セキュリティインシデントとは? 対応・対策・種類などをわかりやすく解説
セキュリティインシデントは、企業に大きな損害を与える問題です。セキュリティインシデントの種類や発生要因、引き起こされる問題などを踏まえて、効果的な対策をとらなければなりません。
本記事では、セキュリティインシデントの具体例や起こりやすいシーン、対策などについて詳しく解説しています。セキュリティインシデントを起こさないために何をすべきなのか、あらためて考えていきましょう。
セキュリティインシデントとは情報漏洩などの情報セキュリティ上の事故のこと
セキュリティインシデントとは、企業や組織が保有する情報資産の漏洩や消失といった、情報セキュリティ上の事故のことです。外部からの不正アクセスによって情報漏洩が起こったり、顧客情報の入ったUSBメモリを紛失したりといったトラブルは、すべてセキュリティインシデントです。
情報資産の流出によって具体的な被害が起こった、金銭を要求されたといった状態にならなくても、流出が起こった可能性がある、紛失して悪用される可能性があるとなった時点で、セキュリティインシデントに該当します。
サイバー犯罪の手口が多様化している昨今、セキュリティインシデントが深刻な被害をもたらすことも多くあります。社内の関係者による情報流出でも、多額の損害賠償問題に発展してしまうケースも少なくありません。企業規模を問わず、外部または社内の要因で大きな損害をもたらすセキュリティインシデントが発生していることから、すべての企業にとって対策が急務だといえるでしょう。
セキュリティインシデントの発生要因
セキュリティインシデントの発生要因は多岐にわたりますが、大別すると下記のように外部要因と内部要因に分けて考えることができます。詳しくは後述しますが、それぞれの具体的な要因を知り、対策をとることが重要です。
外部要因
外部要因とは、社外からの攻撃によって起こるセキュリティインシデントです。ウイルス感染や不正アクセスなどが代表的な例となります。
内部要因
内部要因は、社内の人間の行動が原因で起こるセキュリティインシデントです。メールの誤送信といったヒューマンエラーのほか、悪意を持って故意に他社へ情報を流出させるようなセキュリティインシデントもあります。
セキュリティインシデントにより企業に生じる損害
企業にとってのセキュリティインシデントによる最大の問題点は、多くの損害が生じることです。想定される損害としては、下記のようなものがあります。
原因究明などにコストが必要になる
セキュリティインシデントが発生すると、システム復旧や原因の解明に多くのコストがかかります。セキュリティインシデントを起こした後の対応は、企業の信頼や将来に関わる問題であるため、コストをかけてでも十分な対応をしなければなりません。
業務が停止する可能性がある
セキュリティインシデントによって、業務に必要なデータが失われる、あるいは使用できなくなるという事態が発生することもあります。そうなると、通常業務を継続できません。そのあいだに得られたはずの売上が獲得できなくなるなど、大きな損失が出る可能性があります。
企業イメージが悪化する
セキュリティインシデントを起こすと、企業イメージの悪化は避けられないでしょう。取引先などから「情報漏洩対策や不正アクセス対策などを十分に行っておらず、情報を安心して預けられない企業である」と思われるようなことにもなりかねません。顧客が離れてしまい、売上の減少や業績悪化に陥る可能性があります。
損害賠償問題に発展する可能性もある
セキュリティインシデントによって個人情報などが流出した場合、慰謝料を支払わなければなりません。さらに、その個人情報が悪用されて損害が発生してしまった場合は、損害賠償の金額は増加します。流出した情報の内容や件数によっては、多額の損害賠償問題に発展するおそれもあるのです。
外部要因によるセキュリティインシデントの種類
セキュリティインシデントを起こす外部要因は、年々多様化しています。適切な対策をとるために、下記の7種類のパターンがあることを押さえておきましょう。
マルウェア感染
