セキュリティインシデントの基本、対応対策 | まとめ・事例と手順を解説
企業の情報漏えい事件や不正アクセスなどの被害が多くなるにつれて、セキュリティインシデントという言葉をよく聞くようになりました。
セキュリティ部門に関わる人ならば実は当たり前の言葉です。
そこで、企業の情報セキュリティを考えるうえで必須となるセキュリティインシデントの基本や、適切な対応について事例を交えながら説明していきます。
目次を閉じる
セキュリティインシデントとは
セキュリティインシデントとは、主に企業のコンピュータに関する情報管理やシステム運用に関するセキュリティ上の脅威となる出来事や案件のことをいいます。
多くの場合、こういった「インシデント」は事業の健全な運営に悪影響を与えたり、企業のネットワークセキュリティに甚大な被害を与える可能性が高いものですから、事前対策とともに、しっかりと事後の対策も立てておく必要があります。
セキュリティインシデントの例
セキュリティインシデントの具体例としては、以下のような案件が挙げられます。
ウィルス感染
企業内のコンピュータシステムにウイルスを送り込み、重要データを破壊したり、顧客情報を盗み取ったりするケースがあります。
たとえば、次に挙げる不正アクセスによってネットワーク内のコンピュータがウイルス感染させられたり、場合によっては、ネットワークの内部から直接ウイルスを仕込まれるケースも報告されています。
不正アクセス
サーバやネットワークのぜい弱性を悪用した不正なアクセスを受けるケースもあります。某電機メーカーはこれによって7,000万件以上の顧客の個人情報が流出してしまい、被害額は何兆円にものぼるといった報道もされました。
情報漏えい
上述のウイルス感染や不正アクセス、あるいはサイバー攻撃などによって、重要な顧客情報が流出してしまったケースはたくさんあります。加えて、内部犯によって顧客のクレジットカード情報が流出し、悪用されてしまった事件も報告されています。
アカウントなりすまし
セキュリティ管理者やWEB管理者のアカウントになりすましてネットワークに侵入し、サイト情報を改ざんしたり、機密情報を盗み取ったりといったケースも考えられます。そのままアカウントを攻撃者に乗っ取られ、外部にウイルスをばら撒かれてしまった事件もあります。
Webサイトの改ざん
これまで挙げてきた方法などによってネットワークに侵入され、自社サイトの情報を改ざんされてしまうケースも増えています。多くの場合、単純にサイト情報を変えられるだけではなく、顧客情報を盗まれたり、別のネットワークを攻撃するための媒体にされたりすることもあります。
迷惑メール送信
スタッフが受け取った迷惑メールにあったURLをクリックしてしまい、そのままネットワーク内のコンピュータがマルウェアに感染してしまう可能性があります。
場合によってはメールサーバ自体を乗っ取られてしまい、大量の迷惑メールを勝手に送信されてしまった企業も報告されています。
また、自社のスタッフが誤って別のアドレスに重要情報を記載したメールを送ってしまい、そのまま顧客情報が外部に流出してしまった事件もあります。
サイバー攻撃(Dos攻撃)
Dos攻撃によって一時的に大量のトラフィックを受けてしまい、自社サイトが閲覧できなくなることもあります。あるいはDDos攻撃によってサーバに過負荷がかかり、ネットワーク障害が発生してしまったケースは世界中で報告されています。
セキュリティインシデント対策の必要性
このように、IT社会となっている現代では、さまざまなセキュリティインシデントが発生する可能性があります。
企業や組織にとって、いまやコンピュータによる情報システムやデジタルデータの運用は欠かせないものとなっていますから、いかにネットワークセキュリティの安全性を高め、適切な情報管理の方法を確立するかが重要となります。
たとえ現段階で万全だと思われるセキュリティを確立したと思っていても、新たなネットワークの脆弱性やセキュリティホールが発見されることもあります。
クラッカーなどの攻撃者の攻撃方法も進化し続けていますから、常に強固なセキュリティを敷いておくことは必須ですが、さらに実際に攻撃を受けてしまった際の対策についても考えておかなければなりません。
セキュリティインシデントの事前対策
そういった観点からセキュリティインシデントを考えると、適切なセキュリティインシデント対策には、事前対策と事後対策(インシデントレスポンス)が必要であることがわかります。
すなわち、セキュリティインシデントを防ぐための対策と、それでもインシデントが発生してしまった場合に迅速に対応できるようにするための準備です。
