上場企業と子会社・関連企業様へ
「守れている」という実感を、ログインから
「守れている」という実感を、
ログインから
~もし「PCログイン」があなたの会社のセキュリティ最大の盲点だったとしたら?~
もし「PCログイン」があなたの会社のセキュリティ最大の盲点だったとしたら?
1. J-SOXとゼロトラストの「抜け穴」をふさぐ
近年のサイバー攻撃では、ID・パスワードの窃取を起点とした不正アクセスが主流です。
IPAの2024年報告書によれば、国内の情報漏洩インシデントの約8割が「認証情報の悪用」に起因しています。
特に、基幹業務システムや社内ネットワークへ接続可能なPC端末のログイン認証において、パスワードのみに依存する方法は、既に防御策として不十分です。
J-SOX(内部統制報告制度)に準拠しつつ、ゼロトラストセキュリティの導入を進める上場企業においては、「誰が・いつ・どの端末にアクセスしたか」という証跡の明確化と、不正アクセスの根本的な遮断が求められています。
本提案では、Windowsログイン時に堅牢な多要素認証(MFA)を導入するApplippli-Key(アプリップリキー)を通じ、内部統制の強化とサイバーリスクの予防、ゼロトラストセキュリティの実装をご支援いたします。
2. Applippli-Key(以降アプリップリキー)とは
アプリップリキーは、PCログオン時に多要素認証を追加することで、企業の情報資産を保護するソリューションです。
• 対応OS:Windows 10/11、Windows Server 2016以降(Mac対応予定)
• 認証方式:TOTP(Google Authenticator™ / Microsoft Authenticator 等)
• 暗号化:AES-256
• 価格(税別):
・クライアントライセンス ¥600/月(初期費用 ¥8,000)
・サーバーライセンス ¥55,000/月(初期費用 ¥100,000)
特長:
• OSログオン時にMFAを強制し、社内PCの不正利用を防止
• SaaSの導入有無に関係なく、ローカル環境もカバー
• 導入が容易で、既存ネットワーク設計にも柔軟に対応
• 仮想環境(オンプレミス/クラウド)にも対応可能
3. なぜOSログインにMFAが必要か(課題とリスク)
【1】J-SOXの「抜け穴」になりうるPCログオン
J-SOXで求められるアクセス制御やログの取得も、入口のOSログインが突破されれば機能しません。「誰でもログインできてしまう端末」は、重大な内部統制上のリスクです。
【2】パスワード認証の限界
辞書攻撃、フィッシング、使い回し…etcパスワード認証は脆弱であり、認証突破がランサムウェアや情報漏洩の発端となります。
【3】内部不正・なりすましのトレーサビリティ喪失
共通アカウントや貸与PCの運用では「誰が操作したか」が不明確となり、責任の所在を追跡できません。これはJ-SOX上も問題となります。
4. アプリップリキー導入の効果
| 項目 | 導入前(Before) | 導入後(After) |
|---|---|---|
| 認証の安全性 | パスワードのみ。突破が容易 | ワンタイムパスワードで確実な本人認証 |
| 内部統制との整合性 | ログ未取得・証跡不明 | ログイン記録を取得。監査にも対応可能 |
| 不正アクセス・マルウェア | 認証突破から横展開が容易 | 端末侵入をMFAで事前に遮断 |
| 企業の信頼性 | インシデント時の説明責任負担が大きい | 事前対策を講じたことをJ-SOX・監査上で説明可能 |
5. ゼロトラスト・J-SOXとの整合性
■ ゼロトラストの原則を満たす設計
ゼロトラストでは、「すべてのアクセスを検証する」ことが原則。OSログインも例外ではありません。アプリップリキーは、ネットワーク境界に依存しないセキュリティ構築を支援します。
■ J-SOX への対応
• アクセス制御 : MFAにより「本人のみが操作可能」な認証基盤を確立
• 証跡管理 : ログオン履歴を取得し、監査に必要な情報を自動で記録
• 業務プロセスの整備 : 操作責任を明確化し、不正アクセスリスクを制度的に低減
6. 被害事例から学ぶ
【事例1】ベネッセコーポレーション:顧客情報約3504万件の漏洩(2014年)
