情報セキュリティに関する事故や攻撃を情報セキュリティインシデントと言います。
もし自社で情報セキュリティインシデントが発生した場合、迅速に適切な対応を取らなければなりません。放置すればするほど、自社だけでなく、顧客や取引先にも被害を拡大してしまう恐れがあるからです。
この記事では、情報セキュリティインシデントの内容と、情報セキュリティインシデントへの対策方法について詳しく解説します。
また、ISMS認証取得をしている企業のご担当者様必見!2022年ISO27001規格改訂の変更点と対応するべき内容をまとめた資料を無料で配布しています。ぜひご一読ください。
情報セキュリティインシデントとは?
情報セキュリティインシデントとは、情報セキュリティに関する事故や攻撃のことを指す言葉です。
具体的には、マルウェアの感染やコンピュータへの不正アクセスなど外部からのサイバー攻撃や、従業員の不正による情報漏えい、さらに天災や設備不良による事故なども含まれます。
情報セキュリティマネジメントシステムの認証規格である「JIS Q 27000:2019」では、情報セキュリティインシデントを以下のように定義しています。
情報セキュリティインシデント(information security incident)
引用元:JIS Q 27000:2019
望まない単独若しくは一連の情報セキュリティ事象(3.30),又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティ(3.28)を脅かす確率が高いもの。
また、「情報セキュリティ事象」については以下のように定義されています。
情報セキュリティインシデント(information security incident)
引用元:JIS Q 27000:2019
望まない単独若しくは一連の情報セキュリティ事象(3.30),又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティ(3.28)を脅かす確率が高いもの。
この2つの定義から情報セキュリティインシデントとは、情報セキュリティ事象の中でも事業運営における危険度の高いものであることがわかります。
ちなみにインシデントが発展して、さらに大きく発展したものをアクシデントと言います。
情報セキュリティインシデントの原因
組織で情報セキュリティインシデントが発生する原因としては、大きく分けると内的要因、外的要因、災害・外部環境要因の3つがあります。
内的要因
まずは、組織の内部すなわち従業員の行動に起因するセキュリティインシデントです。「情報セキュリティ」と言うとサイバー攻撃や不正アクセス対策が想起されがちですが、意外にも内的要因によるセキュリティインシデントがかなりの割合を占めます。
内的要因に起因するセキュリティインシデントとしては、下記のようなものが挙げられます。
- 従業員のメール誤送信や添付・送信設定ミスによる情報漏えい
- アクセス権限者によるデータ消去もしくは改ざん
- ログインID・パスワードの使いまわしや杜撰な管理が引き起こす不正アクセス
- 私物端末の無許可利用やシャドーITによる情報漏えいやマルウェア感染
- 重要情報が含まれたデバイスの紛失・盗難
外的要因
また、悪意のある第三者によるサイバー攻撃や不正アクセスももちろん注意が必要な要因です。
- 標的型攻撃によるマルウェア感染
- ランサムウェアによる身代金要求
- 不正ログインによる乗っ取りやなりすまし
- DoS攻撃によるサービス停止
災害・外部環境要因
それに加えて、地震や台風、利用中のサービスの不調といった、避けられない外部環境要因もあります。
- 地震や雷、火事に伴う物理的損壊やセキュリティ設備の故障
- 利用している外部サーバやサービスの障害、及びそれに伴うデータ損失
- 利用している外部サービスの停止
情報セキュリティインシデントの発生事例
情報セキュリティインシデントの発生事例を3点紹介します。
NTTドコモ業務委託先での個人情報漏えい
2023年3月、ドコモが「ぷらら」および「ひかりTV」に関する業務を委託している、NTTネクシアの元派遣社員による不正持ち出しで、個人情報漏えいが発生しました。
元派遣社員は、業務用PCから個人で契約している外部ストレージへアクセスし、顧客の個人情報等の業務情報を不正に外部へ持ち出しました。
不正に持ち出された顧客情報は596万件にも及び、氏名や住所、電話番号も含まれています。
この件はネットワーク監視によって検知され、当該端末の隔離、同一ネットワーク内の全端末のログ確認、元派遣社員へのヒアリング、警察への相談といった対応がなされました。
ネットワーク監視によって早期発見されたため、当該情報の不正利用は確認されていません。
ロート製薬会員サイトの不正アクセス事件
2017年9月、ロート製薬が運営する会員サイト「ココロートパーク」において、リスト型攻撃による不正アクセス、及び断続的な不正ログインが確認されました。
387件の不正ログインと1件のログインID改ざん、1件の不正ポイント利用が発覚しています。
ロート製薬は、顧客の安全面を勘案し、不正ログインの有無に関わらず、全会員のパスワード初期化を実施しました。
また、パスワードルールの変更、不正検知/不正アクセスを自動遮断する新プログラム導入、警察への報告も合わせて実施されました。
