Webサイトや会計データなど、あらゆるデジタルデータは常に改ざんされるリスクにさらされています。データ改ざんは企業の信頼を大きく損なう原因になるため、未然に防ぐことが重要です。
具体的に、データ改ざんを防ぐにはどのような点に注意すれば良いのでしょうか。
ここでは、データ改ざんを防ぐための方法や、データ改ざんが発覚した際の対処法をご紹介します。
1 データ改ざんの種類は2つ
データ改ざんとは、権限のない人がデータを無断で書き換えたり、権限を持つ人が悪意を持って内容を変更したりすることです。
大別すると、外部からの攻撃による改ざんと、内部の人間による改ざんの2種類に分けられます。
それぞれ、どのような違いがあるのでしょうか。
1-1 外部からの攻撃による改ざん
代表的な外部からの攻撃によるデータ改ざんとしては、Webサイトの改ざんが挙げられます。
サイトを訪れたユーザーを違法なサイトに転送(リダイレクト)させるように設定する、ページにウイルスを仕込む、無関係な画像が表示されるようにサイトを書き換えるなどが被害の例です。
サイトの脆弱性(セキュリティホール)を突いたサイバー攻撃や、アカウントの乗っ取りによる不正利用といった手口によって行われます。
1-2 内部の人間による改ざん
データ改ざんのような不正は、外部からの攻撃ではなく内部の人間によって引き起こされるケースもあり得ます。
不正に利益を得るために報告書の数字を書き換える、ミスを隠すためにデータの保存日時を改ざんする、数字を良く見せるために会計処理用の帳簿の記載を書き換えるなどが例です。
もちろん、悪意を持って故意に改ざんをするのではなく、機器の操作ミスなどが原因でデータの改ざんが発生することも考えられます。
2 データ改ざんを防ぐための対策法
データ改ざんを防ぐコツは、発生理由を把握したうえで対策を講じることです。
悪意あるデータの改ざんによる被害を防ぐために、日頃から簡単な対策を講じておきましょう。
すぐに行える対策方法を4つご紹介します。
2-1 IDとパスワードを適切に管理する
データ改ざんの基本的な対策は、IDとパスワードを適切に管理することです。アクセス権限を持たない者にIDとパスワードを知られてしまうと、データ改ざんのリスクが高まります。
不正にログインされて、機密性の高い情報を盗み見られる可能性がある点も問題です。
複雑でわかりにくいパスワードにする、パスワードを付箋などに書いて貼るのは避けるなど、基本的な管理を徹底しましょう。
複数のサービスに一度にログインされてしまう恐れがあるため、同じIDとパスワードを使い回すのは厳禁です。
パソコンを操作されたり、画面を見られたりするのを防ぐために、画面を開いたままパソコンの前を離れるのも避けてください。
席を立つ前にロックをかけて、画面を消しておくことが大切です。
2-2 定期的にOSやアプリのアップデートを行う
OSやアプリなどの脆弱性を突いて不正アクセスが行われ、そこからデータを改ざんされるケースも考えられます。
外部からの攻撃を防ぐために、定期的にOSやアプリのアップデートを行い、最新の状態に保ち続けることもポイントです。
サイバー攻撃によるデータ改ざん対策の一環として、セキュリティソフトを活用するのも良いでしょう。セキュリティソフトも常にアップデートを行い、最新の状態を保ち続けることを心がけましょう。
また、セキュリティソフトによる対策は万全ではありません。セキュリティソフトを導入するだけでなく、他の対策も併せて実施することが重要です。
2-3 通信が暗号化された無線LANを使用する
近年は、公衆無線LAN(フリーWi-Fi)の普及により、どこでも、誰でも、無料で高速ネットワークに接続できる環境が整備されつつあります。
非常に便利な反面、公衆無線LANのセキュリティはまちまちで、信頼できないケースもあるのが実情です。
暗号化されていない無線LANを介してインターネット接続を行うと、通信内容を第三者に見られたり、パスワードが流出して不正ログインをされたりする可能性があります。
暗号化されていない無線LANではパスワードや個人情報をやり取りしない、通信が暗号化されていてセキュリティ対策が施された無線LANを使用するなどの対策も欠かせません。
2-4 「不正のトライアングル」を軽減する
内部の人間によるデータ改ざんなどの不正を防ぐには、「不正のトライアングル」を軽減することが大切です。
不正のトライアングルとは、不正は次の3要素がそろうと発生しやすくなるという理論のことです。
・機会:不正を実行しても発覚しにくい状況や環境。内部統制の不備など
・動機:不正を行おうとする個人的な理由。経済的困窮や会社への不満、仕事に対するプレッシャーなど
・正当化:不正を行う人間が「他の人もやっているから」「会社の利益につながるから」などと自分の行いを正当化する考え方
この3つの要素を軽減すれば、内部の人間によるデータ改ざんのリスクは抑えられます。
データのアクセス権限を適切に管理して機会を減らす、労働環境を整備して不満が出にくくする、コンプライアンス教育を行い不正に対する考えを改めさせるといった対策を行いましょう。
3 データ改ざんが発生したらデジタルフォレンジックに依頼を
一般的に、初歩的なデータ改ざんはすぐに発見できるとされています。とはいえ、法的措置を検討するのであれば、正確な証拠をつかまなければいけません。
さらに、デジタルデータが法的に証拠として効力を持つには、機器やデータが改ざんされていないものと証明する必要があります。
証拠の保全が不十分だと、見つけた証拠が法的には価値のないものになってしまうということです。
データ改ざんを発見した際は、電子データの収集・解析を行うデジタルフォレンジックの専門業者に、すぐに調査を依頼しましょう。
ロジテックのデジタルフォレンジックサービスは、データ改ざんや情報漏えいなど、さまざまな不正の調査に対応可能です。
データを書き換えることなく保全できるので、保全作業のみのご相談もお気軽にお問い合わせください。
4 改ざんの疑いがある時はすぐ専門家に相談を
データ改ざんは、外部攻撃・内部不正を問わず、企業の社会的信用を失墜させる重大なリスクのひとつです。日頃からID管理やソフトウェア・アプリのアップデート、職場環境の整備といった予防に努めることを心がけましょう。
ただし、どのような対策を行っても、不正を確実に防げるわけではありません。
万が一改ざんの疑いがある場合は、証拠能力を維持するために不用意な操作を避け、速やかにデジタルフォレンジックなどの専門家へ相談することをおすすめします。
