「不審なログインがありました」——深夜3時、海外IPアドレスからの管理者ログイン成功のアラートが飛んできます。気づいたときにはすでに社内システムに侵入されており、ファイルサーバーへのアクセスログが大量に残っていました。
不正アクセス対策の失敗パターンの多くは「入口だけ守って、侵入後の対策がない」構成です。
この記事では、侵入経路の理解から始めて「入口対策」「内部対策」「検知・対応」の3層で守る設計の考え方を解説します。
不正アクセスとは——攻撃者はどこから侵入するのか
不正アクセス(Unauthorized Access) 権限を持たない第三者が、システムやネットワークに無断で侵入する行為。フィッシング・パスワード攻撃・脆弱性の悪用など、さまざまな手法で行われる。不正アクセス禁止法により、正当な理由なく他人のコンピュータにアクセスする行為は違法。
攻撃者の主な侵入経路を整理します。
| 侵入経路 | 概要 | 典型的な手法 |
|---|---|---|
| 認証の突破 | パスワードを盗む・推測する | フィッシング・パスワードスプレー・クレデンシャルスタッフィング |
| 脆弱性の悪用 | 未パッチのシステムを狙う | VPN装置・Webアプリの既知脆弱性 |
| 内部からの侵害 | 正規ユーザーを踏み台にする | マルウェア感染・内部不正 |
| ソーシャルエンジニアリング | 人を騙して情報を引き出す | フィッシングメール・電話詐欺 |
この中で最も多い侵入経路は「認証の突破」です。IPAの調査でも、インシデントの原因として「パスワードの窃取・推測」が上位を占めています。
侵入後に何が起きるか
不正アクセスは「侵入して終わり」ではありません。攻撃者は侵入後に以下のような行動を取ります。
侵入
↓
権限昇格(一般ユーザー→管理者権限の取得)
↓
横移動(他のサーバー・端末への侵害拡大)
↓
目的達成(情報窃取・ランサムウェア展開・バックドア設置)
「入口だけ守る」設計では、侵入後の権限昇格・横移動を止められません。侵入を前提とした多層防御が必要です。

侵入を防ぐ——認証・入口対策の設計
MFAの徹底
不正アクセス対策で最も費用対効果が高い施策はMFAの導入です。
パスワードが盗まれても、MFAが設定されていれば攻撃者はログインできません。Microsoftの調査では、MFAを設定するだけでアカウント侵害の99.9%を防げるとされています。
MFAを優先的に適用すべき対象は以下の順番です。
| 優先度 | 対象 | 理由 |
|---|---|---|
| 最優先 | 管理者アカウント・特権アカウント | 侵害時の影響が最大 |
| 高 | VPN・リモートアクセス | 外部からの侵入経路 |
| 高 | M365・クラウドサービス | フィッシングの標的になりやすい |
| 中 | 一般ユーザー全員 | 踏み台になるリスク |
MFAの仕組みと導入手順については「MFAとは?多要素認証の仕組みと実務での導入・運用ガイド」を参照してください。
パスワードポリシーの見直し
複雑なパスワードを要求するだけでは不十分です。現在のNIST・Microsoftのガイドラインでは以下の方向性が推奨されています。
| 従来の考え方 | 現在の推奨 |
|---|---|
| 定期的なパスワード変更を強制 | 漏えいが確認された場合のみ変更 |
| 複雑性要件(記号・大文字必須) | 長さ重視(14文字以上推奨) |
| パスワードの使い回し禁止 | 過去のパスワードとの一致チェック |
参考:NIST SP 800-63B|デジタルアイデンティティガイドライン
条件付きアクセスの設計
Entra ID環境では条件付きアクセスを使って「どんな条件ならアクセスを許可するか」を制御できます。
条件付きアクセス(Conditional Access) ユーザーのログイン条件(場所・デバイス・リスクスコアなど)に応じて、アクセスを許可・拒否・MFA要求などの制御を行う仕組み。Microsoft Entra IDの機能。
最低限設定すべきポリシーは以下の3つです。
① 管理者アカウントへのMFA強制
② 準拠済みデバイス以外からのアクセスをブロック
③ 高リスクサインイン(海外IP・異常なログインパターン)にMFA要求
VPNとネットワーク境界の管理
VPNの脆弱性は攻撃者に狙われやすい経路です。以下を定期的に確認してください。
- VPN装置のファームウェアを最新に保つ
- 使用していないVPNアカウントを無効化する
- VPNのアクセスログを定期確認する
ゼロトラストへの移行を検討している場合は「VPNとゼロトラストの違い|境界防御からの移行を段階的に進める実務ガイド」を参照してください。
侵入後の被害を最小化する——内部対策の設計
最小権限の徹底
侵入後の横移動を防ぐには最小権限の原則が有効です。攻撃者が一般ユーザーの権限しか持てない状態であれば、侵害の範囲を限定できます。
- 一般ユーザーにローカル管理者権限を付与しない
- サービスアカウントに必要最低限の権限のみ付与する
- 管理者権限は専用の管理者アカウントで使用し、日常業務には使わない
特権アカウントの設計については「AD特権アカウントの設計|Tier0保護と管理者アカウント分離の実務」を参照してください。
ネットワークセグメンテーション
攻撃者の横移動を防ぐにはネットワークの分離が有効です。
ネットワークセグメンテーション ネットワークを複数のセグメント(区画)に分割し、セグメント間の通信を制限する設計手法。1つのセグメントが侵害されても、他のセグメントへの影響を最小化できる。
最低限実現したいセグメント分離は以下です。
インターネット
↕(ファイアウォール)
DMZ(公開サーバー:Webサーバー等)
↕(ファイアウォール)
内部ネットワーク
├── 業務端末セグメント
├── サーバーセグメント
└── 管理セグメント(DC・管理サーバー)
管理セグメントを分離することで、攻撃者が業務端末を侵害してもDCへ直接アクセスできない構成になります。

