情報セキュリティインシデントとは?
発生理由や対策・対応手順を解説

今や、あらゆる会社や組織が情報セキュリティインシデントに直面する時代になりました。不正アクセス情報漏洩など、もしものことが起きて、信用を失ったり、被害が広がるのを防ぐためにも、情報セキュリティインシデントに対応しておくことが必要不可欠です。そこで今回は、そもそも情報セキュリティインシデントとは何か、どんな種類があるのか、さらに起きてしまった際の対応について、初心者の方にもわかりやすく解説します。

今回のお悩み
最近よく耳にする情報セキュリティインシデントとは何なのか?発生原因や種類にはどのようなものがあるのか知りたい。また被害を防ぐための対策や、発生してしまった場合の対応手順についても理解し、自社のセキュリティを強化したい。

私が解説します!
情報セキュリティインシデントはいつ起きてもおかしくありませんが、十分な対策をとることで発生リスクを抑えることができます。そのためにも情報セキュリティインシデントについて幅広く知っておきましょう。

( 1 ) 情報セキュリティインシデントとは?

「インシデント」という単語自体は、あらゆる分野において「事案」や「事象」を指す英語です。 似たような言葉に「アクシデント」がありますが、アクシデントが「事故」や「事件」を表すのに対して、インシデントには「それらの危機が起きるかもしれない状況」という意味合いがあります。製造現場などでよく使われるヒヤリハット(※1)に近いニュアンスと言えば、わかりやすいでしょうか。
つまり情報セキュリティインシデントとは、情報セキュリティにおいてリスクをもたらす事案・事象のことを言います。悪意のある第三者から攻撃を受ける、社内から大事な情報が流出するといったことはもちろん、地震や台風などの災害によってシステムに障害が起きるといったケースを含める場合もあります。

※1 ヒヤリハット:仕事中に「ヒヤリとした」「ハッとした」出来事。一歩間違えば、大きな事故に発展しかねない状態を指す。

( 2 ) 情報セキュリティインシデントの発生理由と種類

情報セキュリティインシデントが起きる原因

情報セキュリティインシデントの発生理由として、大きく3つの要因が挙げられます。それぞれの要因は以下のとおりです。

情報セキュリティインシデントの発生理由と種類

・外的要因

主に外部からのサイバー攻撃や悪意ある第三者からの攻撃のことを指します。攻撃者の手口は年々、巧妙化・複雑化しています。攻撃の種類については、後ほど詳しく紹介します。

・内的要因

社内に潜むリスク、つまり従業員によって起きるインシデントのことです。情報セキュリティと言えば外部にばかり目を向けがちですが、実は内的な要因も大きなウエイトを占めています。

・環境要因

地震・台風・雷、さらに火事などの災害は、環境要因と考えられます。それらによってサービスの停止やデータの破損、セキュリティ設備の故障などが発生します。

情報セキュリティインシデントの種類

情報セキュリティインシデントにはさまざまな種類がありますが、ここでは主なものを5つ紹介します。なお近年の傾向としては、特定の企業を狙った標的型攻撃(※2)や、中小企業を踏み台にするサプライチェーン攻撃(※3)が増えています。

・マルウェア感染

マルウェアとは、ウイルスなどコンピュータに悪影響を及ぼすソフトウェア全般を指します。マルウェアに感染するとデータやシステムが破損したり、不正なプログラムによってコンピュータを操作して情報を外部に漏らしたりします。
近年、多くの被害が出ているのがランサムウェアです。感染したPCに制限をかけ、解除と引き換えに身代金(ランサム)を要求するという攻撃です。IPA(独立行政法人 情報処理推進機構)でもたびたび注意喚起をしています。

参照:IPA 独立行政法人 情報処理推進機構_ランサムウェア対策特設ページ

・不正アクセス

不正アクセスとは、外部のアクセス権限を持たない者が不正に内部のシステムに侵入することを言います。パスワードが推測しやすいなど、セキュリティ強度の低い企業が狙われやすい傾向があり、システムに侵入されるとマルウェア感染や情報漏洩のリスクも高まります。また不正アクセスを行うのはサイバー攻撃者だけでなく、社内の人間や元従業員というケースも見受けられます。監視の目は内外に光らせておかなければなりません。

