情報セキュリティに関する事故であるセキュリティインシデントは、いつ発生してもおかしくないといえるでしょう。サイバー攻撃や災害、ヒューマンエラーなどセキュリティインシデントの発生原因は多岐にわたるためです。今まで事例のない新しい攻撃や脅威にさらされる可能性もあり、企業にとってセキュリティインシデント対策は取り組むべき重要な課題といえます。
本記事では、セキュリティインシデントの概要や種類、企業が行うべき事前対策について、発生時の対応方法まで詳しく解説します。自社のセキュリティインシデント対策に、ぜひ活用ください。
セキュリティインシデントとは
ここからは、セキュリティインシデントの概要や発生要因について解説します。
セキュリティインシデントの概要
セキュリティインシデントとは、情報セキュリティやITシステムに関する事故や事件のことです。一般的にセキュリティインシデントといえば、企業や組織に対して第三者からの悪意のある攻撃や操作が行われ、情報漏えいやシステム破壊などの被害が出ることを指します。ただし近年のデジタル技術やITの普及の影響で、セキュリティインシデントの発生要因も多岐にわたるようになりました。インターネットを利用する企業なら、常にセキュリティインシデントのリスクがある状態といえるでしょう。
セキュリティインシデントの発生要因
セキュリティインシデントの発生要因は、大きく「外部要因」「内部要因」「天災や障害」の3つに分けられます。それぞれの発生要因について解説します。
外部要因によるインシデント発生
サイバー攻撃など、外部の第三者から悪意のある攻撃を受けることで発生するセキュリティインシデントです。
内部要因によるインシデント発生
セキュリティ体制の不備、ヒューマンエラーなど会社内部の要因によって発生するセキュリティインシデントです。社内の人間のうっかりミスなど不注意で発生するだけでなく、内部からの不正や改ざんなどにより発生するセキュリティインシデントもあります。
天災や障害によるインシデント発生
地震や落雷などの自然災害や火災、システム障害など不測の事態によってもセキュリティインシデントは発生します。
セキュリティインシデントが与える影響
セキュリティインシデントが発生することで、以下のような悪影響が発生します。
- 業務上の被害
- 損害賠償問題
- 企業の信頼失墜
- 将来的な利益の損失など
セキュリティインシデントが発生すると、ネットワークやシステム、サーバーの停止による事業や営業活動の中断、情報システムの回復、消失した資料やデータの復旧など業務上で大きな負担が生じ、対策に多くのコストがかかります。また、セキュリティインシデントにより個人情報を漏えいさせた場合は、企業が刑事上の罰則、および民事上の損害賠償責任を同時に負うこととなる可能性もあるでしょう。
セキュリティインシデントは、将来的な会社の存続にも影響を与えます。セキュリティインシデントが生じると、多くの場合は会社のセキュリティ面のぜい弱性が明らかにされます。世間からの安全性に対するイメージが悪化し、社会的信用の失墜につながることもあるでしょう。
インシデント発生時だけでなく、発生後の対応が適切でなければ顧客やユーザーが離れ将来的な利益の大きな損失につながる可能性もあります。
セキュリティインシデント対策の必要性
セキュリティインシデントが発生することで、業務上の損失だけでなく企業の社会的な立場や将来的な利益にも悪影響が及びます。セキュリティインシデント対策を平時から先だって行っておくことが重要です。セキュリティインシデント対策が必要である理由を順に解説します。
損害賠償責任や公的な処罰のリスク回避
セキュリティインシデントによって個人情報や機密情報が流出するなど、第三者に何らかの損害を与えた場合には損害賠償責任に問われる可能性が高いです。また、データの持ち出しルールが明確になっていないといったシステムや情報の取り扱いに不備があった場合には、公的な処罰の対象となる場合もあるでしょう。
これらのリスクを防ぐためにも、セキュリティインシデント対策を行う必要があります。
企業の社会的信用の確保
