情報セキュリティインシデントは企業にとって非常に大きなリスクであり、発生しないために注力することが望ましいのですが、インシデントの発生を未然に防ぐことは難しい状況となってきています。
今回のブログでは、セキュリティインシデントが発生する理由や具体例、セキュリティインシデントを防ぐ対策、発生してしまった場合の対処法について解説します。
情報のセキュリティインシデントとは?
情報のセキュリティインシデントは、情報システムやネットワークにおいて、機密性、完全性、可用性などのセキュリティ要素が侵害された状況を指します。インシデントの影響を最小限に抑えるためには、素早く問題を発見できるよう日ごろから適切な監視体制を確立しておく、インシデント発生時のフローを確立しておく、などの対策が必要です。
情報セキュリティインシデントが発生する理由と具体的な例
そもそも情報セキュリティインシデントはどのような要因で発生するのでしょうか。外部からの攻撃など外的要因によって発生するケースと、従業員による情報取り扱いミスなど内的要因によって発生するケースがあります。
外的要因
外的要因によって発生する例としては、以下のようなケースがあげられます。
- 迷惑メール
- 不正アクセス
- DoS・DDoS攻撃
- マルウェア感染
- なりすまし
- 災害
迷惑メール
迷惑メールは、不特定多数のユーザーに送信されるスパムメールの一種です。メール内に不正なURLやマルウェアファイルが添付されていたりします。迷惑メールは悪意のある第三者によって送信され、データ・URLをクリックすることでパソコンがウイルスに感染し、重要なデータを盗まれたり、乗っ取り被害に遭ったりします。
不正アクセス
不正アクセスは、外部の攻撃者がシステムやネットワークに侵入し、機密情報やリソースにアクセスすることです。攻撃者は、パスワードの推測、辞書攻撃、ソーシャルエンジニアリング、フィッシングなどの手法を使用して不正アクセスを試みます。情報を収集されるだけでなく、データを消去したり改ざんされたりすることもあり非常に危険です。
DoS・DDoS攻撃
DoS(Denial of Service)攻撃は、攻撃者がターゲットのシステムやネットワークに対して、リソースを過剰に消費させることで、サービス提供を妨害する攻撃手法のことです。ユーザーがアクセスできないほど大きな負荷をかけることが目的の攻撃です。マルウェアで同時に複数のコンピュータを乗っ取るDDoS(Distributed Denial of Service)攻撃もあります。複数の攻撃者が複数のコンピュータやネットワークを使用して、ターゲットに対して同時に大量のトラフィックを送信するため、防ぐことが難しい場合もあります。
マルウェア感染
マルウェア感染は、外部からの攻撃によって引き起こされることが多いセキュリティインシデントです。悪意のあるソフトウェアやプログラムの形態を指し、コンピュータシステムやネットワークに侵入し、機密情報を盗み出したり、システムを破壊したりします。
なりすまし
悪意を持った他人がなりすます事例です。アカウントなどを盗み出し、管理者として情報を改竄したり収集したり、乗っ取ったりします。また、なりすましからマルウェアウィルスを感染させるなど、他の手法と組み合わせる事例もあります。
災害
地震、洪水、台風などの自然災害によって施設やインフラが破壊され、通信障害が発生することもあります。多数のデータを保管している場所が自然災害によって破損してしまう場合があるため、注意が必要です。データのバックアップを別の遠隔地に設けておいたり、データを分散させておいたりするなど、被害を最小限に抑える工夫を施しておきましょう。
内的要因
内的要因は、企業内部でセキュリティインシデントを引き起こすことを指します。一例として以下のようなケースがあります。
- デバイス紛失
- データの破損
デバイス紛失
組織内の従業員や関係者が所有するデバイス(スマートフォン、ノートパソコン、USBドライブなど)を紛失することで発生するセキュリティインシデントです。デバイスの紛失によって、組織の機密情報や個人情報が外部に漏洩する可能性を高めるため、注意しなければなりません。紛失したデバイスにパスワードや暗号化などのセキュリティ対策が施されていない場合、不正アクセスや情報の不正利用の被害に発展する場合があります。
データ破損
