企業が抱えるサイバーリスクは日々増加しています。従業員による情報漏えいからマルウェアなどを用いたサイバー攻撃まで、さまざまなインシデント(事故)に備えて対策しなければなりません。
情報セキュリティインシデントについて知り、被害を未然に防ぐ対処法を学びましょう。
1.情報セキュリティインシデントとは
情報セキュリティインシデントとは、会社の情報管理について、重大な被害に進展しうる事故・事件を指します。セキュリティにおける脅威をただ単に「セキュリティインシデント」と呼ぶこともあります。
情報セキュリティインシデントの具体例
- マルウェアに感染させる
- パソコンやサーバーなどへの不正アクセス
- 従業員による情報漏えい(機密情報の誤公開・不正な情報持ち出しなど)
従業員による情報漏えいの場合は悪意のない過失である可能性もありますが、それ以外は基本的にどれもサイバーセキュリティの穴から悪意ある攻撃が原因で発生します。
インシデントの規模によっては業務に大きな支障が出ることもありますし、会社の存続を脅かす損害を与える可能性もあるでしょう。
例えば不正アクセスを受けて顧客の個人情報を漏えいした場合、訴えられて損害賠償を負うリスクが生じます。情報漏えいのリスクについて、詳しくは「情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介」で紹介していますのでそちらもご参照ください。
WEB広告運用担当・ニャーケッターからのひとこと
企業間においても、新規取引開始の際にインシデントについて確認される場面はとても増えている。とくにコンペ形式の場合、インシデントに対する管理体制で比較されることも多いから営業的観点でも重要なポイントにゃ。
2.情報セキュリティインシデントの発生原因
情報セキュリティインシデントが起こる原因は大きく分けて2つ。社内に問題があったか外部から攻撃を受けたかに分類されます。
それぞれ具体的に何が原因になるのか見ていきましょう。
①社内の人員に問題がある(内部要因)
社内の人員が不注意によって情報を公開(漏えい)してしまったり、故意に持ち出したりといったインシデントは、従業員のセキュリティ意識が不十分であることが大きな原因となっていることが多いです。
情報端末の紛失・盗難なども内部要因のインシデントにあたります。
②外部の攻撃を受けた(外部要因)
外部から攻撃を受けて情報を窃取されたり、システム障害が起こったりするパターンは外部要因に分類されます。
直接的な要因は外部攻撃ですが、社外からの不正な行動を監視・排除できていない社内の体制が要因になっているとも言えるでしょう。
3.情報セキュリティインシデントを防ぐ対策
IPAが2021年に行った実態調査※1では、「情報セキュリティに関する専門部署(担当者を設置している)」と回答したのは全体のわずか7.7%。半数以上が「組織的には行っていない(各自の対応)」「わからない」と回答しています。
つまり、日本の企業はまだまだ「セキュリティを組織的に向上させる」意識が低いということです。個人としての意識は徐々に向上しているものの、企業全体でのアプローチをもっと強めるべきでしょう。
ここからは、社内でできる基礎的なセキュリティ対策をご紹介します。
社内のデータ・情報を確認する
情報漏えいへの対策として内部に保管されているデータや情報を把握し、管理できるような体制を作りましょう。ここでいう「データや情報」はコンピューター内に保管されている情報のことだけではありません。紙媒体やUSBなどに保管されているデータに関しても取り扱いのルールを決めましょう。
確認後は重要性を分類し、それに応じた対策基準を決めるのが基本です。
クレジットカード情報や宗教・病歴など機密性が高く、漏えいした際のリスクが大きいものは特にしっかりと対策をする必要があります。
組織体制を整備する
先述したように、セキュリティ部署を設置している企業はまだまだ少ないのが現状です。社内の規模にもよりますが、セキュリティ対策専門の部署を設置できるなら整備を進めた方がよいでしょう。セキュリティ対策に割ける専門のリソースがない場合は外部への委託を検討するのも一つの手です。
ネットワークやシステムをすぐに復旧させられる人員・チームの配置は欠かさず行ってください。有事の連絡方法や指揮系統を明文化し、従業員同士で共有するのも大切です。