パッチ管理の徹底
脆弱性を放置することは「攻撃者に侵入経路を提供する」ことと同義です。
- OSのセキュリティパッチを月次で適用する
- VPN装置・ファイアウォール等のネットワーク機器も忘れずに更新する
- 脆弱性スキャンツールで定期的に未パッチの機器を確認する
パッチ管理の詳細については「パッチ管理とは?「作業」で終わらせない脆弱性対応の考え方と実務」を参照してください。
検知・対応の仕組みを作る
入口対策・内部対策だけでは不十分です。侵入を前提として、早期に検知・対応できる仕組みを合わせて整備します。
ログの収集と監視
不正アクセスを検知するために最低限収集すべきログは以下です。
| ログ種別 | 主な確認ポイント |
|---|---|
| 認証ログ(ADイベントID 4624/4625) | 失敗後の成功・深夜のログイン・海外IPからのアクセス |
| 特権アカウントの操作ログ | 管理者アカウントの使用状況 |
| ファイルアクセスログ | 大量ダウンロード・異常なアクセスパターン |
| ネットワークログ | 外部への大量通信・不審なIPへの接続 |
Windowsイベントログの重要IDについては「Windowsイベントログ重要ID一覧|セキュリティ調査で使うIDまとめ」を参照してください。
インシデント対応フローの整備
検知後の対応フローを事前に決めておかないと、いざというときに対応が遅れます。最低限以下を事前に決めておいてください。
- アラートの一次確認担当者を決める
- エスカレーション先(上長・CSIRT・外部ベンダー)を決める
- アカウント無効化・端末隔離などの初動対応手順を文書化する
よくある失敗パターン4選
① 管理者アカウントにMFAを設定していない
「一般ユーザーにはMFAを設定したが、管理者アカウントは設定が面倒で後回しにした」というケースです。攻撃者が最初に狙うのは管理者アカウントです。MFAは一般ユーザーより先に管理者アカウントに設定してください。
② VPN装置のパッチが長期間未適用
「業務に影響が出るかもしれないのでアップデートを先送りにしていた」という現場は多いです。VPN装置の既知脆弱性は攻撃者に広く知られており、未パッチのまま放置すると侵入経路になります。メンテナンスウィンドウを設けて定期的にファームウェアを更新してください。
③ 全端末にローカル管理者権限を付与している
「設定変更やソフトウェアインストールが必要なため、全社員にローカル管理者権限を付与している」という環境は珍しくありません。しかしこの設定は攻撃者に横移動を許す設計です。一般ユーザーのローカル管理者権限は剥奪し、必要な場合はIT部門が対応する運用に切り替えてください。
④ ログを取っているが誰も見ていない
「ログは取得しているが確認する担当者がおらず、インシデント後の調査で初めてログを見た」というケースです。ログは取るだけでは意味がありません。定期的に確認する担当者・頻度・確認項目を決めて、運用として回してください。
不正アクセス対策チェックリスト
認証・入口対策
- [ ] 管理者アカウント・特権アカウントにMFAを設定した
- [ ] VPN・リモートアクセスにMFAを設定した
- [ ] 条件付きアクセスで高リスクサインインを制御した
- [ ] パスワードポリシーをNIST推奨に沿って見直した
- [ ] VPN装置のファームウェアを最新に保っている
- [ ] 不要なVPNアカウントを無効化した
内部対策
- [ ] 一般ユーザーのローカル管理者権限を剥奪した
- [ ] サービスアカウントに最小権限を付与した
- [ ] 管理セグメントを業務端末セグメントから分離した
- [ ] OSのセキュリティパッチを月次で適用している
検知・対応
- [ ] 認証ログ・特権アカウントログの収集・保管を設定した
- [ ] ログの定期確認担当者と頻度を決めた
- [ ] アラート発生時のエスカレーション先を決めた
- [ ] 初動対応手順(アカウント無効化・端末隔離)を文書化した
まとめ
今日確認すべきことは1つです。
管理者アカウントにMFAが設定されているか確認してください。
Entra ID環境であれば、条件付きアクセスポリシーで管理者ロールへのMFA強制が設定されているかを確認します。ADオンプレ環境であれば、VPNやリモートデスクトップへのアクセスにMFAが要求されているかを確認してください。
不正アクセス対策は「入口を守る」→「侵入後の被害を最小化する」→「早期に検知・対応する」の3層で設計します。どれか1つだけでは不十分です。現状の構成を3層の観点で棚卸しし、抜けている層から順番に対策を積み上げてください。
次は「ADのセキュリティ監査手順」で、AD環境の定期監査の具体的な手順を解説します。
あわせてご覧ください


コメント