ハードウェアの故障や物理的な損傷、ソフトウェアのバグやエラーデータベースの障害、クラッシュによりデータが破損することで、情報が紛失してしまうこともあります。悪質な他社に情報を利用されることはありませんが、これまでに蓄積された情報が完全に利用できなくなるため、注意が必要です。
情報のセキュリティインシデントを防ぐ対策
それでは、情報のセキュリティインシデントを防ぐにはどのように対策を行えば良いのでしょうか。
セキュリティ体制を強化する
まずは、セキュリティ体制を強化することが大切です。社内のセキュリティポリシーを策定したり、従業員への周知を徹底したりといった人的対策と、アクセス制御の強化(パスワードポリシー、二要素認証の導入)、ネットワークセキュリティの強化(ファイアウォール、侵入検知システムの導入)といったシステム面での対策と、両方実施することで体制強化が図れるでしょう。
社員のリテラシーを高める
社員に対して定期的なセキュリティ教育を実施することもインシデントを防ぐ上で重要です。標的型攻撃メール訓練を実施する、フィッシング詐欺やマルウェアなどのセキュリティリスクについての事例を共有する、などの取り組みがあげられます。社員の警戒心を高めることで、インシデントに繋がるような事象が発生した場合にも、素早く的確に対処することができるようになります。
ソフトウェアのアップデートを怠らない
ソフトウェアは定期的にアップデートされますが、欠かさず行うことで強固な状態を維持することができます。
社内の情報を把握・管理する
情報を誰もがアクセスできる状態にしておくことで、セキュリティインシデントが発生するリスクが大幅に上がります。そのため、社内の重要な情報にアクセスできる人を制限し、必要な権限を持つ人のみが情報にアクセスできるようにしておくことで、問題が発生するリスクを削減できるでしょう。社員には強力なパスワードを設定することを周知し、定期的なパスワード変更を求めることが効果的です。そして、情報を共有する際には必ずアクセス権限を付与して送付することを心がけるようにしましょう。
情報セキュリティインシデントが発生した後の対処法
万が一情報セキュリティインシデントが発生してしまった場合は、どのように対処すれば良いでしょうか。
セキュリティインシデントの報告を受ける
まずは、インシデントの発生を速やかに関係者に報告できる状況を作っておくことが大切です。日ごろから報告を受けられる体制を整え・周知しておくことで、いざインシデントが発生した時にも素早く対処できます。
問題が発生した時のトラブルシューティングについても事前に確認しておきましょう。セキュリティインシデントが発生したかもしれないと感じた場合に相談できる外部委託先を設けておくとなお良いでしょう。
素早く対処する
本当にインシデントが発生したのかを確認し、発生していたのなら社内の関係各所に通知しましょう。被害が拡大してしまってからでは手遅れになることがあるため、素早く対策を講じる必要があることを理解しておきましょう。
状況や原因を調査する
再度同じ問題で事故が発生しないよう、インシデントの発生原因を確認しなければなりません。事故調査に関しては専門的な知識が必要ですので外部に委託して実施するのがよいでしょう。
関係各所へ報告する
原因がわかり次第、インシデントの詳細な情報を収集し、関係者に提供しましょう。被害がサービスのユーザーにも及んでいる場合には、マスコミを通じて公表しなければならないケースも考えられます。関係各所に対して、謝罪と今後の対処法を適宜報告します。インシデントが解決しない場合や問題の原因究明ができない場合にはその旨も伝え、サービスを一時停止することも視野に入れなければなりません。
復旧作業を行う
インシデントにより発生した被害が拡大しないことを把握してから、復旧作業へ進みます。被害が拡大し、他の会社に迷惑をかけた場合には専用の窓口を設けるなどの対策も必要となるでしょう。信頼を取り戻すための取り組みに注力することが求められます。
再発防止策を検討する
最後に調査報告書を作成します。今後インシデントを発生させないためには、根本となる問題を改善する必要があります。再発防止策についても検討し、報告書に記載します。
まとめ
今回は、セキュリティインシデントが発生する理由や具体例、セキュリティインシデントを防ぐ対策、発生してしまった場合の対処法について解説しました。自社のみで対策を進めることが難しい場合には専門ベンダーへのご相談を検討いただくのもよいでしょう。
「Proactive Defense」ならセキュリティ対策と予防から事故対応まで、一気通貫でお任せいただけますので是非一度サービス詳細をご覧ください。
