情報セキュリティに関する事故や攻撃を情報セキュリティインシデントと言います。
もし自社で情報セキュリティインシデントが発生した場合、迅速に適切な対応を取らなければなりません。放置すればするほど、自社だけでなく、顧客や取引先にも被害を拡大してしまう恐れがあるからです。
この記事では、情報セキュリティインシデントの内容を詳しく解説し、情報セキュリティインシデントへの対策方法について詳しく解説します。
また、情報セキュリティインシデントの基礎知識から事例まで網羅した資料をpdfでお配りしています。弊社情報セキュリティコンサルタント監修の濃い内容となっておりますので、ぜひまずは無料でダウンロードしてご一読ください。
情報セキュリティインシデントとは?
情報セキュリティインシデントとは、情報セキュリティに関する事故や攻撃のことを指す言葉です。
具体的には、マルウェアの感染やコンピュータへの不正アクセスなど外部からのサイバー攻撃や、従業員の不正による情報漏洩、さらに天災や設備不良による事故なども含まれます。
情報セキュリティマネジメントの認証規格である「JIS Q 27000:2014」では、情報セキュリティインシデントを以下のように定義しています。
情報セキュリティインシデント(Information Security Incident)望まない単独若しくは一連の情報セキュリティ事象(2.35),又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティ(3.28)を脅かす確率が高いもの
この定義における「情報セキュリティ事象」については以下のように定義されています。
情報セキュリティ事象(information security event)情報セキュリティ方針への違反若しくは管理策の不具合の可能性,又はセキュリティに関係し得る未知の状況を示す,システム,サービス又はネットワークの状態に関連する事象
この2つの定義から情報セキュリティインシデントとは、情報セキュリティ事象の中でも事業運営における危険度の高いものであることがわかります。
ちなみにインシデントが発展して、さらに大きく発展したものをアクシデントと言います。
インシデントが日常的に発生するものとすると、アクシデントは非日常的なものであるというニュアンスがあります。
情報セキュリティインシデントの事例を確認したい方はこちら。
情報セキュリティインシデントの例
それでは情報セキュリティインシデントとは具体的にはどのようなものなのか、代表例を取り上げて紹介します。
不正アクセス
コンピュータやネットワークの脆弱性を悪用して、内部へ不正にアクセスする攻撃です。
また推測されやすいパスワードを利用している場合も不正アクセスの被害にあう可能性があります。
迷惑メール
メールの文面に不正なURLが記載されていたり、受信者が意図せずに大量に送信されたりするメールを迷惑メールと言います。
本文中の不正なURLをクリックすると、不正なWebページへ遷移してマルウェアに感染したり、メール自体にマルウェアが添付されたりしていることもあります。
迷惑メールのなかでもとくに悪質な標的型攻撃メールについて、基礎知識から対策まで網羅的にまとめた資料がございますので、ぜひこちらも併せてお役立てください。
DoS・DDoS攻撃
DoS(Denial of Service attack)攻撃は、外部にあるコンピュータからターゲットのコンピュータに対して大量のデータを送信することで、ターゲットのコンピュータの機能を停止させる攻撃のことです。
特に多数のコンピュータから分散してDoS攻撃を仕掛けることをDDoS(Distributed Denial of Service attack)攻撃と言います。
DoS・DDoS攻撃は古くから存在するサイバー攻撃です。特にWebサイトを停止させる目的で仕掛けられることが多く、被害を受けた企業は金銭面に加えて信用面でも大きな被害を受けることになります。
マルウェア感染
マルウェアとはコンピュータに感染する悪意のあるソフトウェアの総称のことです。
コンピューターウイルスやトロイの木馬など様々な種類があります。
マルウェアがコンピュータに感染すると、コンピュータは不正な動作を行い、内部にある情報を外部へ流出させたり、他のコンピュータへと感染を拡大させたりするなど、様々な悪意のある動作を行います。
情報漏えい
業務で管理されている情報が外部へ流出することを、情報漏えいと言います。
情報漏えいの原因は様々ですが、不正アクセスやマルウェアの感染のような外部からの攻撃だけでなく、社内の従業員の不正により故意に漏えいする場合も情報漏えいに含まれます。
情報改ざん
情報改ざんとは、コンピュータに保存されている情報や、ネットワークで送受信されている情報が不正に改ざんされることを指します。
不正アクセスや情報漏洩とセットで被害を受けることが多く、Webサイトがターゲットになると、多くの方の目に触れることになります。
記憶媒体の紛失や盗難
記憶媒体とはコンピュータそのものや、USBメモリなどデータを保存されている媒体のことを指します。
これらの記憶媒体を外出先で紛失したり盗難にあったりすることで、保存されているデータが外部へ漏洩する可能性があります。
落雷や地震などによるセキュリティ設備故障
落雷や地震などのいわゆる天災によるセキュリティ設備の故障も情報セキュリティインシデントに含まれます。
重要なデータは複数の遠隔地にもバックアップを取るなどの対策が必要です。
情報セキュリティインシデントの発生例
情報セキュリティインシデントの発生例を3点紹介します。
NTTドコモグループでの情報漏洩事件
NTTドコモグループに派遣された社員が業務で取得した情報を不正に外部に流出させる事件が立て続けに発生しました。
流出した情報は、顧客の氏名や住所といった個人情報です。NTTドコモ九州では、顧客のクレジットカード番号を窃取し、外部の詐欺グループに売り渡される事態にまで発展しました。
この事件では「事件発生の公表」と「犯人の逮捕・訴訟」は比較的スムーズに進められました。
