デジタル技術の進歩に伴い利便性が向上する一方で、セキュリティインシデントに関する脅威も年々増大しています。セキュリティインシデント対策は、企業が信頼を守るために欠かせない重要な経営課題のひとつです。本記事では、セキュリティインシデントの概要と種類、万が一の発生時に適切な対応ができるよう、対応手順について解説します。
セキュリティインシデントとは?
セキュリティインシデントとは、マルウェアの感染や不正アクセス、機密情報の漏洩といった情報セキュリティに関する攻撃および事故の総称です。機密情報の漏洩や個人情報の流出といったセキュリティインシデントが発生すれば、企業の信用失墜やブランドイメージの損失、行政指導による業務停止、損害賠償請求、株価の下落といった甚大な被害を受ける可能性があります。
日本ネットワークセキュリティ協会が公表した事例では、ECサイト利用者のクレジットカード情報が1万件漏洩した場合、事故の原因や被害が及んだ範囲を調査するための費用や法律相談費用など、被害総額が9,490万円以上にのぼったケースが報告されています。また、企業規模が大きくなれば、調査費用やハードウェアの入れ替えにも莫大な費用を投じなければなりません。
海外に子会社を持つグローバル企業がマルウェア感染の被害を受けた事例では、被害総額が3億7,600万円以上にも及んだケースが報告されているのです。デジタル化が進み、今後ますますインターネットを中心に情報ネットワークが形成されていく中で、サイバー攻撃の脅威は巧妙化しています。インターネットや情報システムの活用が欠かせなくなった現代では、企業の規模を問わず情報セキュリティに対するリスクマネジメントの必要性は高まっているといえるでしょう。
最近では「CSIRT(Computer Security Incident Response Team)」と呼ばれるセキュリティの専門チームを設置する企業も少なくありません。誰のために自社が製品・サービスを提供しているかによってCSIRTの対応内容は異なりますが、セキュリティインシデントの発生を前提とした体制づくりが幅広い分野で推進されているようです。
セキュリティインシデントの種類例
自社にとって適切なセキュリティインシデント対策を講じるためには、種類による手口の違いを知っておく必要があります。企業や組織を標的とした人手によるランサムウェア攻撃やビジネスメール詐欺の被害を回避するために、種類別のセキュリティインシデントと回避するための対策について理解を深めておきましょう。
ウイルス感染
マルウェアの一種であるウイルスは、コンピューターに侵入して不正を行う特殊なプログラムです。コンピューターウイルスに感染すると、遠隔操作による機密情報の窃取や漏洩といった被害だけでなく、業務データの削除により事業がストップしてしまえば、機会損失につながる可能性も考えられます。
主な感染経路として、悪質なWebサイトへのアクセスやEメールの添付ファイルなどが挙げられます。これらのリスクを回避するために、ウイルス対策ソフトを活用するのはもちろん、信用性のないWebサイトの閲覧を禁止したり、安易に添付ファイルを開封したりしないなどのルールを設けて周知するようにしましょう。
不正アクセス
アクセス権限をもたない者が情報システムに侵入する行為を不正アクセスといいます。第三者が企業のファイルサーバーに侵入することで想定される被害は、製品開発情報や顧客情報の窃取です。不正アクセス対策には、細かいアクセス権限設定や多要素認証の導入が有効です。
また近年では、パスワードの総当たり攻撃(ブルートフォースアタック)による被害が増加傾向にあることも報告されています。強固なID管理や10桁以上の英数字記号によるパスワード設定、さらに定期的にパスワードを変更することも効果的とされています。
DoS・DDoS攻撃
DoS攻撃とは、ターゲットに対して大量のデータやトラフィックを送り付け、コンピューターに膨大な処理負荷をかけるサイバー攻撃です。複数のネットワーク機器を踏み台として攻撃をしかける方式は、DDoS攻撃と呼ばれています。トラフィックが増大すると、ネットワークの遅延だけでなく、サーバーダウンにより業務が停止する可能性もあります。
また、複数のサーバーを保有している場合、情報システム担当者がDDoS攻撃に対応している隙に他のサーバーに侵入されてしまい、データ改ざんの被害を受けるケースもあるため注意が必要です。ECサイトがこのような攻撃に遭ってしまった場合、サービスの停止により大きな損害につながりかねません。DoS・DDoS攻撃を防ぐには、アプリケーション層を保護するWAF(Web Application Firewall)のようなセキュリティソリューションが有効です。
情報漏洩・データ改ざん
従業員の個人情報や顧客情報といった機密情報の流出、またはデータやファイルの書き換えといったインシデントです。コンピューターウイルスや不正アクセスにより引き起こされるほか、内部の人間による意図的な情報の流出やデータの改ざんもこれに含まれます。
