お役立ち資料
Introduction
セキュリティインシデントとは、情報セキュリティに関する重大な事故や事件のことを指します。具体的には、マルウェア感染、不正アクセス、機密情報が入った記憶媒体の紛失など、企業の安全を脅かすような事象のことです。
この記事では、セキュリティインシデントとは何か、どのような被害を受けるのか、実際の被害事例やインシデントが発生した際の対応フローなどについて解説します。
目次
セキュリティインシデントとは?
セキュリティインシデントとは、情報セキュリティに関する重大な事件や事故のことを指します。
ここでは、セキュリティインシデントとはいったいどのようなものなのか、対策の必要性などについて解説します。
情報セキュリティに関する障害や事故のこと
セキュリティインシデントとは、情報セキュリティに関する重大な事故や事件のことを指します。具体的には、マルウェア感染、不正アクセス、機密情報が入った記憶媒体の紛失など、企業の安全を脅かすような事象のことです。悪意ある第三者によるサイバー攻撃だけでなく、従業員のミスや内部犯行、自然災害や設備不良などによる事象も含まれます。
経済産業省の『経済産業省情報セキュリティ対策基準』によると、以下のように定義されています。
情報セキュリティインシデント
「情報セキュリティインシデント」とは、電磁的記録に関する障害及び事故等であって、JIS Q 27000:2019における情報セキュリティインシデントに該当するものをいう。
セキュリティインシデントが発生すると、企業や組織は大きなダメージを受けます。たとえば、ランサムウェア感染してデータが暗号化され身代金を要求された、顧客の個人情報が流出したなどは、あってはならないことです。このようなインシデントが発生すると、データの初期化やウイルスの駆除など事態の収拾のために、通常業務を行えなくなります。さらに「あの会社を使うと個人情報が流出するかも」などと、企業の社会的信頼が失墜し、売りあげの減少や顧客離れが進む可能性も高いです。
このように、企業や組織としては、セキュリティインシデントが起こることを避けなければなりません。
セキュリティインシデント対策の必要性
セキュリティインシデントが発生すると、企業や組織にとって大打撃となります。従業員や顧客、取引先の個人情報や機密情報流出、サーバーやサービスの停止、データの改ざんなどが起こると、企業は対応に追われます。業務の停止、問い合わせ対応、ウイルスの駆除や機器の初期化などを行わなければならず、通常業務に大きな影響が出てしまうのです。
さらに「この企業はセキュリティ対策が不十分だった」「この企業に情報を預けると流出する恐れがある」などのイメージがついてしまいます。その結果、企業の社会的信用は失墜し、売りあげの減少や顧客離れが進むでしょう。
セキュリティインシデントが1件でも発生すると、このように企業に大きな損害が発生します。そのため、セキュリティインシデントは絶対に発生させてはならず、日ごろから対策を行っておく必要があるのです。
セキュリティインシデントが発生する原因
セキュリティインシデントが発生する原因には、いくつかのことが考えられます。それぞれの原因について知っておくことで、正しい対策を講じられるでしょう。
内的要因
内的要因とは、組織内部の従業員の行動により、インシデントが発生することです。
たとえば、従業員がメールの宛先をよく確認せず、本来送信すべきではない相手に個人情報を送信してしまったなどのケースです。この場合、関係のない相手に、別の取引先の情報を流出してしまうことになります。
また、従業員の内部犯行による情報流出、重要情報を保管したデバイスの紛失や盗難、ずさんなID管理による不正アクセス、データの消去や改ざんなどもこのケースに当てはまります。
外的要因
外的要因とは、悪意ある第三者によるサイバー攻撃によって、インシデントが発生するケースです。
たとえば、サイバー犯罪者がマルウェアを添付したメールを社内に送信し、従業員があやまってファイルを開封して、社内にマルウェア感染が広がったなどのケースです。ほかには、外部からの不正アクセスやなりすまし、DoS攻撃によるサーバー停止、ランサムウェアによる身代金要求などが当てはまります。
自然災害などの外部要因
自然災害などの外部要因によって、インシデントが発生することもあります。たとえば、地震や津波、雷、火事などで建物や機器が物理的に破壊されて、セキュリティ設備が故障した、データが損失した、サービスが停止したなどです。
セキュリティインシデントによる被害
セキュリティインシデントが起こると、具体的にどのような被害にあうのでしょうか。ここでは、具体的な被害の内容についてご説明します。
マルウェア感染
マルウェアを仕込んだメールやUSBメモリなどから、社内のデバイスがマルウェア感染すると、さまざまな被害が起こります。
マルウェアに感染したデバイスから個人情報や機密情報が流出したり、デバイス内の連絡先情報を勝手に利用してメールを送ったりなどです。マルウェアに感染すると不審なポップアップ画面が表示され、不正な動作を繰り返します。また、マルウェア感染したデバイスを遠隔操作して、管理者権限をもつデバイスに到達するまで、ネットワークを介して乗っとりをつづける場合もあるのです。