端末やサーバーのセキュリティを高める
- 業務用PC、サーバーで定期的にバックアップを取る
- セキュリティ対策ソフトを入れる
- データの送受信時は暗号化通信を用いる(VPNを使用する)
- 私用の端末で社内のネットワークに接続できないようにする
など、内部のシステムで被害を未然に防ぐ対策を行うことも非常に重要です。
また、脆弱性に関する情報を定期的に収集して、セキュリティに新たな穴ができていないかチェックしておくのもよいでしょう。
4.情報セキュリティインシデントが起こった際の対応
実際にインシデントが起こってしまった場合も「発生してからどう動くか」が被害の最小化に大きくかかわってきます。
情報漏えいなどが起こってしまったときに求められる対応をあらかじめ知っておくことで、万が一の事態に備えましょう。
①インシデントの発見・初動
検知ツールや社内外からの通知でインシデントの発生に気付くパターンが多いでしょう。
専門知識がない社員は通報があっても不用意に操作しないのが基本です。システム上に残された証拠が消えてしまわないよう注意を払ってください。
●セキュリティ担当が行うべき初動対応
- サイトを閉鎖する
- 端末をネットワークから遮断する(マルウェアの被害に遭っていることが想定される場合)
- セキュリティ対策機関への情報提供(同様の被害防止)
- 取引先、顧客への情報提供
- 警察への連絡(特に不注意による紛失、盗難の場合は早い方がよい)
- パスワードの変更、アカウントの停止
- 重要な情報のバックアップ など
求められる初動対応は発生したインシデントの種類によっても変わってきます。被害想定のマニュアルを作るのであれば、何種類かパターンを想定しておきましょう。
②原因の調査・公表
残された記録から被害をなるべく正確に把握します。
「誰が」「いつ」「どこで」「何を」「なぜ」「どうしたのか」、この6項目を分析、記録するよう心がけてください。
情報漏えいによる被害が大きくなると、別途公表する手続きを取る場合もあります。お知らせ文の作成や法律に照らし合わせた判断が必要になってくるので、公表には外部委託の専門家によるアドバイスを求めるパターンが多いでしょう。
公表する場合、一般的には以下のような項目を含みます。
- インシデント発生の経緯、原因
- 調査方法、システムの状況
- 漏えいした情報の内容
- 当面の対応策
- 再発防止策
- 問い合わせ窓口
③システム・端末の復旧
インシデントの影響を受けて停止したサービスやアカウントがあれば、復旧作業を行います。
サイバー攻撃を受けた場合は特に復旧が困難です。セキュリティ保守の専門家が社内にいなければ、外部に委託することになるでしょう。
④再発防止策の決定
- 建物への侵入防止
- 情報の保管・持ち出し方法の見直し
- ウイルス対策製品の導入
- 通信の暗号化やアクセス制御 など
原因となった部分を改善する形で再発防止策を決定します。外部に大きな被害が及んでいる場合は再発防止策も公表するのが一般的です。
5.まとめ
情報セキュリティインシデントへの対策は現代の企業に不可欠です。まずは基本的な対処法を実践し、安全性を高めていきましょう。
また、自社サイトの保守運用をしっかりと行うことがインシデント対策のアピールにもなります。サイト運用にはコンバージョンや流入数が重要なのも確かですが、セキュリティに無知なマーケティング担当のみで維持するのはあまりにも危険です。
もし自社サイトのセキュリティ管理ができていないようでしたら、保守サービスの利用も検討してみるべきでしょう。万が一サイト経由で攻撃を受けた場合も適切に対応しやすいのもメリットです。
自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。
当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。
オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。
※IPA+「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
