コラム

  • 2021.07.14
  • セキュリティ
  • #インシデント
  • #オンプレミス
  • #クラウド

セキュリティインシデントとは 対策が必要な理由と種類。事前と、事後の対策、具体例を解説

セキュリティインシデントとは

セキュリティインシデントとは、セキュリティにおける事件や事故のことを指します。サイバー攻撃の手口は日々進化しており、今日では第三者による不正アクセスなどの事件を耳にする機会も増えました。また、パソコンや記録媒体の紛失による情報の消失、盗難など多岐にわたっておきる事故も後を絶ちません。このようなセキュリティインシデントは、決して他人事ではないという認識をもつことがまず大切です。

以下は、プライバシーマークを取得した企業から報告があったインシデント件数についての調査結果です。この調査からセキュリティインシデントがいかに身近なものかを理解することができます。

一般社団法人日本情報経済社会推進協会「2019年度「個人情報の取扱いにおける事故報告集計結果」
https://privacymark.jp/system/reference/pdf/2019JikoHoukoku_201109.pdf

調査では、「2019年度は、985の付与事業者より2,543件の事故報告があり、報告事業者数、事故報告件数ともに2018年度に比べ微増」となったこと(2018年度:事業者数912社、事故報告件数2,323件)、「2019年度末時点の付与事業者数に占める事故報告事業者の割合は6.0%」で、2018年度に比べ5.6%微増」と報告されています。このことから、個人情報が漏洩するセキュリティインシデントが一定数発生しているということがおわかりいただけるかと思います。

セキュリティ対策が必要な理由

今日、情報技術は私たちの生活や社会インフラに深く関わっており、水や空気のようになくてはならない存在になっています。視点を変えると、私たちの生活や社会は情報技術に大きく依存をしているということもできます。
そして、この依存によって私たちの生活は多くのリスクと表裏一体にあるといえます。
例えば、機密情報の多くは電子化をされていますが、それらが消失したり流出したりすれば大混乱が必至になることは容易に想像できるかと思います。ましてや人間の命と密接に関連する社会インフラでセキュリティインシデントが発生すれば最悪の場合、人命が失われるということも考えられます。
以上のほかにも、天災でサーバーが壊れる、ネットワークがダウンするなどが原因で資産が失われることもあります。いずれにしても、私たちの生活や社会が多くの情報技術によって成り立っている以上、セキュリティ対策を実行し、こういった事故や事件を未然に防ぐことは必須です。

セキュリティインシデントの種類

セキュリティインシデントのイメージ

セキュリティインシデントにはどのようなものがあるのでしょうか。ここでは主な例をいくつかご紹介します。

1.第三者からの不正アクセス

ID・パスワードの漏えいや、サーバーなどの脆弱性から、自社のネットワークやサーバーに不正にアクセスされるケースです。不正アクセスが起こると、顧客情報の流出や自社の Web サイトの改ざんといった被害が発生します。

2.コンピュータウイルスへの感染

メールやWeb経由でウイルスに感染し、情報漏洩が発生するケースです。機密情報の漏洩や破損が起こる可能性があります。顧客情報の流出は自社の信用問題にも関わります。

3.アカウントのなりすまし

自社で管理しているアカウントの ID やパスワードが盗まれ、第三者にログインされるケースです。このケースでは、アカウントを不正利用して自社の社員になりすまされる、外部にウイルスを送りつけられるといった問題が発生します。

4.DoS・DDoS などのサイバー攻撃

DoS・DDoS とは、大量のデータを送信して負荷をかけ、サーバーダウンなどの被害を与えるサイバー攻撃です。複数の人間が同時にデータを送り付けるような古典的な方法から、マルウェアで複数のパソコンを操作して攻撃するパターンもあります。

5.フィッシング攻撃

迷惑メールを送り、情報の抜き出しやウイルス感染を狙うセキュリティインシデントがフィッシング攻撃です。フィッシングサイトの URL を本文に掲載したものや、ウイルスを感染させるファイルを添付したものなど、さまざまな手口があります。

6.マルウェア感染

マルウェアとはコンピュータに感染する悪意のあるソフトウェアの総称のことです。マルウェアがコンピュータに感染すると、コンピュータは不正な動作を行い、内部にある情報を外部へ流出させたり、ほかのコンピュータへと感染を拡大させたりするなど、さまざまな悪意のある動作を行います。