セキュリティインシデントが発生すると、企業としての情報の取り扱い方やネットワーク構築に関するぜい弱性が指摘され、社会的な信用の損失につながります。企業の社会的信用がなくなると、商材の売り上げが落ちる、企業への求職者が減るなどで将来的な企業の存続にも悪影響が及びます。企業の社会的信頼を確保するためにも、セキュリティインシデント対策が重要です。
顧客流出の防止
セキュリティインシデントにより企業の信頼が落ちると、「顧客離れ」が発生します。顧客が競合他社へ流れることで、利益が減り経営状況の悪化にもつながります。顧客の流出を防ぎ安定的な利益を確保するためにも、セキュリティインシデント対策を行いましょう。
セキュリティインシデントの種類
セキュリティインシデントは、その原因によって様々な種類があります。代表的なセキュリティインシデントの特徴や、及ぼす影響について解説します。
マルウェア感染
マルウェアとは、コンピューターの端末やデバイスに感染する悪意のあるソフトウェアを指します。代表的なマルウェアには、自己増殖してPCやデバイスに感染するウイルスや、ファイルを暗号化や復号化し身代金などを請求するランサムウェアなどがあります。
コンピューターやデバイスがマルウェアに感染すると、情報を外部に流出する、勝手にメールを送信する、ポップアップ画面がいくつも表示されるなど勝手に不正な動作が行われます。
不正アクセス
外部から何らかの方法で内部のシステムへ不正に侵入する手口です。不正アクセスが行われると、個人情報や機密情報の漏えい、データの消去や改ざんなどの被害の発生につながる恐れがあります。
乗っ取りによるなりすまし
IDやパスワードなどのアカウントを盗み出し、Webサイトやネットワーク管理者になりすます手口です。アカウントの乗っ取りやWebサイト、データの改ざん、情報を盗み出すなどの被害が出る他、なりすました人物がウイルス付きメールを送るといった他の攻撃を行う場合もあります。
DoS・DDoS攻撃
DoS攻撃(Denial of Service Attack)とは、大量のデータを送ることで大きな負荷をかけ、Webサイトやサーバーをダウンさせるサイバー攻撃のことです。DDoS攻撃(Distributed Denial of Service Attack)とは、複数のコンピューターをマルウェアにより乗っ取り、同時に攻撃する手口を指します。DoS攻撃は歴史の長いサイバー攻撃ですが、近年DDoS攻撃を受けてセキュリティインシデントが発生する割合も高くなっています。
迷惑メール
不正なサイトのURLやマルウェアを含むデータを添付したメールを送信する手口です。URLをクリック、またはデータを開封することでマルウェアに感染します。メールサーバーそのものを乗っ取る仕掛けのある、攻撃性の高い迷惑メールもあります。
自然災害によるシステム停止
地震や落雷、台風、火災などの自然災害によりネットワーク設備やシステムがダメージを受けたり、ライフライン寸断により電気やインターネット回線が使用できなくなったりすることで、システムの停止や情報の消失といったセキュリティインシデントが発生する場合もあります。
クラウドサービスなど外部サービスの障害
利用している外部サービスがサイバー攻撃を受ける、事業者側のサーバーがダウンしたり故障したりするといった外部サービスの障害が発生することで、サービスが使えなくなる場合があります。このような障害が発生すると、自社の事業活動が停止するセキュリティインシデントにつながるのです。
記憶媒体の紛失・盗難
USBメモリーやSDカードといった記憶媒体やノートPCやスマホなどのデバイスを紛失したとき、または盗難被害にあうことで保存されている情報を盗用されたり、流出されたりするケースです。社外での紛失や盗難の他、オフィスで保管しておいた記録媒体やデバイスを内部の従業員や関係者から盗まれる場合もあります。
情報共有時の誤送信
秘匿性の高い内容を記載したメールを誤った宛先へ送信する、外部の共有フォルダに社内の機密情報のデータを間違えて入れてしまうなど、情報共有の際の不注意により情報が漏えいする場合があります。