・DoS攻撃

DoS(ドス)攻撃とは、サイバー攻撃の一種で、「サービス拒否攻撃」とも言います。標的とするサイトやサーバに大量のデータを送りつけ、負荷をかけてダウンさせます。
似た名称のものに「DDoS(ディードス)攻撃」がありますが、これはDoS攻撃をマルウェアなどで乗っ取った複数の端末から行うもので、「分散型サービス拒否攻撃」とも言います。

・フィッシング

偽のメールやWebサイトに誘導して情報を窃取するという古典的な攻撃手法ですが、いまだに後を絶ちません。最近では、有名人になりすました偽物の広告による投資詐欺の被害が相次ぎ、その広告を掲載したSNSの運営会社が訴えられるというニュースがありました。さらに最近の傾向として、生成AIなど人工知能の発達により、音声・映像など偽のコンテンツの精度が急激に向上し、本物と見分けがつかないという状況も生まれています。

・ヒューマンエラー

メール誤送信のような、従業員によるヒューマンエラーにも、注意が必要です。本来送るべきではないところにメールを送ってしまう、間違ったファイルを添付してしまうといったことから、個人情報や機密情報が漏れるケースもあります。またヒューマンエラーでよくあるのが、PC、タブレット、スマートフォン、USBメモリなどを紛失したり、盗まれたりすることです。こうした管理の甘さも、情報セキュリティインシデントに挙げられます。

※2 標的型攻撃:特定のターゲットを狙って行われるサイバー攻撃のこと。
※3 サプライチェーン攻撃:業務上のつながりを悪用して行われるサイバー攻撃のこと。

( 3 ) 情報セキュリティインシデントの具体例

では、近年のニュースから、情報セキュリティインシデントの事例を4つご紹介します。

取引先を「踏み台」に悪用

国内の総合病院がサプライチェーン攻撃を受け、2カ月間の業務停止に陥りました。攻撃の踏み台にされたのは、給食を提供していた取引先の事業者です。ネットワーク上の脆弱性が放置されたことが、このインシデントの要因でした。

ランサムウェアに感染

ある宅配サービス会社のPCがランサムウェアに感染し、6,000件を超える個人情報が流出した可能性があると報告されました。社内システムを調査した結果、パスワードの強度の低さ、サーバに存在する脆弱性などが判明しました。

内部からの不正持ち出し

大手通信事業者の顧客情報が、業務委託先の元派遣社員によって不正に持ち出されました。その数はおよそ596万件。しかしネットワーク監視によって早期に発見され、警察にも相談したところ、不正利用は認められませんでした。

なりすましメール被害

某旅行会社の子会社の従業員が、取引先の航空会社を装ったメールの添付ファイルを開き、ウイルスに感染。実在する航空会社のドメインだったためまったく気づかず、その間に流出した可能性がある情報は約793万件とされています。

( 4 ) 情報セキュリティインシデントの被害を防ぐ対策

先述のようなインシデントを起こさないために、企業は普段からどのような対策を講じておけばよいのでしょうか。事前にできる予防策を紹介します。

重要な資産の場所を正しく把握する

情報はヒト・モノ・カネと同じく「資産」です。その資産がどこにあるのか(保存や格納されている場所)を正しく把握することで、どこを守れば良いのかがわかります。

社内のセキュリティ体制を見直す

いざというときの迅速な対応など、情報セキュリティに関する社内体制を整備しておきましょう。どうやって速やかにシステムやネットワークを復旧させるか、連絡方法や指揮系統はどうするか、といったことを決めておく必要があります。これについては、後述する対応手順も参考にしていただければと思います。

定期的な研修を実施する

「企業は人なり」と言うように、従業員の教育は情報セキュリティ面においても欠かせない取り組みです。大切なのは、定期的に研修を実施することです。情報セキュリティは一度の研修で理解することは難しく、人の意識も簡単に向上するものではありません。回数を重ねることにより、情報セキュリティに対する意識が醸成されていきます。

OSやソフトを最新バージョンに保つ

OSや各種ソフトウェアは、最新の状態に保っておくことが大切です。定期的にアップデートすることで、セキュリティ上の不具合・欠陥も修正されます。古い状態のままだと、放置された脆弱性が攻撃者にとって格好の標的になります。