またこれらの情報漏洩事件を受けて、NTTドコモグループは、各グループ会社を統合して、全社統合型の情報管理が導入されるようになりました。
ロート製薬会員サイトの不正アクセス事件
ロート製薬が運営している会員サイトに対し不正アクセスが発生し、会員のログインIDとパスワードが閲覧される事件が発生しました。
会員サイトには断続的になりすましによる不正ログインが発生したため、ロート製薬は、不正ログインの有無に関わらず、全会員のログインパスワードの初期化を行い対策しました。
JTBに対する標的型攻撃による個人情報漏洩事件
JTBの取引先の航空会社を装ったメールに添付されていたマルウェアをパソコンで実行したことで、パソコンとサーバーが標的型ウイルスに感染しました。
このマルウェアの感染により、JTBのサーバーに何者かが外部から不正アクセスし、サーバー内に個人情報が含まれるデータファイルの作成と削除が確認されました。
この事件を受けてJTBグループでは、社内にITセキュリティ専任統括部門を設置して、ITセキュリティを専門とする会社との連携をはかるようになり、社内においても実践的なITセキュリティ教育を施すようになりました。
また、上記のような事例と併せてセキュリティインシデントについて解説した資料をご用意しておりますので、ぜひ以下のリンクからダウンロードしてみてください。
情報セキュリティインシデントへの事前対策
実際に情報セキュリティインシデントが発生した場合、適切な対応が取れるように、事前に対策を練っておくことが
重要です。
事前対策には、日頃から実施すべきことと、発生時に対応すべきことの2種類があります。
情報セキュリティ体制の整備
情報セキュリティインシデント発生の際には迅速な対応が求められます。ネットワークやシステムを速やかに復旧させるための情報セキュリティ体制を整備しておきましょう。
そのためには専門的な知識とスキルをもつ人材を平時から備えていなければなりません。
自社にそのような人材がいない場合は、社内で教育するか、新しく雇用することを検討しましょう。
また緊急時に速やかに対応できるように、セキュリティ対策の人材の編成や連絡方法、指揮系統などを事前に確認しておきましょう。
情報セキュリティインシデントはいつ発生するかわかりません。できれば夜間や休日においても、招集をかけられる状態にしておくことがベストです。
従業員の教育
日頃から従業員を教育しておくことも、情報セキュリティインシデントの事前対策として有効です。
教育と言っても、高度なセキュリティ技術を学ぶだけとは限りません。
日頃からパソコンを使った仕事をしている従業員に対して、業務で守るべきルールを作り、それを遵守させることも重要です。
例えば不審なメールを受信した時の対策方法や、セキュリティ対策ソフトが警告を表示した時に取るべき行動など、基本的なことがセキュリティ対策の第一歩です。
そのための準備として情報セキュリティインシデントを想定した予行演習なども効果的です。
例えば株式会社イクが提供している「サイバー防災訓練 サイトレ!」では、自社の業界や業種に合わせて訓練内容をカスタマイズできます。新入社員から経営者までを対象としているため、全社的にサイバー訓練を実施したい企業にとって効率良くサイバー訓練が実施できるでしょう。
システム面での対策
情報セキュリティインシデントの事前対策として、システム面での対策も必要です。
例えば業務で使用している重要なデータのバックアップは必須です。特に紛失してはならない重要な情報は、ハードディスクなどの媒体にバックアップを取り、遠隔地保管することも検討しましょう。
ファイルサーバーなどのシステムチェックは正常時においても定期的に実施して、異常なログが記録されていないか確認しましょう。
アクセスが集中するログは目視での確認が難しいので、異常ログを検知するツールも活用して念入りに行うことをおすすめします。
また自社で使用しているコンピュータやネットワーク機器を提供しているベンダーや、脆弱性情報データベースなどの外部の情報を確実に収集して、脆弱性が報告されているかどうか確認し、もし自社で使っているコンピュータやネットワーク機器の脆弱性が報告されていた場合、修正プログラムを適用するなどの対策が必須です。
情報セキュリティインシデントが発生したら
もし情報セキュリティインシデントが発生したら、どのように対応すれば良いのでしょうか。
まずは自社で事前に取り決めた内容に従って手続きを進めましょう。そのためには、事前にインシデント発生時のルールを決めておく必要があります。
例えばコンピューターウイルスに感染した場合は、他のコンピュータへの感染を防ぐために、対象のコンピュータのLANケーブルや無線LANに通信を遮断して、社内ネットワークから即時に切り離すことが重要です。
情報セキュリティインシデントの発生後には、必ずインシデントの分析を行いましょう。復旧後には同様のインシデントにあわないためにも、再発防止策を必ず検討しなければなりません。
インシデントの分析から再発防止策まで網羅的に対応していただくことのできる管理表をご用意しておりますので、無料でダウンロードしてもしものときに備えておきましょう。
インシデント管理をスムーズにする「セキュリオ」
自社にスムーズなインシデント管理を導入したい方は、弊社が提供している「セキュリオ」をご検討ください。インシデント発生時の迅速な状況の把握から、関係者への報告、そして状況の回復までワンストップで管理可能です。
まずは無料トライアルで使用感をご確認ください。
まとめ
情報セキュリティインシデントと言っても非常に多くの種類があることを紹介しました。セキュリティを確保するためには、情報セキュリティインシデントに対する事前対策と事後対策の両方が不可欠であり、それにはシステム面の強化だけでなく、従業員に対する教育も重要です。
まずは情報セキュリティインシデントが発生する原因を理解し、万が一の発生時に適切に対応することで被害を最小限に抑えることが可能となります。
弊社セキュリティコンサルタントがISMSの規格に基づいて作成いたしました。まずは無料でダウンロードして貴社でのインシデント対策にご活用ください。