マルウェアとは、コンピューターウイルスやトロイの木馬のように、パソコン本体やシステムに対して攻撃を行う悪意のあるソフトウェアです。例えば、近年問題視されている「Emotet(エモテット)」は、機密情報を盗むだけでなく、取引先にも勝手にメールを送ってマルウェア感染を拡大させます。自社の被害だけでなく、取引先にも多大な損害を与えかねない危険な存在です。
迷惑メール
セキュリティインシデントを引き起こす迷惑メールとは、情報を奪ったりパソコンにトラブルを発生させたりすることを目的に送られてくる悪意あるメールです。迷惑メールの添付ファイルを開いたり、記載されているURLにアクセスしたりすると、マルウェアに感染する危険性があります。
また、偽の銀行サイトやクレジットカードサイトなどを装い、ログインIDとパスワードを入力させて情報を盗もうとする迷惑メールもあります。
不正アクセス
本来の手段以外の不正な方法によって情報にアクセスされてしまうのが、不正アクセスと呼ばれるセキュリティインシデントです。不正アクセスは、主に下記のような原因で発生します。
- 主な不正アクセスの原因
-
- ID・パスワードの漏洩
- ログインした状態で放置されたパソコンの不正利用
- ログイン情報が保存された端末の不正利用
- システムやソフトウェアの脆弱性を突いた侵入
不正アクセスは情報漏洩のほか、データ改ざんや悪意ある虚偽の情報を発信されるリスクなどもある、危険なセキュリティインシデントです。
DoS・DDoS攻撃
DoS攻撃(Denial of Service attack)とは、特定のサイトやサーバーに故意に大量のデータを送信し、サーバーダウンさせる攻撃方法です。多数のコンピューターからデータを同時送信する場合は、DDoS攻撃(Distributed Denial of Service attack)と呼びます。
どちらも、一時的にシステムを使えないようにする目的で行われる、悪意ある攻撃です。
記録媒体などの盗難
ノートパソコンやUSBメモリ、記録メディアなどの紛失、盗難もセキュリティインシデントに該当します。ヒューマンエラーによる紛失は内部要因に分類されますが、出入り業者などが記録媒体を盗んで売却するようなケースは外部要因のセキュリティインシデントとなり、実際にそのような事案が発生した例もあります。
自然災害による自社設備の故障
自然災害によるパソコンやサーバーなどのトラブルも、セキュリティインシデントの一種です。ローカルに保存されていたデータが消失し、復旧が困難になることもあります。
外部サービスの停止
業務に使用している外部サービスが停止すると、データの消失や業務の停止といった問題が起こります。これもセキュリティインシデントです。
データの安全を考えてクラウド保存していたとしても、そのクラウドサービス自体にトラブルが起これば、データが消失して復旧できなくなるおそれがあります。
内部要因によるセキュリティインシデントの種類
セキュリティインシデントは、外部要因だけでなく内部要因によって引き起こされることもあります。対策をとる上では、外部要因と内部要因の両方を意識しておく必要があるでしょう。内部要因によるセキュリティインシデントとしては、下記のようなものが代表例です。
不正アクセス
内部要因による不正アクセスには、権限を持たない従業員が上司のパソコンを操作して情報にアクセスしたり、IDとパスワードを盗み見て悪用したりする行為が該当します
不正アクセスというと、外部からの攻撃を思い浮かべる人が多いかもしれません。しかし、本来の目的以外の理由による情報へのアクセスは、すべて不正アクセスに該当します。
メールの誤送信
取引先などに送信するはずのメールを他者に送ってしまうのも、セキュリティインシデントです。悪意を持って行ったことではなくても情報セキュリティ上の事故になるため、誤送信した先だけでなく、情報を漏洩させてしまった本来の送り先にも報告と謝罪をしなければなりません。
メールのやりとりは、日常業務の中で当たり前に行われる行為です。他社や顧客の機密情報をやりとりすることもあるでしょう。誤送信が起こると、重要な情報が漏洩したことになってしまいます。