どれほど事前対策を万全にしたとしても、必ずどこかに穴があるものです。もしイレギュラーな事態が起こっても、迅速かつ適切な対応ができるような事後対策が必要となります。
1. セキュリティ体制の見直し
これまでの情報セキュリティでは、事前対策としての予防にフォーカスが当てられがちであり、事後対策の体制が整っていないケースが多くありました。
しかし上述のように、インシデントが発生した場合に迅速に対応できるような体制を整えておくことは極めて重要な対策となります。
以下では、実際にセキュリティインシデントが発生した場合に、迅速に対応するために必要となるポイントについて挙げてみます。
対策チームの編成
実際にインシデントが発生した場合にシステムやネットワークを復旧させるには、専門知識をもつ現場に精通した人員が必要不可欠です。
そういったスタッフによる復旧対策チームを編成し、いざという場面で迅速に活動できるようにしておくことが重要です。
連絡方法の確認
実際にインシデントが発生した場合に、素早く対策チームを集めるための連絡方法を決めておく必要があります。消防団などのように、土曜や休日、夜間などでもすぐに招集できるような体制にしておくことが重要です。
指揮系統の確認
たとえ高い技術力をもつ専門チームを組織したとしても、現場で動くためには適切な判断を下すことのできるまとめ役が必要となります。
現場で意思の統一ができなければ十分な対応ができませんから、チームの指揮系統を明確にしておく必要があります。
ルール作り
対策チーム内のルール作りも重要です。
復旧業務で知った機密情報の保持についてや、どの範囲までの行動が許されるのか、何を優先すべきなのかといったことを明確にしておかなければ、現場で混乱してしまうことになります。
従業員教育
対策チーム外の一般従業員に対しても、ある程度の情報をシェアしておく必要があります。
有事の際にどういう行動をすべきか、何をしてはいけないかといった事柄を周知させ、対策チームに協力してもらえる場合は、具体的に何をしてもらいたいかを具体的に伝えておきましょう。
予行演習
防災訓練のように、セキュリティインシデントでも予行演習をしてみることが効果的です。
その際は対象となる部署のスタッフにも参加してもらい、有事の際に対策チームがどう動くのか、周囲は何をすればよいのかを実際に動きながら確認するようにします。
2. 常時行うべきこと
続いて、インシデントを防止するために日常的に行うべき事項を挙げてみます。
バックアップ
日頃からシステムの設定に関する情報や重要データのバックアップをしておく必要があります。
これは企業で情報を扱っているならば当然のことであり、万が一そういったバックアップがなければ、以前の状態に戻すことは不可能になってしまいます。
正常時のシステムチェック
管理者が自社システムの正常な状態について知らなければ、いざセキュリティに異常が起こったときに認識することができませんし、無事に復旧できたのかどうかも判断できなくなってしまうでしょう。定期的にシステムをチェックしておく必要があります。
外部情報収集
ネットワークやソフトウェアに関する脆弱性について、自社システムに該当するものがないか常に最新の情報をチェックしておく必要があります。脆弱性が公になっているにもかかわらず放置してしまうことは、自らセキュリティーホールを作ることと同じです。
同時に、自社システムを脅かすような新しい攻撃情報が報告されていないかもチェックしておきましょう。
外部委託範囲の特定
システムの一部を外部のセキュリティ会社などに委託している場合は、その責任の範囲を明確にしておく必要があります。どこまでの範囲が自社で対処すべきで、どこからが委託会社の業務範囲となるのかを契約書などで明らかにしておきましょう。
そうでなければ、有事の際に責任の押し付け合いになってしまう可能性があります。
事後対策1. 不正アクセスが起きた場合
次に、セキュリティインシデントの事後対策についてです。既に説明したように、IT技術が当たり前となっている昨今は、実際にインシデントが起こってしまった際の事後対策にもフォーカスする必要があります。
いくら事前対策を万全にしたとしても、思わぬところから情報の漏えいが起こったり、日進月歩で進化するサイバー攻撃に完全に対処し続けることは困難です。そのため、多くの企業が事前対策以上に、インシデントの事後対策を重視するようになってきました。
特に近年、企業が最も力を入れているのが不正アクセスによる情報漏えい対策といわれています。そこで以下では、不正アクセスが起こった場合の対策について事例とともに解説していきます。