• 被害概要:業務委託先のSEが内部から顧客データを抜き出し、名簿業者に販売。流出総数は約3504万件にのぼり、当時の日本国内最大規模の個人情報漏洩事件。
• 原因:MFA未導入。内部業務端末へのアクセス管理・監視が不十分。USB経由でデータが社外持ち出しされた。
• 損害と影響:顧客対応費用・信頼回復費用などで約260億円の特別損失を計上。株価も急落し、社会的信用が大きく低下。
• 教訓:「内部不正」こそが最大のリスク。内部統制における技術的対策(MFA、ログ監視、データ持ち出し制限)の重要性が明確に。
• 出典:日経新聞(2014年7月9日ほか)、ベネッセIR資料
【事例2】NTTビジネスソリューションズ:元派遣社員による大規模情報流出(2023年)
• 被害概要:派遣社員として勤めていた元従業員が、業務上アクセス可能だった顧客データを不正に持ち出し、外部の名簿業者など第三者に提供していたことが判明。流出が懸念される顧客情報は当初発表の約900万件から拡大し、最終的に69社分・約928万件に上ることが明らかになった。
• 原因: 内部犯行と特権アカウント管理が直接の原因。本事例では派遣社員が管理者権限を悪用しているが、もし当該システムや端末ログイン時に多要素認証(MFA)を必須化し、加えて管理者権限行使時に追加認証や承認プロセスを導入していれば、不正利用を検知・阻止できた可能性がある。
• 損害と影響:名簿業者への売却による二次被害の可能性があり。これは国内でも最大規模級の内部犯行型漏えい事件であり、NTT側は関与した元派遣社員を刑事告発するとともに被害者への通知・謝罪を行いました。
• 教訓:原因に記述の通り、特に管理者アカウントでサーバーにアクセスする際にMFAや生体認証が求められれば、本人以外によるログインは困難となり、大量データ持ち出しの抑止につながったと考えられる。
• 出典:NTTビジネスソリューションプレスリリース/朝日新聞(2023年10月)
【事例3】ラサ工業:社員の海外出張中におけるノートPC盗難・情報流出(2020年)
• 被害概要:大手化学メーカーのラサ工業において、社員がヨーロッパ出張中に業務用のノートパソコン入りブリーフケースを盗難される事件が起きた。流出した可能性のある情報は、社員と取引先計約3,140名分の氏名・連絡先等のデータ。
• 原因:物理的盗難による端末紛失が原因。
• 損害と影響:現在までに個人情報の不正利用は確認されていないが、取引先を含む大量の情報が社外に流出した可能性がある。
• 教訓:仮にこのPCのOSログイン時にMFA認証が設定されていれば、盗難後に第三者がログインパスワードを解読しても、追加の認証要素なしには端末にアクセスできず、情報流出リスクを大幅に低減できたと考えられる。
• 出典:セキュリティ専門メディア「Security NEXT」/「CYBERGYM JAPAN」(2024年6月)
他にも、
- 東急コミュニティー元社員による顧客情報不正持ち出し(2021年)
- 大手損保4社(損害保険ジャパン株式会社、東京海上日動火災保険株式会社、三井住友海上火災保険株式会社、あいおいニッセイ同和損害保険株式会社)における出向社員等による顧客情報の不正共有(2024年)
- 日本駐車場開発社員のノートPC紛失による契約者情報流出(2024年)
など、上場企業におけるPC紛失・内部不正による情報流出が続いています。
これら3事例の共通ポイント
• MFAの欠如が侵入・拡散・漏洩を容易にした。
• J-SOX対象企業としての内部統制体制の不備が社会的・株主的な責任追及を生んだ。
• 技術対策+運用ルールの整備が不十分な場合、極めて高額かつ長期的な信頼回復コストを要する。
7. ご提案のまとめ
アプリップリキーの導入により、貴社のセキュリティ体制に次のような価値をもたらします。
• OSログインのMFA化により、J-SOX準拠体制を補完・強化
• ゼロトラストセキュリティの実装フェーズに踏み出す第一歩
• 不正アクセス・なりすまし・内部不正を未然に遮断
• 管理部門・IT部門における運用負荷を抑えつつ導入展開が可能
まずは管理部門やコーポレート部門を対象としたPoC(導入実証)からご提案が可能です。
ぜひ、サイバーセキュリティ強化計画の一環としてご検討いただければ幸いです。