JTBに対する標的型攻撃による個人情報漏えい事件
2022年10月、JTBが観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」業務に於いて、情報漏えいを発生させていたことが分かりました。
観光庁及び応募・申請事業者との情報共有のために利用していたクラウドサービスで、アクセス権限を誤って設定していたことで、事業に応募・申請した事業者間での情報漏えいが発生していました。
本来ダウンロードされるべきではない事業者にダウンロードされたデータには、事業者1,698件の申請書及びその連携先を含めた最大11,483人分の個人情報が含まれています。
JTBでは、当該のファイルをダウンロードした応募・申請事業者に情報の削除を求め、10月25日に全事業者から削除完了通知を受け取りました。また、当該クラウドサービスにおいて厳重な総点検のもと、適切なアクセス権限の再設定を行いました。
情報セキュリティインシデントへの事前対策
実際に情報セキュリティインシデントが発生した場合に適切な対応が取れるよう、事前に対策を練っておくことが重要です。
事前対策には、日頃から実施すべきことと、発生時に対応すべきことの2種類があります。
情報セキュリティ体制の整備
情報セキュリティインシデント発生の際には迅速な対応が求められます。ネットワークやシステムを速やかに復旧させるための情報セキュリティ体制を整備しておきましょう。
そのためには専門的な知識とスキルをもつ人材を平時から備えていなければなりません。
自社にそのような人材がいない場合は、社内で教育するか、新しく雇用することを検討しましょう。
また緊急時に速やかに対応できるように、セキュリティ対策の人材の編成や連絡方法、指揮系統などを事前に確認しておきましょう。
情報セキュリティインシデントはいつ発生するかわかりません。できれば夜間や休日においても招集をかけられる状態にしておくことがベストです。
従業員の教育
日頃から従業員を教育しておくことも、情報セキュリティインシデントの事前対策として有効です。
教育と言っても、高度なセキュリティ技術を学ぶだけとは限りません。
日頃からPCを使って業務をしている従業員に、業務で守るべきルールを遵守させることも重要です。
例えば不審なメールを受信した時の対策方法や、セキュリティ対策ソフトが警告を表示した時に取るべき行動など、基本的なことがセキュリティ対策の第一歩です。
そのための準備として情報セキュリティインシデントを想定した予行演習なども効果的です。
例えば、「セキュリオ」の標的型攻撃メール訓練では、不審なメールを従業員に送信し、開封やクリックをしないか、適切に報告できるかをチェックする予行演習が実施可能です。
システム面での対策
情報セキュリティインシデントの事前対策として、システム面での対策も必要です。
例えば業務で使用している重要なデータのバックアップは必須です。特に紛失してはならない重要な情報は、ハードディスクなどの媒体にバックアップを取り、遠隔地保管することも検討しましょう。
ファイルサーバーなどのシステムチェックは正常時においても定期的に実施して、異常なログが記録されていないか確認しましょう。
アクセスが集中するログは目視での確認が難しいので、異常ログを検知するツールも活用して念入りに行うことをおすすめします。
また自社で使用しているコンピュータやネットワーク機器を提供しているベンダーや、脆弱性情報データベースなどの外部の情報を確実に収集して、脆弱性が報告されているかどうか確認し、もし自社で使っているコンピュータやネットワーク機器の脆弱性が報告されていた場合、修正プログラムを適用するなどの対策が必須です。
情報セキュリティインシデントが発生したら
もし情報セキュリティインシデントが発生したら、どのように対応すれば良いのでしょうか。
まずは自社で事前に取り決めた内容に従った対応を進めましょう。そのためには、事前にインシデント発生時のルールを決めておく必要があります。
例えばコンピューターウイルスに感染した場合は、他のコンピュータへの感染を防ぐために、対象のコンピュータのLANケーブルや無線LANに通信を遮断して、社内ネットワークから即時に切り離すことが重要です。
情報セキュリティインシデントの発生後には、必ずインシデントの分析を行いましょう。復旧後には同様のインシデントにあわないためにも、再発防止策を必ず検討しなければなりません。
インシデントの分析から再発防止策まで網羅的に対応していただくことのできる管理表をご用意しておりますので、無料でダウンロードしてもしものときに備えておきましょう。
まとめ
情報セキュリティインシデントと言っても非常に多くの種類があることを紹介しました。セキュリティを確保するためには、情報セキュリティインシデントに対する事前対策と事後対策の両方が不可欠であり、それにはシステム面の強化だけでなく、従業員に対する教育も重要です。
まずは情報セキュリティインシデントが発生する原因を理解し、万が一の発生時に適切に対応することで被害を最小限に抑えることが可能となります。
また、LRM株式会社では2022年ISO27001規格改訂で対応すべきことが学べるオンデマンド講座をご提供しています。まずは無料のサンプル動画をご覧ください。
