自宅パソコンから不正アクセス
さらに担当者が詳しく調査すると,社内LANへの不正アクセスに成功した例もあったようだ。というのもオフィスにいた社員が,いるはずのない自宅から社内LANに接続しているのだ。さっそく運用担当者は,該当するパソコンの持ち主にヒアリングを開始した。すると,対象となったパソコンはすべて,社員が家族や友人などと共有していることが判明。悪意はなかったようだが,ヒアリング結果と状況から判断して,不正アクセスの主はそうした家族や友人だった。
さらにヒアリングを進めると,ある社員はパスワードを忘れないよう,パソコンのモニターに付せん紙で張り付けていた。別の社員は,パソコンのログイン時と同じパスワードをインターネットVPNにも使っていた。パソコンのパスワードは,特殊なソフトで見えてしまう場合がある。中には家族と同じパスワードを共有する社員もいた。
パスワードはVPN接続専用に用意
A社は調査の過程で,もう一つ重大なことを発見した。クライアント証明書を発行したノート・パソコンが,紛失していたのだ。幸いそのノート・パソコンから社内にアクセスした形跡はない。しかし,所有者はそのことを運用担当者に報告していなかった。即座に報告していれば,そのパソコンのクライアント証明書を失効させることで,不正アクセスは防げる。A社はユーザーに対するセキュリティ教育が不十分であることを認識。運用規約を改めて策定し,社員に徹底させることにした。具体的には,(1)インターネットVPNの接続に使うパソコンは,できる限り他人と共有しない,(2)どうしてもパソコンを共有する場合は,自分と他人のログイン環境を切り分け,他人が社内LANに接続するためのVPNソフトを使えないようにする,(3)パスワードはVPN接続だけのものを用意し,紙に書いたり他人には教えない,(4)パソコンを紛失したら,直ちに運用担当者に報告すること――などを徹底させた。
証明書を内蔵したUSB機器を採用
さらにA社はセキュリティ管理を徹底するため,ディジタル証明書の発行方法も変えた。ディジタル証明書を内蔵する外付けのUSB型トークン(認証用のデバイス)を採用したのだ。VPN接続をするたびに,トークンをUSBポートに挿入する仕組みだ。このトークンを持ち歩くよう義務付ければ,社員の不在時にそのパソコンを他人が使っても,社内LANに不正アクセスできなくなる(図2[拡大表示])。社員のセキュリティ教育を徹底した後,A社のインターネットVPN環境では,不正アクセスを試みた痕跡はほとんど見当たらなくなった。