一度マルウェアに感染すると、除去しない限り不正な動作をつづけてしまいます。マルウェア感染したデバイスは、ネットワークから切り離して隔離し、ほかにも感染していないかを慎重に調査しなければなりません。
このように、マルウェア感染による被害は大きいため、日ごろから十分に注意しておく必要があります。
マルウェアについてはこちらもご覧ください。
>>マルウェアとは?特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介のページへ
不正アクセス
社内ネットワークや社内システムのログイン認証を破るため、不正アクセスが行われるケースです。ID・パスワードを盗まれたり、ログインアタックによって認証が破られたりすると、不正アクセスを許してしまいます。不正アクセスが成功すると、社内の機密情報や個人情報が流出したり、データを改ざんされたり、マルウェアを仕込まれたりします。
また、社内のアカウントの乗っとりが成功すると、さらに強い権限をもつアカウントを求めてネットワーク内に潜伏し、不正アクセスを繰り返すこともあるのです。
なりすまし
社内のアカウント情報を盗まれることで、なりすましが発生することもあります。従業員のアカウントになりすまし、メールアドレスのデータを悪用して取引先などにメールを送ります。メールを受信した側は、いつもの取引先からメールが届いたと思い込むため、危険です。そのメールにマルウェアが仕込まれていれば、マルウェア感染が広がってしまいます。
また、SNSで本人になりすまして、にせの情報を拡散する、詐欺被害を起こすなどのケースもあります。
情報の漏えい、改ざん
社内ネットワークなどに不正アクセスされた場合、社内の機密情報や顧客情報などの個人情報が漏えいする恐れがあります。また、社内データや企業サイトなどが改ざんされることも考えられます。
機密情報が競合他社に渡されたり、個人情報が売られたりするケースもあるため、社内の重要なデータは厳重に守る必要があるでしょう。
データの紛失
重要なデータが保管されているUSBメモリやタブレットなどを電車に置き忘れた、盗まれたなどのインシデントが起きる場合もあります。データが紛失することで、社内の重要なデータが外部に流出する恐れがあります。
そのようなことがないように、デバイスやメモリなどの管理を厳重に行い、データを暗号化するなどの対策も必要です。
設備の故障
自然災害により、設備が故障することもあります。雷が落ちて機器が故障する、地震や津波で建物に被害がおよび、機器が破損するなどです。
このような物理的な被害が起こることもあるため、ネットワーク機器やデータサーバーの冗長化を行う必要があります。
近年におけるセキュリティインシデントの事例
近年におけるセキュリティインシデントの事例には、どのようなものがあるのかをご紹介します。
大学におけるマルウェア感染
ある大学が保有するパソコンが標的型攻撃メールによってマルウェア感染し、パソコン内の情報が流出した痕跡が発見されました。
在宅勤務していた大学教員のパソコンが標的型攻撃メールにより、マルウェア感染しました。その後、大学の教職員、学生、卒業生の個人情報などが約2,000件、そのほかの情報も含めて計4,000件あまりが流出した可能性があるとのことです。
なお、この件により、二次被害が発生したという情報は確認されていません。
病院におけるランサムウェア感染
ある病院のシステムがサイバー攻撃を受け、電子カルテなどを含めた病院システムが利用できなくなりました。
病院の電子カルテシステムが、ランサムウェアによりシステム障害を起こしました。その結果、電子カルテシステムが使えなくなり、紙媒体のカルテの運用を余儀なくされるなどの被害が起こっています。
システム障害が発生してから約6週間もかけて、再稼働が可能になりました。計2,000台以上のサーバーや端末が初期化、クリーンインストールされるなどの対処が必要だったとのことです。
自動車メーカーへの不正アクセス
ある自動車メーカーのサーバー機器が不正アクセスを受け、個人情報が外部に流出した可能性があります。アプリケーションサーバーの脆弱性が悪用され、不正アクセスの被害が起こった可能性があるとのことです。
流出した可能性がある個人情報は約10万件にもおよび、ID、パスワード、名前、メールアドレスなどの情報が含まれていました。これらの情報が悪用されると、フィッシングメールやスパムメールなどによる被害を受ける可能性があります。
セキュリティインシデントが発生した場合の対応フロー
日ごろから十分に対策していても、セキュリティインシデントが発生してしまうこともあります。大事なのは、インシデントが発生した際の対応を日ごろから準備しておくことです。そうすることで、万が一インシデントが発生してもすばやく対応でき、被害を最小限に食い止めることが可能です。
ここでは、セキュリティインシデントが発生した場合の対応フローについて、解説します。
①社内での情報共有
