスできることや、確認済みのIPアドレスからのアクセスのみを許可することで、外部からの攻撃や侵入を防ぐことができます。特に外部公開されているネットワークカメラは必須の対策です。
ポイント⑤入社、異動、退職時のアカウント変更、権限変更のルールが決まっているかを確認
異動や退職で権限がなくなったユーザのIDやパスワード変更を速やかに行う環境を用意します。異動後や退職後にも、Web上のサービスにアクセスできてしまうことで、情報漏えいにつながるケースもあります。
人事情報と連携したID管理システム等で一元管理し、異動や退職後には即座に権限を変更できるような仕組みの導入を検討することもおすすめです。
おわりに
今回は、「共有設定」を見直すことでセキュリティを強化するためのポイントをご紹介しました。業務に用いているデバイスやWebサービスには、初期状態のまま利用することで、情報漏えいにつながる危険性が潜んでいます。本コラムを参照にして、ぜひ共有設定の確認と見直しを進めてください。
- Security Upgradeシリーズ(全6回)
- ▼関連セキュリティソリューション