情報漏洩は、運営するWebサイトのデータが改ざんや意図に反する不適切な情報の発信だけでなく、マルウェアを仕込まれる危険性もあるため十分に注意しなくてはなりません。また、従業員の操作ミスによる情報漏洩が高い割合を占めているのも事実です。ヒューマンエラーを防ぐために、社内全体で意識を統一したうえで、アクセス権限の適切な管理や誤送信防止システムの活用も視野に入れてみましょう。
記憶媒体の紛失
上述したように、セキュリティインシデント対策では、故意ではないヒューマンエラーにも適切な対策が求められます。ネットワークを通じたものだけでなく、USBメモリやHDDといった持ち運び可能な記憶媒体の紛失にも注意が必要です。とくに、テレワーク制度を推進する企業が増えた昨今では、オフィス外で業務に取り組むワークスタイルが一般化しつつあります。
盗難によるインシデントも考えられるため、社内の記憶媒体を改めて見直し、持ち運ぶ必要のないデータはあらかじめ保存しない状態にしたり、データを暗号化したりするといった対策をとっておきましょう。また、セキュリティ機能を有したUSBメモリやHDDの利用も有用です。
セキュリティインシデントが生じた際の対応手順
どれだけ強固なセキュリティ対策を講じたとしても、システムの脆弱性が発見されたり、新たな攻撃が生まれたりするなど、その脅威がゼロになることはありません。万が一、セキュリティインシデントが発生した際には、以下の手順に沿って適切に対応しましょう。
セキュリティインシデントの発見
最初のステップは、サイバー攻撃の兆候や異常を発見した際の報告や記録です。検知方法はセキュリティソリューションのアラートやログの異常などさまざまですが、まずはインシデントと思わしき事象の影響を把握しなければなりません。インシデントが発生した際は、発見者が迅速に責任者やCSIRTへ報告を行います。
初動のスピードが重要となるため、連絡票や報告書の書式などを事前に作成して周知しておくことが大切です。報告を受けた担当者は、発生時の内容について具体的な記録を行い、隠ぺいを防ぐための行動制限やアクセス制限をかけるようにしてください。
一時的な対応
次に、被害を最小限に抑える対応を実行します。大規模な被害が想定される場合、業務システムの稼働や社内ネットワークの接続を一時中断するなどの対処が必要となるケースもあります。感染したサーバーや端末の状況、セキュリティ設定の確認、被害の拡大や二次被害を防ぐために必要な措置が適切に取られているかどうかなど、現状を正しく把握することが大切です。
迅速かつ的確に対処できるよう、対応の優先順位や復旧用コマンドなどを記載した一覧表を作成・共有しておくようにしましょう。
セキュリティインシデントの分析
緊急的な措置を実施したのち、原因の究明と影響範囲の分析を行います。業務システムのログや社内ネットワークの通信履歴、ファイルサーバーへのアクセス状況などを分析し、機密情報の漏洩やデータの改ざんといった被害が生じていないかどうかを調査します。
このとき「いつ」「どこで」「誰が」「何を」「なぜ」「どのように」という5W1Hの視点に基づき、俯瞰的かつ客観的に問題を掘り下げていくことが重要です。事実に基づき状況が整理できたら、インシデントを引き起こした根本的な理由を明らかにしておきましょう。
長期的な対策
業務システムや社内ネットワークの復旧作業に取り掛かると同時に、セキュリティインシデントの再発防止策を講じます。具体的な再発防止策として挙げられるのが、高度なセキュリティソリューションの導入やセキュリティポリシーの再整備、データガバナンスの構築などです。また、セキュリティインシデントによる影響が顧客企業や一般ユーザー、取引先などに及ぶ場合には被害を公表する責任も出てくるでしょう。
対策するならMicrosoft セキュリティ インシデント管理
セキュリティ強化を推進していくうえで、導入するソリューションの安全性や堅牢性は重要です。世界的なシェアを誇るMicrosoft製品は、セキュリティ面における実績・評価も高水準なことで知られており、Microsoft 365やMicrosoft Teamsをはじめとしたさまざまなソフトウェアが多くの企業で活用されています。Microsoftは、世界中にユーザーを持つ同社ならではの知見やノウハウを強みとしたセキュリティインシデント管理サービスを提供しています。
Microsoftセキュリティインシデント管理は、米国立標準技術研究所(NIST)のコンピューターセキュリティインシデント対応ガイド「NIST SP 800-61」に準拠しており、インシデントの防止から監視、検出、対応まで、ユーザーの情報資産をサイバー攻撃の脅威から適切に保護してくれるソリューションです。Microsoft Azure、Microsoft Dynamics 365、Microsoft 365のユーザーに対しては、インシデントに関するコミュニケーションを担当するチームが個別に設けられています。
まとめ
セキュリティインシデントのリスクマネジメントを最適化するには、信頼性の高いソリューションの活用が欠かせません。セキュアな生産体制を目指しているのであれば、企業向けに多くのサービスを展開しているMicrosoft 365など、セキュリティ性に優れたソフトウェアの導入がおすすめです。
