2023.02.28
セキュリティインシデントとは?企業にもたらす影響や対策を解説
昨今のIT技術の発展は、あらゆる分野で効率化などの好影響を与えています。しかし、IT技術の発展が与える影響は良いものばかりではなく、マルウェア感染といった脅威も大きなものとなっています。ITを利用するうえで、このような脅威を周知しておくことは重要といえるでしょう。
そこで当記事では、マルウェア感染などを含んだ脅威の総称である「セキュリティインシデント」について解説していきます。セキュリティインシデントを知ることで、ITを使用するうえでの「脅威」について深く理解することができるでしょう。
セキュリティインシデントとは
セキュリティインシデントとは、情報セキュリティー上で脅威として考えられている事象のことです。例えば、マルウェア感染や情報漏えい、悪意ある攻撃などがあります。これらは外的要因と内的要因の2種類に分けることができ、例として以下のようなものがあります。
| 具体例 | |
|---|---|
| 外的要因 | マルウェア感染、不正アクセス、迷惑メール、DoS攻撃 |
| 内的要因 | 情報漏えい、改ざん、USBメモリーの紛失・盗難 |
自社内のネットワークの外側から発生する要因を外的要因、自社内のネットワークの内側から発生する要因および社員の過失などによる要因を内的要因と言います。情報セキュリティーにおいての脅威は、マルウェア感染や不正アクセスなどの外的な要因が取り上げられやすいですが、社員によるUSBメモリーの紛失などの内的な要因も情報セキュリティー上での大きな脅威となるので注意しなくてはいけません。
セキュリティインシデントが企業にもたらす影響
セキュリティインシデントがもし発生してしまうと、内容によっては企業に大きな損害を与える可能性があります。セキュリティインシデントの種類はさまざまなので、与える影響もそれぞれ異なりますが、主に以下のような損害が考えられるでしょう。
【セキュリティインシデントが企業にもたらす影響】
- 企業のネットワークの稼働停止
- 営業活動等の外部運営の中断
- 顧客・社員などの情報流出
- 損害に対する刑事的罰則や訴訟
- 社会的信用の失墜
セキュリティインシデントは外部への影響が大きくなるほど企業の損失は大きなものとなっていきます。サイバー攻撃などの外的要因による被害も自社に甚大な影響を及ぼしますが、社員による情報漏えいなどのような内的要因で損失が発生した際には、さらに社会的信用の失墜にもつながってしまうでしょう。
セキュリティインシデントの種類と事例
セキュリティインシデントには以下3つの種類があります。
【セキュリティインシデントの種類と事例】
- 外部からの脅威
- 内部からの脅威
- 外部サービスや災害による影響
それぞれの詳細を以降で解説していきます。種類ごとに受ける被害が異なるだけでなく、対策方法も異なってくるので、自社で対策を講じる場合には種類に合わせて実施できるように内容を把握しておきましょう。
外部からの脅威
外部からの脅威とは、その名の通りに企業内のネットワークの外側からの攻撃によって受ける脅威のことを指します。直接的に攻撃をしてくるケースもあれば、特定の媒体を通じで間接的に攻撃してくることもあるため、多角的な対策が必要となります。外部からの脅威の具体例として、以下のようなものがあります。
【外部からの脅威の事例】
- マルウェア感染
- デバイスの乗っ取り
- データの改ざん・消去
- サーバーやシステムのダウン
外部からの脅威は悪意ある攻撃がほとんどであるため、被害を受けた場合の損失が大きくなる可能性が高いです。セキュリティーツールの導入やデータの暗号化などで対策を図り、重要情報を守るよう努めなくてはいけません。
内部からの脅威
内部からの脅威とは、企業内もしくは関連会社内の社員など、「身内」が要因で発生する脅威のことです。従業員が悪意をもって情報を流出させたりするケースもあれば、持ち歩いていたUSBメモリーを人為的なミスで紛失してしまったりするケースもあります。以下は内部からの脅威の具体例です。
【内部からの脅威の事例】
- ヒューマンミスによる情報漏えい・紛失