事例:HIS
大手旅行会社HISは、今年(2017年)8月に国内バスツアーサイトから顧客の個人情報が流出したことを発表しました。
原因はサイトリニューアルのために、旧サイトから予約した顧客データを移行する作業を実施していましたが、スタッフが誤って公開領域に個人情報を含むデータを残してしまったことと報告されています。
これによって合計1万人以上もの個人情報が、公の場に晒されることになってしまいました。
事例:ロート製薬
今年9月に、大手製薬会社ロート製薬が運営する会員サイトが不正なアクセスを受け、会員のログインIDとパスワードが閲覧されるという事件が起こりました。
9月7日から約1週間にわたって断続的に「なりすまし」によるログインが確認され、IDの改ざんや不正なポイント使用などが行われたようです。また、これまでにも同サイトでは第三者による不正なログインが387件ほど確認されているといいます。
対応手順
このような企業の情報セキュリティに関するインシデントが発生した場合、事前に規定してあるセキュリティポリシーに従って、迅速な処理をすることが求められます。具体的には、今のようなプロセスとなるでしょう。
1. 検知
管理者自身による異常の察知や、システムのログチェックや検知ツールの利用によって異常な状態や不審な状況を検知します。
2. 初動処理
情報関連部署やセキュリティ担当者に連絡をとり、事前に決めてあった有事の際の優先順位に従って手続きを進めていきます。
すでにサイトが改ざんされていたり情報漏えいなどが認められる場合は、すぐにサイトを閉鎖してネットワークから必要箇所を隔離するといった処置をとる必要があります。サイト利用者に被害が出る可能性のある場合、すぐにその旨を相手に伝えるようにします。
3. 分析
システムの被害状況や範囲を明らかにして、速やかにインシデントの原因を分析します。事前にある程度原因の予測がつく場合は、その対策を実行しておきます。
4. 復旧作業
復旧チームによってシステムを元の状態に戻し、管理者が正常に動作している確認します。作業が完了したら、関係者に連絡します。
5. 再発防止対策
本件の原因を究明し、同じようなインシデントが発生しないように対策を練ります。再発性の高い案件の場合は、必要となる対策をセキュリティポリシーにも反映します。
事後対策2. サイバー攻撃を受けた場合
次に、サイバー攻撃を受けた場合の対策について、具体的な事例とともに紹介します。
事例:一般社団法人
昨年、一般社団法人「日本経済団体連合会(経団連)」の事務局のコンピュータが外部と不審な通信を行っていた形跡が発見され、その結果、1000社以上の企業情報が外部に漏えいした可能性があるとの報告がありました。
原因は外部からのサイバー攻撃であるとされており、そのきっかけとして標準型攻撃やマルウェアを含んだ無料ソフトのインストールの可能性などが指摘されています。
事例:KADOKAWA
KADOKAWAは、2014年に自社サイトの一部が不正アクセスによって一時的に改ざんされていたことを発表しました。ユーザーが脆弱性のあるWindows環境でJavaやFlashなどを実行すると、そのまま「Infostealer.Torpplar」と呼ばれるマルウェアも実行されてしまう状態だったようです。
幸いこれによるユーザーの個人情報漏えいなどの事実は確認されなかったようですが、この期間にアクセスしたユーザーに対してセキュリティソフトによる感染チェックを実施するように呼びかけることになりました。
対応手順
こういった不正アクセスに対する対応としては、以下のプロセスを経ることになります。
1. 検知
まず、何よりも攻撃されている事実や、攻撃された形跡を認識することが重要です。DoS攻撃によってサイトが閲覧不可になったり、サイトの内容が改ざんされたりした場合は、トラフィックやサイト自体の監視によって早期に発見できるでしょう。
一方、攻撃者が密かにネットワーク内に侵入し、情報の閲覧などをしていた場合は、痕跡が発見されなければ不正アクセスそのものに気がつかないことも考えられます。管理者は定期的にそういった痕跡がないかチェックする必要があるでしょう。
2. ネットワークの遮断
攻撃が判明したら、速やかにネットワークの遮断を行います。
ネットワークを外部から隔離してしまえばそれ以上の被害を防ぐことができますから、管理者は必要だと判断したらすぐに実行に移しましょう。
特にDDos攻撃や外部ネットワークへの攻撃の媒体にされている可能性もありますから、二次的な被害を防ぐためにも迅速な行動が求められます。