不正アクセスなどが発生してアラートが発信された、一部のデバイスの挙動がおかしいなど、インシデントが発生した可能性がある場合、まずは情報共有を行います。
インシデント対応を行う部署に事象を知らせ、そこから社内の全部署に周知を行います。必要な対応を各自が行えるように、社内で情報共有をすることが重要です。
②初動対応
初動対応として、感染源の特定、隔離、影響調査を行います。
マルウェア感染や不正アクセスなどが起こった場合、感染源はどこか、侵入された箇所はどこかなどを特定します。特定できたら、該当の端末やアカウントをネットワークから切り離して、隔離が必要です。この対応をすみやかに行えれば、それ以上被害が拡大することを防ぐことが可能です。
ただし、ほかのデバイスなどに侵入して潜伏している場合もあるので、ほかに侵入した形跡がないかを慎重に調査する必要もあります。
③被害範囲や影響の把握
初動対応が終わったら、被害の範囲や影響を把握します。どこまで侵入されたのか、データを閲覧、変更、削除された形跡がないか、流出していないかなどをアクセスログなどから確認します。
④関係各所への報告
影響調査が終わったら、関係各所へ一次報告を行います。
事象が起きた日時、内容、影響、サービス停止やサーバー停止などはあるのか、復旧見込みはいつかなどをわかる範囲で報告します。とくに、顧客データ流出などの重大インシデントが発生していないかという重要な情報は、すみやかに報告が必要です。
その後も事態が収拾するまで、数時間おきなど定期的に報告を行います。
⑤復旧
事象、原因、侵入ルート、影響範囲などを把握でき次第、復旧を行います。現状を正しく把握できていない状態で、ウイルスの駆除や初期化などを行ってしまうと、データが消えてしまい、後で状況を正しく把握できなくなってしまいます。
やみくもに駆除やデータ消去を行うのではなく、正しく現状を把握しておくことが重要です。
⑥関係各所へのフォロー
顧客や取引先、経営層、協力会社などの関係各所へのフォローは継続的に行います。それぞれの立場で知りたいことを報告書に簡潔にまとめ、定期的に報告していく必要があります。
たとえば、顧客にとってはサービスを継続して受けられるのか、自分の個人情報が流出していないかなどがもっとも気になるでしょう。そのような情報をわかりやすく、結論先行で伝えていく必要があります。
⑦再発防止策の検討
復旧作業や関係各所への連絡など、当面の対処がひととおり完了して事態が収拾したら、再発防止策を検討します。
なぜ、今回のようなインシデントが起きてしまったのかを知るために、情報を収集します。アカウント管理はどのようになされていたのか、不正アクセスはどの経路で行われたのか、脆弱性はなかったかなどの詳細な分析が必要です。その結果、原因を突き止めて対策を講じます。
セキュリティインシデントを防ぐために企業がとるべき対策
セキュリティインシデントを防ぐために、企業が日ごろから対策しておくべきことについて解説します。
インシデント発生時のルールを決めておく
セキュリティインシデントが発生した場合の対応フローでご説明したように、インシデント発生時のルールやフローを決めておく必要があります。
部署ごとの連絡体制や対応フロー、ルールを決めておかないと、インシデントが発生した際に無駄なく的確に動けません。24時間体制で担当者を決めておき、ケースごとに対応内容をマニュアル化し、日ごろから訓練しておく必要もあるでしょう。
OSやソフトウェアを最新の状態に保つ
サイバー攻撃は、OSやソフトウェアに潜む脆弱性をついて行われることが多いです。そのため、OSやソフトウェアをつねに最新の状態に保つ運用が必要です。
情報資産の管理体制を強化する
セキュリティツールを活用する、こまめにデータのバックアップをとる、データを暗号化するなどの情報資産の管理体制の強化も必要です。日ごろから管理体制を強化しておくことで、万が一のことが起きても情報を守れる可能性が高まります。
脆弱性診断を行う
脆弱性をついたサイバー攻撃を防ぐために、定期的に脆弱性診断を行い、自社の脆弱性の状況を把握しておく必要があります。診断で脆弱性が明らかになれば、対策を行うことが可能です。
脆弱性診断についてはこちらもご覧ください。
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ
関連サービスについて
セキュリティ教育を実施する
日ごろから、社員のセキュリティ教育を実施することも重要です。デバイスの紛失やID・パスワードの流出などを防げる可能性が高まるでしょう。
まとめ
この記事では、セキュリティインシデントとは何か、どのような被害を受けるのか、実際の被害事例やインシデントが発生した際の対応フローなどについて解説しました。
セキュリティインシデントの発生を防ぐためには、日ごろから対策しておくことが非常に重要です。
SHIFTでは、企業や組織にあわせたセキュリティ対策導入のお手伝いをいたしますので、お気軽にご相談ください。
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