- 悪意ある従業員による情報漏えい(外部企業からのスパイ行為、同業への技術流出など)
- データメモリーの盗難や紛失
- 個人用スマートフォンやパソコンとの連携によるマルウェア感染
内部からの脅威は、悪意ある事例以外は社員の不注意などによるものからです。企業内で情報セキュリティーに対するリテラシーを高めるなど、研修や教育を通して事前に防ぐ必要があります。
他にも、自社独自の専門技術や高度なノウハウを保有している場合には、他社からの誘惑などによる技術情報の漏えいも該当します。こういったケースを防ぐには、重要職への従事者だけがその情報にアクセス・ログインできるようにするなどの工夫が必要となるでしょう。
外部サービスや災害による影響
外部サービスや災害による影響とは、外部サーバーなどのサービスにおける障害や地震などの自然災害による脅威のことです。基本的には自社で予期できない脅威が多いため、発生しうる可能性のある脅威に対して一つずつ対策を講じる必要があります。具体例は以下の通りです。
【外部サービスや災害による影響の事例】
- 外部サービスの不具合によるシステム障害・サーバーダウンなど
- 自然災害による自社ネットワーク内の端末破損・システム障害
どちらも自社で防ぐことができない場合が多いので、発生した際にどのような対策をとるかが重要になってきます。
セキュリティインシデントを起こさないための対策
セキュリティインシデントは、発生すると大きな損失をもたらす可能性があるため、発生させない努力が必要です。以下では、セキュリティインシデントを起こさないための対策を紹介しているので、ぜひ参考にしてみてください。
【セキュリティインシデントを起こさないための対策】
- 情報資産の管理強化
- 業務プロセスの見直し
- 情報セキュリティー体制の整備
- 従業員への教育
これらの対策を講じることで、外部・内部問わずセキュリティインシデントの脅威に備えることができます。
情報資産の管理強化
企業の情報資産、つまりセキュリティインシデントの対象となる情報・データの管理体制を強化します。外部からの侵入を防ぐことも重要ですが、侵入者の最終的な目的地とされている可能性がある情報をしっかりと守ることができれば、被害を最小限に抑えることができるでしょう。
具体的には、データの暗号化を図ったり、社内の人間であっても重要データの閲覧などは権限のある人物でないとできないようにしたりといった対策があります。社内の人間から流出する可能性も充分にあり得ることを踏まえて、しっかりと管理しておくことが重要です。
業務プロセスの見直し
業務プロセスの見直し・改善を行うことで、プロセス内に存在する弱い部分(隙)を排除することができます。サイバー攻撃は業務プロセス内の隙を「脆弱性のある部分」として悪用してくるため、そういった部分を無くすことができれば被害を抑えられるでしょう。
業務プロセスにおける「隙」とは、主に以下のようなケースを指します。
- ログイン情報を使いまわしている
- USBメモリーを経由した重要情報の移動
- 外部でのPCの使用
- 外部で公共サービスとして整備されているインターネット・Wi-Fiの使用許可
重要情報を扱う企業ほど、業務プロセス内の管理を強化しないといけないため、上記のようなケースが発生しないように努めなくてはいけません。
情報セキュリティー体制の整備
情報セキュリティー体制には、セキュリティーシステムを導入して備えるケースもあれば、セキュリティー対策チームや専門部門を整備している企業もあります。専門の人材が企業内に常駐していれば、セキュリティインシデントによる被害に備えることができるだけでなく、仮に被害を受けた際の損害を抑えることもできるでしょう。
対策チームや専門部門を組む場合は、組織内でどういった動きをとるべきかを明確にしておくことが重要です。迅速に対応できるような体制が整っていれば、対外的にも情報セキュリティーに関するアピールを行うことができます。
従業員の教育
セキュリティインシデントは内部からの脅威も考えられるため、不本意な被害を出さないためにも従業員の教育は徹底しなくてはいけません。不審なメールは開かない、情報が流出する可能性がある行動(USBメモリーの使用を控えるなど)はとらない、といったように情報セキュリティーに関する従業員のリテラシーを高めることが重要です。