7.天災によるセキュリティ設備故障

落雷や地震などの天災によるセキュリティ設備の故障も情報セキュリティインシデントに含まれます。重要なデータは複数の遠隔地にもバックアップを取るなどの対策が必要です。

セキュリティインシデントの事前対策

リリースされたソフトウェアにセキュリティインシデントが発生した場合の対策として、事前にインシデント発生時のルールを定めておく必要があります。インシデントを検知する方法は主に3つありますので、ここではそれぞれのケースでの対策についてご紹介します。

自組織内にて検知する

保守作業中や、監視システムにより異常を検知する方法です。定期的または不定期に行われる保守作業において、侵入や改ざんの痕跡を調べるといったインシデント検知に必要なチェック項目とチェック方法をあらかじめ明確にしておくことが事前対策のポイントです。
ネットワークやシステムを早急に復旧させるために、専門的な知識と技術をもつ人材を中心に復旧チームを編成しておき、いざというときにスピーディーに対応できるよう、体制を整えておくことが重要です。

外部からの通報にて検知する

外部からの通報によってインシデントの発生を検知する方法もあります。外部からの通報は主にJPCERT、NISC、IPAといった情報セキュリティ機関から通報が入ります。
外部からのインシデントに関する何らかの問合せを受ける場合に備えて、電話番号やメールアドレスなどの連絡手段をウェブサイトに必ず事前に公開しておきます。なお、インターネット窓口についてはインシデントに関連して不通になった場合に備えて冗長化しておくことが推奨されます。

内部からの通報にて検知する

インシデントに関する通報は社員からの通報で検知する場合もあります。通報の内容を確認して適切に判断できる担当者を設けておくなど指揮系統や連絡方法を明確にし、どの社員が何をするのか、役割と配置を事前に考えておく必要があります。
そのほか、セキュリティインシデントはネットワークやソフトウェアへの被害だけではなく、敷地への侵入や盗難、天災などでも起こりえます。サーバールームに入室制限をかける、個人情報が書かれた書類はシュレッダーをかけるなどの対策も実施する必要があります。
サーバーや機材の防災対策を徹底しつつ、万が一、災害でサーバーが破損したときの対応も把握しておくこともおすすめします。

CSIRT

セキュリティインシデントが起きた場合の対応を円滑・確実に行うための枠組みとして、CSIRTを活用することが有効です。CSIRT(シーサート)「Computer Security Incident Response Team」とは、「コンピュータのセキュリティインシデントへの対応チーム」のことです。CSIRTがない場合とある場合を比較しながらご説明します。
CSIRTがない場合、インシデントが発生した場合の対応は担当者や部署ごとで行うことが想定されます。また、外部からの連絡窓口も一本化されていないため、適切なエスカレーションが行われない可能性があります。結果、情報が分散してしまい、経営層まで情報が共有されないということが起こりえます。CSIRTがある場合、インシデントに関する情報を一元管理して、外部に対しても信頼性のある統一された窓口として機能することが期待されます。それが結果的に、適切に経営層まで情報共有されることにもつながります。また、CSIRTを構築することで、正しいインシデント対応ができる組織となり、指示系統の迅速化や正確性の向上といった効果がえられます。もちろん、CSIRTを構築するだけではなく、いかに正常に機能するようにするかといったことも忘れないようにする必要はあります。

セキュリティインシデントが起きた場合の対応

セキュリティインシデント発生のイメージ

セキュリティインシデントが発生してしまったら事前に定めたインシデント発生時のルールに則り対応を進めていく必要があります。だステップを考えていない方、すでに定めたステップを再考したい方などのために、ここでは対応のステップを簡単に紹介しておきます。

1.インシデントの発見・報告

セキュリティインシデントは発見し次第、すぐに責任者と情報共有して対策を取ることで、被害を最小限に抑えられます。緊急ダイヤルなどを設け、周知徹底させましょう。

2.ネットワークの遮断

例えばマルウェア感染のセキュリティインシデントの場合、被害が広がらないようにネットワークを遮断します。サーバーを停止し、有線 LAN につながっているパソコンは、速やかにケーブルを抜きましょう。各自が事前に割り振られた対応ができるよう、定期的なセキュリティ教育を実施しておくことが望ましいでしょう。

3.状況確認

状況確認や分析は、ネットワークを遮断した後に行います。いつインシデントが起きたのか、改ざんされたデータはないかなど、ログを見ながら分析します。事件に関係するエビデンスも集めます。