データのバックアップを取っておく

業務で使う大事なデータのバックアップも忘れてはなりません。紛失できない情報は、ハードディスクにバックアップをとって遠隔保管したり、クラウドサービス(※4)を活用したりしましょう。

適切なセキュリティツールを選ぶ

セキュリティツールの導入は、情報セキュリティインシデントに備えるうえで欠かせない「設備投資」です。限られたリソースで有効な防御を行うには、オールインワンでさまざまな機能を搭載したUTM(※5)がおすすめです。

※4 クラウドサービス:クラウドは「雲」の意。インターネット環境が整っていれば、いつでもどこでもファイルのアップデートやダウンロードなどができる。
※5 UTM:「Unified Threat Management」の略で、日本語では「統合脅威管理」。ネットワークの出入り口に設置することで、外部・内部の脅威から社内ネットワークを包括的に守る役割を担う。

( 5 ) 情報セキュリティインシデント発生時の対応手順

どれだけ対策をしていても、情報セキュリティインシデントをゼロにすることは困難です。そこで、有事を想定して対応手順を考えておくことが大切です。これからマニュアルなどを検討する企業の方は、以下のステップを参考にしてください。すでに体制を整えている企業も、改めて確認するとよいでしょう。

①責任者への報告

会社としては、何が起きたのか(起きているのか)まずは把握することが重要です。インシデントを発見した場合、発見者は責任者(誰にするか事前に決めておきます)に報告することを、従業員全員に周知しておきましょう。責任者は対策チームを迅速に立ち上げます。

②適切な初動対応

対策チームは、アクセス制限やサービス停止、機密情報の隔離といった適切な初動対応を行います。被害を広げないための、いわば「応急処置」です。

③原因の究明

初動対応が速やかに済んだら、原因の調査に取りかかります。いわゆる「5W1H」の手法を用いて、より具体的に調べていきます。例を挙げてみましょう。

When(いつ)/2024年○月○日(○曜日)
Where(どこで)/オフィス内のPCで
Who(誰が)/従業員○○が
What(何を)/添付ファイルを
How(どのように)/指示されるままに開封
Why(なぜ)/取引先からのメールだと思ったため

この場合、従業員が何の疑いも抱かずにメールと添付ファイルを開いていることから、従業員のセキュリティに対する意識が低いのではないか、そもそもこの会社にはメールチェックに関するルールがないのではないか、ということが見えてきます。このようにして問題を掘り下げ、分析していきます。

④公表および通知

どのようなインシデントが起き、現在どんなことが懸念されているか、あるいはサービス再開や復旧に関する目途について、顧客・取引先・株主など、あらゆるステークホルダー(※6)に知らせなければなりません。場合によっては警察に相談したり、マスコミに発表する必要もあるでしょう。

⑤復旧への努力

事業やサービスの正常な稼働に向けて、復旧に努めます。同時に専用の窓口を設けるなど、被害の拡大状況に関する情報を収集したり、ステークホルダーの心理的な面に配慮して不安を解消したりします。

⑥再発防止への取り組み

最終的には「調査報告書」をまとめます。その際、いかに再発防止に努めるかを明記し、実際に推進することが企業の信頼を守るうえで大切です。自社では十分な調査ができないと判断した場合、または透明性の高い調査が求められる場合などには、外部サービスを活用する、第三者機関に依頼する、といった方法もあります。

※6 ステークホルダー:企業にとって影響を受ける可能性がある利害関係者のこと。従業員も含まれる。

( 6 ) まとめ

今回は、情報セキュリティインシデントの発生理由や種類、事前に実施しておきたい対策や起きてしまった場合の対応手順などについて紹介してきました。自社のセキュリティ強化の参考として役立てていただければと思います。
もはや「ウチは中小企業だから大丈夫だろう」などと言ってはいられません。情報セキュリティインシデントは、いつ、どこで起きてもおかしくない状況です。会社の信用を落とすことなく成長を続けるためには、普段から万一の事故に備えておくことが重要と言えるでしょう。

サクサでは、サイバー攻撃をはじめとする中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。
また、最新セキュリティレポートや情報漏洩対策チェックリストなど、さまざまなお役立ち資料もご提供していますので、ぜひご活用ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら