企業における電子文書の漏洩は、技術的脅威によって頻繁に引き起こされます。
一般的な不正アクセスの方法
技術的脅威とは、ネットワークシステムやWebアプリケーションなどに対して外部から技術を用いて意図的に不正アクセスをされるというケースのことです。
こうした技術的脅威のことを総称して「STRIDE」ということがありますが、これは一般的な不正アクセスの方法の頭文字を並べたものです。
S(Spoofing Identity) | なりすまし。権限のあるユーザーのふりをして操作する。 |
---|---|
T(Tampering with Data) | データ改ざん。 |
R(Repudiation) | 否認。ネットワーク上での契約や売買を虚偽に不成立とする。 | I(Information Disclosure) | 情報漏えい。 | D(Denial of Service:DOS) | サービス拒否。特定のサーバーに大きな負荷をかけてダウンさせること。 | E(Elevation of Privilege) | 特権の昇格。Administratorやroot権限を勝手に取得する。 |
これらは不正なアクセスを許すことで行われるデータへの脅威を示します。
いずれも原因となるのは外部からアクセスができるようにしてしまう何らかの要因がある場合です。
セキュリティの穴を発見される
不正アクセスとは、コンピューターの脆弱性を利用して不正に侵入する行為全般のことです。
安易なパスワード設定、制御が甘いなどのことがあると、用意に技術力のあるハッカーから侵入されるようになってしまいます。
不正アクセスはプロの産業スパイがターゲットを明確に定めて侵入を試みるというケースももちろんあるのですが、ほとんどの場合が自分の技術を世の中に示したいと思うパソコンユーザーや、偶然にセキュリティの穴を発見して面白半分に侵入を試みるようなものです。
そのため、いつどのような企業も偶然に自社の重要な秘密事項を露出されてしまうかもしれません。
反対に考えると、よほど個人的な恨みを技術力のあるハッカーたちに受けるのでなければ、普段から適切なセキュリティ対策をしておくだけで漏洩を防ぐことができるということと言えます。
適切な安全管理対策といっても、毎日難しいプログラムを組むようなことはありません。
ごく単純な日常的な管理方法だけでもかなりの防御対策となるのです。
不正アクセス対策の具体的な方法
以下のページから、具体的な防御対策とそれをしない場合の危険性について詳しく説明をしていきます。