具体的な方法としては、重要情報を扱う可能性がある従業員を対象に研修を開いたり、迷惑メールなどが発生した際にどうするべきかを気軽に質問できる部門を設けたりすることが挙げられます。自社の従業員の行動が原因で情報漏えいが発生してしまうと対外的な信用が大きく低下するので、自社で実践できる対策はきっちりと取り組んでおくようにしましょう。
セキュリティインシデントが発生した場合
セキュリティインシデントが発生した場合、被害の度合いによってその後の対応が変わってきます。例えば、被害想定が大きい場合は、被害に応じた迅速な対応をしなくてはいけません。逆に被害がほとんど無い場合は、必要な範囲内での対応に収めないと、企業全体が巻き込まれて業務遂行のスピードを落としてしまう可能性があるでしょう。
そこで以下では、「セキュリティインシデントの報告基準」と「セキュリティインシデントが発生した場合の対応」について解説します。セキュリティインシデントの規模や種類に応じて最適な行動がとれるように、しっかりと内容を確認しておきましょう。
セキュリティインシデントの報告基準
本章に掲げた「報告基準」の意味とは、セキュリティインシデントの被害の度合いのことを指します。被害が大きければ企業全体での対応をしなくてはいけませんが、小さい場合には特定の部門の対応のみで済む場合もあります。以下で示す報告基準がわかれば被害の大小をきっちりと分類できるため、対応する際の行動内容を明確にすることが可能となるでしょう。
【セキュリティインシデントの報告基準】
- 被害度小:攻撃を受けている、もしくは社内によるセキュリティインシデントが発生したが、外部機関や企業内における被害がない、など。
- 被害度中:攻撃を受けている、もしくは社内によるセキュリティインシデントが発生したが、企業内における被害は軽微。第三者機関への影響はほとんどない、など。
- 被害度大:情報セキュリティーの運用上、大きな影響を与える可能性が高い。標的型攻撃や高度サイバー攻撃を受け、個人情報や重要情報の漏えいが発生している、など。
- 被害度特大:自社内における大きな被害だけでなく、外部機関への被害が重大かつ拡大し続ける可能性がある。「被害度大」レベルの攻撃を受け続けており、かつその被害に対する深刻度が重く、被害に対する社会的影響度が高くなってしまっている、など。
被害の大小に応じて、対応の範囲を広げていくようにしましょう。
セキュリティインシデントが発生した場合の対応
セキュリティインシデントが発生した場合、先に説明した被害の度合いによって各方面への報告が必要となります。それ以外にも、セキュリティインシデント自体への対処(ウイルス削除、迷惑メール対策、特定の重要情報の保護など)も求められます。
企業内で対処できることはしっかりと対処しつつ、第三者機関を巻きこんでしまうレベルの被害まで拡大した場合は、関係する企業の代表者や責任者を集めて今後の対応について説明・協議しなくてはいけません。また、個人情報が流出してしまった場合には、個人情報保護委員会が提示する「特定個人情報の漏えい等事案が発生した場合の対応について」を参考に適切な対応をしましょう。
まとめ
セキュリティインシデントとは、情報セキュリティー上において脅威として考えられている事象のことです。セキュリティインシデントの種類には、マルウェア感染やサイバー攻撃のような外部からの脅威もあれば、自社の従業員によるデータ紛失・盗難といった内部からの脅威もあります。また、他にも自然災害などによる企業ネットワーク内の機器破損もあります。対策を講じる場合には、それぞれの脅威について深く理解しておくことが重要です。
仮にセキュリティインシデントが発生してしまった場合には、被害の度合いを迅速に把握して、それに合わせて対応・対処を行ないます。また、個人情報が流出してしまった場合には、個人情報保護委員会が提示する「特定個人情報の漏えい等事案が発生した場合の対応について」を参考にしながら対応するようにしましょう。
【関連コンテンツ】
