自宅パソコンから不正アクセス

 さらに担当者が詳しく調査すると,社内LANへの不正アクセスに成功した例もあったようだ。というのもオフィスにいた社員が,いるはずのない自宅から社内LANに接続しているのだ。

 さっそく運用担当者は,該当するパソコンの持ち主にヒアリングを開始した。すると,対象となったパソコンはすべて,社員が家族や友人などと共有していることが判明。悪意はなかったようだが,ヒアリング結果と状況から判断して,不正アクセスの主はそうした家族や友人だった。

 さらにヒアリングを進めると,ある社員はパスワードを忘れないよう,パソコンのモニターに付せん紙で張り付けていた。別の社員は,パソコンのログイン時と同じパスワードをインターネットVPNにも使っていた。パソコンのパスワードは,特殊なソフトで見えてしまう場合がある。中には家族と同じパスワードを共有する社員もいた。

図2 A社はパソコン本体,パスワードの管理を徹底してVPN接続のセキュリティを向上
調査の結果,社員のパソコンで第三者がVPN用クライアント・ソフトを操作していることが判明。しかも社員のパスワード管理がずさんだった。またノート・パソコンを紛失や盗難した社員が,必ずしも情報システム部に報告していないことも判明。そこでA社は,パソコンはできる限り共用しない,パスワードはVPN接続専用に用意する,ノート・パソコンを紛失したら情報システム部に報告するといった,セキュリティ教育を徹底。またディジタル証明書を内蔵できるUSB型トークンを導入した。

パスワードはVPN接続専用に用意

 A社は調査の過程で,もう一つ重大なことを発見した。クライアント証明書を発行したノート・パソコンが,紛失していたのだ。幸いそのノート・パソコンから社内にアクセスした形跡はない。しかし,所有者はそのことを運用担当者に報告していなかった。即座に報告していれば,そのパソコンのクライアント証明書を失効させることで,不正アクセスは防げる。

 A社はユーザーに対するセキュリティ教育が不十分であることを認識。運用規約を改めて策定し,社員に徹底させることにした。具体的には,(1)インターネットVPNの接続に使うパソコンは,できる限り他人と共有しない,(2)どうしてもパソコンを共有する場合は,自分と他人のログイン環境を切り分け,他人が社内LANに接続するためのVPNソフトを使えないようにする,(3)パスワードはVPN接続だけのものを用意し,紙に書いたり他人には教えない,(4)パソコンを紛失したら,直ちに運用担当者に報告すること――などを徹底させた。

証明書を内蔵したUSB機器を採用

 さらにA社はセキュリティ管理を徹底するため,ディジタル証明書の発行方法も変えた。ディジタル証明書を内蔵する外付けのUSB型トークン(認証用のデバイス)を採用したのだ。VPN接続をするたびに,トークンをUSBポートに挿入する仕組みだ。このトークンを持ち歩くよう義務付ければ,社員の不在時にそのパソコンを他人が使っても,社内LANに不正アクセスできなくなる(図2[拡大表示])。

 社員のセキュリティ教育を徹底した後,A社のインターネットVPN環境では,不正アクセスを試みた痕跡はほとんど見当たらなくなった。