4.復旧作業

復旧作業は、安全を確認し終えてから作業します。その際、すべてのユーザーのパスワードを変更しておくと安心です。顧客からの信用を失わないためには、なるべく早く復旧し、通常通りの活動を再開しなければなりません。

5.再発防止対策

社内で報告会などを開催して、セキュリティインシデントに関する情報や分析結果を共有し、再発防止に努めます。また、社内でのセキュリティ教育やポリシーの見直しなども行います。

6.社外への報告

インシデントによる影響が顧客や取引先にもおよぶ場合には、顧客や取引先へ状況を報告します。どのような被害があったのか、なぜインシデントが起こったのか、これからの対策はどうするのか、被害に対する補償などを説明し、企業の信用を落とさないようにします。

セキュリティインシデントの事例と対策例

最後に、実際のセキュリティインシデント事例と対策例をご紹介します。

在宅勤務環境にてSNS経由で不正アクセスがあった事例(機械メーカー、2020年8月)

事例を詳細に紹介している記事はこちらから
https://scan.netsecurity.ne.jp/article/2020/08/14/44439.html

在宅勤務時に社有PCがコンピュータウイルスに感染し、そのPCを社内ネットワークに接続したところ、感染が広がってしまったというセキュリティインシデントです。インシデント対応の顛末が細かく公開されています。記事には「不正アクセスのあった機器をネットワークから遮断する等の初動対策を実施した後、通信ログ等の解析を開始」とあり、5月21日に検知、その翌日までに初動対応として具体的な日付で報告されています。取り急ぎやるべきことを速やかに終わらせており、とてもよいセキュリティインシデント対応の事例だといえます。
セキュリティインシデントが発生してしまった場合に、優先順位の高いものから速やかに対応することで、被害の局所化や機能の早期回復が期待できます。このような初動対応をトリアージともよびますが、今回そのトリアージがうまくいったので、その後の本格対応も粛々と行われ、被害も最小限に抑えられたようです。
また、記事にはVPN接続によるリモート環境からのアクセスのセキュリティ対策や、ローカル特権パスワードの変更によるウイルス感染時の影響の範囲の拡大防止対策(多層防御)といったことも紹介されていますので、気になる方はご確認ください。

従業員のアカウントが不正アクセスを受けた事例(電機メーカー、2021年3月)

事例を詳細に紹介している記事はこちらから
https://scan.netsecurity.ne.jp/article/2021/03/30/45426.html

クラウドサービスへの通常と異なるアクセスを認識し、当該アクセスを遮断するなどの対策を実施、不正アクセスのあった情報とその内容や原因調査を行っているなかで国内取引先情報の一部が外部流出していることが確認されました。
不正アクセスの経緯として、クラウド監視システムが通常とは異なるアクセスを検知したため、直ちに不正アクセスを遮断。その後、情報の一部が外部へ流出したことを速やかに公表し、被害者に対して個別に報告するなどの対応を行ったということです。検知から公表に至るまで短期間で行われているため、インシデント対応の原則に従った事例であるといえます。

この事例では、不正アクセスの判明事項として、中国にある子会社への不正アクセスをきっかけに、クラウドサービスのアカウント情報を窃取されたことが原因とされています。また、今回のインシデントがマルウェアや脆弱性を悪用した攻撃ではなかったため、過去にさかのぼって多くのログを確認する必要があり、結果として調査に4ヶ月もの時間がかかったようです。

この事例のポイントはマルウェアや脆弱性がなくてもアカウント情報が窃取されるという点です。代表的な手口として、フィッシング攻撃があげられます。クラウドのアカウント情報を窃取する場合は、クラウドサービスのパスワード変更を促すメールなどをきっかけに、ユーザーに対してアカウント情報を入力させます。パスワード変更の画面は攻撃者によって準備された罠ページであるため、入力したアカウント情報は攻撃者に送信されてしまいます。システムに脆弱性はないものの、人の弱さを狙った攻撃手法といえます。

まとめ

以上、セキュリティインシデントの概要や種類、対策について紹介させていただきました。
日々進化する高度な情報化社会において、セキュリティインシデントのリスクを完全に撲滅することは極めて難しいですが、事前準備がしっかりしていれば最小限の被害に食い止め早期に企業活動を再開することが可能です。
皆さんも万が一に備え、セキュリティインシデントの対策を進めてみませんか。

関連サービス