悪意のある不正操作
顧客の個人情報を従業員が横流しするなど、内部犯行による悪意のある不正操作によって発生するセキュリティインシデントも多くあります。
企業が行うべきセキュリティインシデントの事前対策
セキュリティインシデントによって、企業としても多くの損失やリスクが発生します。あらかじめセキュリティインシデントへの対処法を確立しておきましょう。企業が事前に取り組むべきセキュリティインシデント対策を紹介します。
情報資産の把握と管理体制の見直しを行う
まず自社が保有している全ての情報資産を把握しましょう。情報資産の全容を把握すれば、セキュリティインシデントで行うべき対策や現在の不備などが明らかになります。サーバー上、記憶媒体、紙のファイルなどあらゆる情報資産の管理状況を確認します。
情報資産を把握したら、管理体制の構築や見直しを行います。現在の不備を改善することを踏まえて、情報を適切に取り扱うためのルールを決めましょう。
ハードウェアやソフトウェアを最新の状態に更新する
システムや機器を古いバージョンのまま運用していると、ぜい弱性につけこんだサイバー攻撃を受ける可能性が高くなります。社内のハードウェアやソフトウェアを最新の状態に更新しましょう。
また、サイバー攻撃は日々進化し新しい手口で攻撃を受けることも多いです。こまめにアップデートを実行し、常に最新の状態で運用するようにしましょう。
セキュリティ対策のためのツールを導入する
情報管理の徹底やシステムの最新の状態への更新を行っても、新しい手口のサイバー攻撃やヒューマンエラーを完全に防ぐことはできません。セキュリティ対策のツールや、ミスを検知できる機能を持つツールなどを導入し、セキュリティを強化しましょう。
従業員へのセキュリティ教育を徹底する
従業員が基本的なセキュリティインシデントの意味や対策を理解していないと、セキュリティインシデントを防ぐための適切な行動をとれません。従業員を対象にした研修やセミナーの開催や、サイバー攻撃を想定した訓練の実施など、従業員のセキュリティリテラシー向上のための取り組みを行いましょう。
セキュリティ体制を整備する
セキュリティインシデントの発生予防はもちろん、万が一発生した場合に対応するセキュリティ体制を整備しておくことも重要です。対応手順や被害のチェック方法、報告の方法などを決めて一覧化することで、セキュリティインシデント発生時の迅速な行動につながり、被害を最小限に食い止めることができます。
セキュリティインシデント発生時の対応方法
セキュリティインシデントは発生を予防するための対策だけでなく、万が一発生した際の対応方法を決めておくことも重要です。セキュリティインシデント発生時の対応方法について解説します。
1. インシデントの発見・報告
不正アクセスや情報漏えいの形跡など、セキュリティインシデントの兆候や事実を発見したら、責任者に速やかに報告する仕組みを作ります。従業員がひとりで解決しようとしたり、インシデントの兆候を隠したりしようとすると、インシデントによる被害が拡大する可能性が高いです。
たとえ見間違いや勘違いでも、インシデントを発生させた従業員を一方的に責めることなく、インシデントの可能性が少しでもあれば確認や報告をすぐに行える体制を構築しましょう。
2. 初動対応
責任者へのインシデントの報告が完了したら、インシデントによる被害を拡大させないための応急処置を初動対応としてただちに実行しましょう。インシデントの原因別に、やるべき初動対応の例を以下にまとめました。
- マルウェア感染の場合は、感染した端末や機器をネットワークから切り離す
- 不正アクセスを検知した場合は、外部ネットワークを遮断する
- Webサイトの改ざんを発見した場合は、公開を停止する
- なりすましメールが発生した場合は、メールを受信する可能性のある関係者へ注意喚起をする
3. 調査の実施
セキュリティインシデントの拡大防止処置後は、インシデントの具体的な調査を行います。調査結果は、以下のように5W1H(いつ、どこで、誰が、何を、なぜ、どうしたのか)に沿ってまとめることで、具体的なインシデントの内容や被害を確認できます。