3. 状況の確認
対策チームを招集し、状況の確認をしていきます。基幹システムがきちんと動作しているかを確認し、ハードディスクのバックアップを取りましょう。それから重要なファイルが存在しているかどうかを確認し、システムログを調べていきます。
これによってどういう攻撃が行われたか、改ざんされてしまったデータはないかといったことを確認できます。
4. 原因調査
システムログなどから、攻撃者のネットワークへの侵入経路を割り出し、実際にどういう攻撃をしたのかを確認します。侵入の方法が分からないと対策が立てられませんから、場合によっては外部機関や警察とも協力して原因の究明をする必要があるでしょう。
5. 復旧と再発防止対策
原因を特定したら、再度の侵入を防ぐための対策を立てます。セキュリティホールが見つかった場合は、パッチをあてるなどして確実にふさぐようにします。安全が確認できたらシステムを復旧し、念のため全ユーザーのパスワードの変更をします。
6. 社外に報告
企業の責任として、きちんと不正アクセスを受けた旨をユーザーはもちろん、世間に報告する必要があるでしょう。サイバー攻撃を受けたにもかかわらず、それを公表しないことは企業としての信用に関わってきます。実際に何が起きて、それに対してどう対処したのかをきちんと説明するようにしましょう。
事後対策3. 情報漏えいが生じた場合
最後に、情報漏えいが生じてしまった場合の対策についても、具体的な事例とともに紹介します。
事例:大王製紙
今年10月、大手製紙メーカーの大王製紙は、製品モニター応募者向けに商品に関するアンケートを依頼するメールを送ったところ、誤って別の宛先に送信してしまったことを発表しました。
1500人のモニターに対して7回にわけてアンケート依頼メールを送信しましたが、そのうちの1回の送信先を宛先に設定してしまったようです。この結果、255件のメールアドレスが受信者側で確認できる状態になってしまいました。
事例:大学
島根大学も、今年10月に付属図書館のウェブサイトを公開しているサーバから利用者の個人情報が流出した可能性があることを発表しました。
利用者向けのアンケート調査などのために公開していたシステムに問題があったようで、ユーザーが申し込みフォームに入力した個人情報(氏名、電話番号、メールアドレスなど)が外部に流出してしまったようです。
対応手順
こういった企業側の情報漏えいの対応手順としては、以下のようになるでしょう。
1. 初動調査
まず何よりも現状を調査しなくてはいけません。例えば外部へ流出した情報が「名前や住所なのか」、それとも「クレジットカードの情報のように悪用性が高いものなのか」などを詳細に確認する必要があります。実際の事故内容や被害状況を把握し、それによって必要な対策を練っていきます。
2. 分析
情報漏えいが自社のヒューマンエラーによるものなのか、あるいは不正アクセスなどが原因で起こったものなのかを見極めます。実際の被害状況や漏えいしたと思われる情報の内容、そして社内のコンピュータやUSBメモリなどの記憶媒体のログなどを分析し、情報漏えいの経路や原因を明らかにします。
3. 不正アクセス監視
情報漏えいの原因が不正アクセスだと判明した場合、それ以上の被害拡大を防止するために、ネットワークの監視を徹底するとともに、取引先や業務委託先へ不正アクセス監視の要請をします。
4. 顧客・メディア対応
顧客や利害関係機関への対応をします。顧客や利害関係者に対して情報漏えいに関する事実を速やかに公開し、被害を被った顧客に対しては謝罪と賠償や補償に関する取り決めを行います。また、被害の状況に応じて警察やメディアへの報告を行います。
セキュリティインシデント対策に使えるサービス
以下の記事ではセキュリティインシデント対策に利用できるサービスについてそれぞれ解説しています。
ぜひご覧ください。
セキュリティインシデント対策でリスクマネジメント
セキュリティインシデントについて、言葉の説明から具体的な事件の例、そして適切な事前対策と実際にインシデントが発生したときのための事後対策について説明してきました。
実際のインシデント事例からもわかるように、たとえ大手企業であってもさまざまなセキュリティインシデントが発生しています。事前対策をいくら完璧にしていても、思わぬところから攻撃を受けたり、情報漏えいが発生してしまう可能性は否定できません。本記事を参考に、ぜひ事前対策とともに、しっかりとした事後対策を立てておきましょう。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
