セキュリティインシデントとは?原因や事例、企業を守るための対策を解説
ランサムウェアや個人情報漏えいなどのセキュリティインシデントが、連日のように報道されています。こうした事例は、規模の大小を問わず発生しており、対応を誤ると企業経営に深刻な打撃を与える可能性があります。デジタル化の急速な進展とテレワークの定着により、もはやセキュリティインシデントは「他社の問題」ではなく、すべての企業が直面しうる現実的な脅威といえるでしょう。
本記事では、セキュリティインシデントの基本的な知識から事例、具体的な対策や発生時の対応手順まで、企業の担当者が知っておくべき情報を幅広く解説します。
セキュリティインシデントとは
セキュリティインシデントとは、組織の情報システムやデータに対する不正アクセス、データ漏えい、マルウェア感染、情報セキュリティに関連する問題や事故の総称です。これらは、企業の機密情報や個人情報の漏えい、システムの停止、業務の中断など、企業にとって重大な損失につながるおそれがあります。
セキュリティインシデントのなかでも、悪意ある外部からの攻撃はとくに深刻です。JPCERT/CCによると、毎月3000件程度のセキュリティインシデントが常時報告されています。
こうした背景から、セキュリティを取り巻く環境は年々厳しさを増しており、すべての企業がセキュリティインシデントのリスクにさらされているといってもいいでしょう。
セキュリティインシデントが企業に与える影響
セキュリティインシデントが発生すると、企業は多方面にわたり大きな影響を受けることになります。経済的損失はとくに深刻で、復旧費用や機会損失により数億円にのぼるケースもあります。さらに、一度失った顧客や取引先からの信頼の回復には、長い時間を要し、上場企業であれば株価への影響も避けられません。
近年では、個人情報保護法やGDPRなどの規制強化も進んでおり、法的責任を問われるリスクも高まっています。このように、セキュリティインシデントは企業のIT部門のみにとどまらず、企業経営全体に直結する重要な経営課題として認識する必要があります。
セキュリティインシデントのおもな発生原因
企業で発生するセキュリティインシデントの原因は、大きく2つに分類することができます。
外的要因(攻撃者による意図的な攻撃)
とくに注目されるのが、外部からの意図的な攻撃による被害です。サイバー犯罪者や国家レベルの組織が、金銭的利益や機密情報の取得などを目的として企業のシステムに侵入を試みます。これらの攻撃は年々高度化しており、従来の対策では検知が困難な手法も登場しています。
内的要因(従業員のミス、内部不正)
セキュリティインシデントのなかには、従業員の行動に起因する場合もあります。悪意のない操作ミスから意図的な内部不正まで、その形態はさまざまです。
たとえば、USBメモリの紛失や意図的な情報持ち出しが挙げられます。特に意図的な情報持ち出しは退職時に行われやすく、退職者が広いアクセス権限を持つ場合は広範囲な情報の持ち出しが想定されます。
セキュリティインシデントの事例
セキュリティインシデントは、企業規模の大小を問わず、どの企業にも起こる可能性があります。ここでは、2つの事例を紹介します。
事例1:大手通信グループにおける個人情報漏えい
2023年10月、ある大手通信グループにおいて、元派遣社員が約928万件の顧客情報を9年以上にわたり不正に持ち出していたことが判明しました。
この社員はクラウド上のコールセンターシステムにアクセスできる立場にあり、社員が不正を継続できる環境が長年にわたって放置されていたことが問題視されました。社内調査では、技術的な対策や監視体制の不備に加え、セキュリティよりも業務の便宜を優先する組織風土が厳しく指摘され、グループ社長が引責辞任を表明する事態に発展しました。
事例2:クラウドサービスでの情報漏洩
ある健康支援サービス事業者では、2023年12月に過去に委託した開発会社が発行したアクセスキー(認証情報)の削除漏れによる不正アクセスを受け、約1,000人分の個人情報が漏えいした可能性があると発表しました。
不正アクセスの原因は、過去に委託した開発会社が発行したアクセスキー(認証情報)の削除漏れでした。本来であれば委託終了時に削除すべきアクセスキーが外部に流出し、攻撃者がこれを悪用してシステムに侵入したとされています。
この被害を受けて、同社はアクセスキー管理の見直しや、個人情報の取り扱いルールの再整備といった再発防止策を講じるなど、対応に追われました。
セキュリティインシデントへの対応
NIST SP 800-61r2によれば、セキュリティインシデントへの対応には大きく4つのステップがあります。
参考:Computer Security Incident Handling Guide
準備
インシデント対応において最も重視すべき段階です。どのようなインシデントであっても適切な準備なしには対応できませんし、そもそも発見・検知することすらできません。例えば以下のような準備が挙げられます。
- インシデント対応担当者の決定、連絡手段の確保
- インシデント対応に関連するメンバーの決定、外部のセキュリティベンダーに依頼する場合は、何をどこまで依頼するかの決定
- インシデントを防止するための対策
- インシデントを早期に発見するための施策
一例として、この段階では脆弱性診断を行い、脆弱性への対応を進めることも重要です。脆弱性診断ツールについて詳しくは以下の記事をご覧ください。
検知と分析
次のステップは検知と分析です。インシデントを適切に検知することで被害を最小化できます。そのため様々な攻撃を検知できるようにしておく必要があります。
例えばSIEMを使ってログを分析し、特定の条件でアラートが上がるようにしておくという方法が考えられます。また、IPSやWAFであれば、攻撃を遮断できる可能性があります。
さくらのクラウドでは以下のようなWAFが利用できますのでご検討ください。
検知した内容に応じて、必要であればログの分析やサーバやPCのフォレンジック調査を行います。この調査によりセキュリティインシデントの原因を特定しておく必要があります。ログの分析やフォレンジック調査はセキュリティベンダーなどの専門家に依頼するのが確実です。
封じ込め、根絶と復旧
攻撃者がそれ以上侵害することを防止し、締め出した後に復旧する段階です。
分析により判明したセキュリティインシデントの原因となった個所を修正します。この時に注意しなければならない点として、攻撃者はすでに認証情報を入手している可能性を考慮すべきということです。
例えば近年頻発しているVPNへの攻撃では、VPNのアップデートだけではなく、ユーザのパスワードを変更しないと再度侵入される恐れがあります。
一度侵害されたサーバやアプライアンス製品からすべてのマルウェアを削除し、安全に使い続けるのは困難です。原則として復旧時はサーバであればOSの再インストール、アプライアンス製品であれば初期化が望ましいです。難しい場合は新規に構築し、可能な限り早く移行する方が安全です。
事後対応
セキュリティインシデントの対応は非常に負荷が高く、復旧すると一息つきたくなりますが、忘れないうちに事後対応をしておく必要があります。
この段階では、セキュリティインシデントの内容の文書化や、教訓を社内に周知します。これにより類似のインシデントが別の場所で起こることを防止します。
まとめ
セキュリティインシデントは、もはや「他人事」ではありません。すべての企業が直面する可能性がある現実的な脅威として、企業規模に関わらず対策を講じることが急務となっています。重要なのは、技術的な対策だけでなく、従業員教育や組織体制の整備を含めた包括的な取り組みです。企業の貴重な資産と信頼を守るため、いますぐにでもセキュリティ対策を見直すことをおすすめします。
クラウドサービスの利用にあたっては、セキュリティ対策に強みのある信頼できる事業者の選択が欠かせません。
さくらのクラウドでは、企業の多様なセキュリティ要求に応える包括的なソリューションをご用意しています。くわしい機能やサービス内容は、以下のページでご確認いただけます。まずは、お気軽にお問い合わせください。