| 5W1H | 具体的な内容 |
| いつ(When) | 2023年8月20日13時ごろ |
| どこで(Where) | ××株式会社●●支店 取引情報データベース |
| 誰が(Who) | 匿名の第三者による(IPアドレスxxxx) |
| 何を(What) | 社内ポータルサイトへの不正アクセスが検出された |
| なぜ(Why) | 目的は現段階では、個人情報の盗用、愉快犯など多岐に考えられる |
| どうしたのか(How) | データの流出について現段階では具体的に確認はできない。本件の発生を確認後、社内のネットワーク遮断、該当のIPアドレスのアクセス制限、セキュリティソフトによるチェックとシステム更新によるネットワークセキュリティの強化を実施した |
4. 関係各所への通知・報告・公表
具体的なセキュリティインシデントの調査結果がまとまり、被害の影響が大きくなると予測される場合は社内外の関係各所への通知と報告を行います。情報漏えいの規模が大きいなど場合によっては警察やIPA(情報処理推進機構)、監督官庁への届け出や、自社Webサイトやマスコミを通じてインシデントの事実を公表することも必要です。
5. 抑制措置と復旧
インシデントの公表や、通知や報告と同時にインシデントの拡大を抑制する措置と復旧対策を行います。例えば、インシデントの内容が自社で管理していた個人情報の漏えいだとしたら、被害者からの相談や問い合わせを受けられる窓口を設け、新たな被害の発生状況を自社側でもすぐに把握できる環境や体制を整えることが重要です。
次にインシデントへの再発防止へ十分な対策を行った上で、順次停止したシステムやサービスの再開、アカウントの利用開始など復旧作業を進めていきます。
6. 事後対応
インシデントの抑制と復旧への措置が完了したら事後対応を行います。主に事後対応として行うことは以下の通りです。
- セキュリティインシデントの分析と再発防止策の検討
- 発生したセキュリティインシデントに関する調査報告書の作成と経営層への提示
- 被害者に対する謝罪や補償の実施
- 企業・組織内の人物によるインシデントの場合は指導・厳重注意・処分など
事後対応の内容や進捗は、必要に応じて被害者への情報開示も行います。
セキュリティインシデント対策も万全! 安全なシステム運用のご相談はテクバンへ
セキュリティインシデントの予防や発生後の対処方・仕組みを構築しても「新しいサイバー攻撃や手口に都度対策を行う技術やリソースが不足している」「セキュリティインシデントが発生した場合の復旧や調査などの対応を自社で行うのが難しい」といった悩みを持つ方も多いかもしれません。安心・安全なシステム運用環境の構築は、テクバンにご相談ください。
テクバンでは、経験豊富なITエンジニアが24時間365日リモートでシステムを監視・運用する「システム運用マネジメント 」のサービスを提供しております。
異常が発生した場合の調査や復旧支援をはじめ、お客様からのお問い合わせへの回答など情報システム運用のあらゆるサポートを提供します。社内業務の一部のみ依頼したい方、リソース不足を解決したい方は、ぜひお気軽にご相談ください。
また、社内インフラの運用にお悩みの方へお役立ち資料も配布しております。こちらも併せてご利用ください。
もうアウトソースで悩まない。インフラ運用保守を上手に委託する方法
セキュリティインシデント対策は徹底すべき
セキュリティインシデントの概要や事前対策、発生時の対応方法などを紹介しました。オンラインや社内ネットワーク上でのリスクや被害を最小限に抑えるためには、セキュリティインシデント対策を徹底することが大切です。
インシデントの種類や原因を把握し、インシデントの発生を予防する対策はもちろん、発生後に対処できる仕組みを構築し、情報資産や自社の信頼を確保するための取り組みを行いましょう。
セキュリティインシデントに関しては下記記事でも紹介しています。ぜひ、ご参考ください。
▼適切なインシデント管理とは? 問題点や解決策を解説
▼インシデント管理と問題管理の違いとは? 管理の目的や課題について解説
