このページでは、セキュリティ対策のひとつである「アクセス制御」について解説いたします。
このシリーズは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。
対策の目的
「アクセス制御」とは、データの保管先サーバ、各種IT機器、インターネットサービスなどの利用(アクセス)を制限することです。
セキュリティを考慮していないIT機器やサービスは、利便性を向上させるのを優先してしまい、初期状態で誰でもアクセスできる設定になっていることがよくあります。
結果、そこから侵入されてしまい、サイバー攻撃被害を受けてしまいます。
「アクセス制御」対策は、保管しているデータや扱っているサービスの重要度を判断し、適切なアクセス制限を行うために実施します。
毘沙門天さん
買ったばかりの機器は便利に見せるために制限がかかっていない場合もあるよ。ネットワークにつながるものを買った場合は、説明書をちゃんと見てみよう!
アクセス制御の対象
アクセス制限を行う対象は、多岐にわたります。
それぞれの重要性や用途を把握し、必要最低限の人だけが利用できるようにアクセス制限を行いましょう。
| アクセス制限対象 | 制限例 |
| インターネットWebサービス | 利用できる人の限定 |
| 社内のファイルサーバ | データ閲覧できる人の限定 |
| 複合機、プリンタ | 印刷、データ保存機能できる人の限定 |
| ネットワークカメラ | 動画閲覧できる人の限定 |
| ネットワークハードディスク(NAS) | アクセスできる人の限定 |
| 従業員が利用しているパソコン | 本人以外のアクセス禁止 |
うまくん
少し前にインターネットカメラが誰でも見れる状態だった!と世界的なニュースになってたね。
恵比寿さん
とにかく「誰でもアクセスできる状態」はやめよう!購入した初期状態は危険かも?という意識を持とう!
アクセス制限内容は定期的に見直し・棚卸をやろう!
アクセス制限は、1回やったら終わりということはありません。
従業員が異動したり、新しい社員が入社した時に設定の追加・変更を行います。
そうやっているうちに設定間違いをしてしまう危険性もありますので、アクセス制限内容が正しい内容かどうか、定期的に棚卸を行い、間違っているなら、制限内容の見直しを行いましょう。
へびくん
定期異動が半年ごとにあるから、最低でも半年に一回は制限内容をチェックしたいな。
従業員の退職時の設定削除を忘れないように!
アクセス制御設定で忘れがちなのは、従業員の退職時に設定削除をし忘れることです。
削除し忘れた設定情報から、不正侵入されてしまうケースもよく見かけます。
従業員の途中退職や定年退職、派遣社員の契約期間満了など、従業員がいなくなった場合のアクセス制限設定削除も忘れないように実施しましょう。
毘沙門天さん
退職者がでた時の作業内容一覧をまとめておくと、忘れずに運用できるよ!