また、郵送物やファックスの送り先を誤ってしまうことも、メールの誤送信と同種のセキュリティインシデントとなります。
記録媒体などの紛失
記録媒体などの盗難は外部要因によるセキュリティインシデントですが、電車の網棚やカフェなどへの置き忘れ、落とし物といった従業員の過失による紛失は、内部要因によるセキュリティインシデントです。
ノートパソコンやUSBメモリなどの紛失は、発生しやすいセキュリティインシデントの1つです。紛失した後の行方がわからず、悪用されたかどうかも不明という状況であっても、情報が自社の管理下を離れた時点でセキュリティインシデント発生とみなされます。
セキュリティインシデントへの対策
セキュリティインシデントをできる限り防ぎ、被害を最小限にするためには、日頃の対策が重要です。続いては、企業の情報資産と信頼を守るためにとっておくべき4つの対策を紹介します。
社内のIT資産・情報資産の調査・把握
情報資産を守るためには、まず、守るべき資産を把握しなければなりません。パソコンを代表とするIT資産や、データなどの形で保存されている情報資産がどのような状況にあるのかを確認することが必要です。情報にアクセスできる機器とその使用者、情報ごとにアクセスできる人物のリスト化を進めてください。
ただし、私物の端末を企業が管理することはできません。社内システムに私物のパソコンやスマートフォンなどからアクセスしている事例があった場合は理由を確認し、やむをえない事情がなければ禁止したほうがいいでしょう。
IT資産や情報資産について詳しくは、下記の記事をご参照ください。
セキュリティ体制の整備
企業内に情報セキュリティ担当者を配備し、セキュリティ対策の整備を進めることも必要です。
具体的には、「USBメモリなど紛失リスクの高い媒体の使用制限」「離席時の画面ロックのルール化」「管理の難しい紙ベースでの情報管理をやめてデジタル化する」といった対策などで、セキュリティインシデントの原因となりそうな部分をルールでふさいでいきます。自社に合ったルールを策定してください。
同時に、セキュリティインシデント発生時の対応方法について策定しておくことも重要です。万一の際にスピーディーな対応がとれるよう、誰が、いつ、何をするのかを明確にしておきます。
従業員教育
セキュリティインシデントは、外部要因、内部要因ともに、従業員教育である程度は防げます。セキュリティインシデントのリスクや、何に気をつけるべきなのかを伝えましょう。
不審なメールが届いた際の対応方法や、記録媒体などを社外に持ち出す際に気をつけるべきこと、実際にセキュリティインシデントが起こりうるシーンの解説などを行います。迷惑メールを模したメールをテスト送信し、開封してしまった従業員に対して教育を行うといった対策も効果的です。
使用するネットワークやソフトウェアの安全性向上
セキュリティソフトの導入やソフトウェアのアップデート、ログ監視ツールの導入などを行い、日頃使用しているネットワークやソフトウェアのセキュリティ性を高めることも重要です。
なお、業務上のデータは、常に自動でバックアップがとれるようにしておきます。すべてのデータにバックアップがあれば、業務用データにアクセスできなくなった際にも、業務を止めずに対応できます。
ツール導入を含めた体制の整備でセキュリティインシデントを防ごう
セキュリティインシデントを防ぐためには、従業員一人ひとりの意識を高めると共に、万一の事態が起こりにくい体制を整えることが大切です。セキュリティインシデントが起こりにくい社内ルールを策定し、情報漏洩防止に役立つツールの導入も検討しましょう。
外部要因によるセキュリティインシデントにはセキュリティソフトの導入が有効な対策となりますが、内部要因によるセキュリティインシデント対策には、情報漏洩対策ツール「MaLion」シリーズが効果的です。「MaLion」シリーズでは、送受信メールや共有フォルダーへのアクセス、社用パソコンへの外部メディア接続など、情報漏洩の原因となる様々な行為の監視や操作制御が可能です。レポートの出力もでき、IT資産管理にも対応できるようになります。
