遠隔地のコンピュータネットワークへ接続するための仕組みで、
RAS(Remote Access Server)を利用する方式があり、
インターネット経由で接続するタイプと、
公衆回線でモデムを介して接続するタイプの2通りあります。
前者は、ポートスキャンなどで発見されて狙われやすい傾向があり、
単純な構成はほとんど存在しない状況でしょう。
RASというと後者の公衆回線をモデムを使って接続する方が一般です。
出張先から公衆電話回線などを利用してダイヤルアップで会社の
コンピューターネットワークにアクセスする場合に使用します。
(PPPやSLIPなどでアクセスします)
この構成の場合、
ファイアウォールを介したインターネットへの接続する出入り口が
別途に存在することが多いでしょう。
このファイアウォールの方からの浸入対策には気を使うのですが、
RASからの浸入対策が疎かになることがあるようです。
RASを介して浸入では、
代表電話をヒントにRASへの接続が試みられます。つまり
電話をかけて、モデムが応答したらその先にRASがあると判断するわけです。
この手法は「ウォーダイヤリング」と呼ばれます。
RASが発見されれば、パスワードクラックで浸入が試みられるでしょう。
(「ユーザー」と「パスワード」のリストで、
順番に認証できないか確かめる攻撃です。)
携帯電話やPHS回線の場合は、通信カードの固有の番号で、
接続を制限することで対策できます。
電話を用いる場合は、コールバックの方式を使うことで対策できます。
コールバックとは、一度回線を切り、RAS側から折り返す方式です。しかし、
公衆電話などでは使えません。
その場合は、特別なユーザー名で、ワンタイムパスワード
を使うなどセキュリティ的に考慮すべきです。
ICカードなど所持品を使った認証やバイオメトリック認証などによる認証強化も
有効でしょう。
ノートPCは、社外に持ち出すケースがあり得ますが
その場合、社外でウイルスに感染し、それを社内のLANに
接続することで、社内に広がる危険があります。
また、社外でアカウント情報が盗まれないような社員教育が
必要でしょう。それには、
後述のソーシャルエンジニアリング(ショルダーハッキングや盗難など)に
対する対策を含みます。
盗難時や、無断使用が判明した時の
連絡体制や、すみやかなアカウント利用停止の取り決めを
事前にしておくことが大切です。
また、ノートPCに重要なデータを保存しない取り決めや
データを保存する場合は、暗号化するなどの取り決めも必要です。
なお、パスワードの保存をしない設定や、自動ログオフの設定をすべきでしょう。
不正アクセスを目的にした行為を、
コンピュータやネットワークを使わずに、
通常の社会活動で行うことを「ソーシャルエンジニアリング」と呼びます。
つまり、人間の心理的な隙や、行動のミスにつけ込んで秘密情報を入手する行為で
次のような行為です。
(盗み聞き、盗み見なども含みます。)
電話によるなりすまし
社員を装って、システム管理者に電話し、言葉巧みに「緊急で使う事情ができた」などと
パスワードを聞き出すような行為です。
確認が可能な相手に変ってもらうとかの事前取り決めをマニュアル化すべきです。
また、そのような場合に使う制限ありの
ワンタイムパスワードの一時アカウントを、作れる準備をしておいて、
その必要な時間だけ使えるようにするのがよいでしょう。
ピギーバック(PiggyBacking)
ICカードなどによる入室管理が行われている所に対して、
正規に入室する人の背後に続いてに、認証を受けずに入る行為を言います。
ショルダーハッキング
コンピュータを使っている人の背後から、画面やキー入力操作を除いて
情報を盗む行為です。
画面にフィルターをかけるとか、キー入力時の注意など
注意を怠らないことです。
ダンプスターダイビング(Dumpster Driving)
スカベンジング(Scavenging)
ゴミ置き場のゴミから機密情報を盗み出す行為を言います。
こうした場所では監視が甘いのでターゲットになりやすいものです。
書類をシュレッダーにかけるのは当然ですが、分散して捨てるなどの配慮が
必要でしょう。
また、コンピュータやハードディスクを捨てる場合も注意が必要です。
消去したデータを復活させることを「データサルベージ」といいますが
これを利用して盗まれることもあります。
特殊なハードウェアを使うと、磁気的に上書きしただけ消去法では
復元することが可能なようです。