セキュリティインシデント発生時の対応

このページでは、セキュリティインシデントが発生した際の対応策や対処法についてまとめています。セキュリティインシデント対応のフローを理解しておき、リスクマネジメントを強化していきましょう。

そもそもセキュリティインシデントとは

インシデントとは重大事故に発展する可能性のあるトラブルや状況であり、セキュリティインシデントとは文字通り情報セキュリティに関して大きな問題になりかねないトラブルや状況といえます。

そのため、セキュリティインシデントが発生していると認められた場合、速やかに対処しなければ深刻な事故が発生してしまう可能性が高まります。また、その場では事故を回避できたとしても、セキュリティインシデント対応を誤れば将来的なリスクを残すことになるでしょう。

セキュリティインシデントへの対応が重要な理由

セキュリティインシデントとは重大事故のきっかけであり、企業にとって深刻な情報セキュリティ関連リスクと考えられます。

セキュリティインシデント対応を適正に行わないということは、リスクを放置するということであり、事業継続における安定性や安心感を損ないかねないきっかけになります、そのためセキュリティインシデントについては日常的に注意しておき、存在が認められれば速やかに対処しなければなりません。

代表的なセキュリティインシデントの種類

マルウェア感染

マルウェアとは、コンピュータウイルスなどコンピュータの使用者やサービス利用者、顧客などに悪影響をもたらすことを目的としたソフトウェアの総称です。

マルウェアに感染したパソコンやデバイス、システムはそれ自体が悪意や害意を拡散させる拠点になりかねず、企業にとって情報セキュリティに関するリスクになるだけでなく、企業としての信頼性を損ないかねない重大なセキュリティインシデントです。

DoS攻撃

DoS攻撃とは、企業の公式サイトや管理サーバなどに大量かつ短期間のデータ送信を行い、アクセス障害やネットワークの遅延といったトラブルを引き起こさせるネットワーク攻撃を指します。

DoS攻撃は複雑なマルウェアなどを用いずとも、大量のデバイスやパソコンを使用したり、大勢が意図的に集中的なアクセスを行ったりすることによって実行できることが問題です。

迷惑メール

企業の公式サイトや問い合わせ用のメールアドレスに迷惑メールを送信することで、マルウェア感染やフィッシングを狙うといった攻撃も想定されます。また、企業の名称を騙って消費者や顧客に迷惑メールを送信したり、企業やサービスに対する一般からの信頼性を損なわせたりといった悪意も無視できません。

迷惑メールは企業の実務面に関してもブランディングにとってもセキュリティインシデントになります。

不正アクセス

企業内のサーバやシステム、従業員のコンピュータやデバイスに外部から不正にアクセスし、マルウェアに感染させたり重要情報を盗み取ったりといった不正アクセスのリスクも無視できません。

不正アクセスに対抗するためにはファイアーウォールなどのセキュリティソフトを強化するだけでなく、パスワードや生体認証など複数のシステムを使った多段階認証も重要です。

コンピュータやUSBメモリーなどの紛失・盗難

従業員が社外に持ち出したコンピュータやUSBメモリー、SDカードといったデバイスやメディアは、それ自体が情報セキュリティの観点から見るとリスクです。

デバイスやメディアを紛失したり盗まれたりしないよう注意することはもちろんとして、もしも第三者の手にそれらが渡ってしまった場合に備えて、第三者が情報へアクセスできないよう備えておくことが欠かせません。

内部不正

従業員が意図的に情報を漏洩したり、業務に無関係なウェブサイトやアプリを業務用のデバイスで利用していたりした場合、悪意ある第三者に重要な情報が渡って深刻なトラブルに発展するリスクが増大します。

内部不正は企業スパイなど社外の人間が引き金になるだけでなく、従業員の不満が高まることで報復的に引き起こされるケースもあり、多角的な対策が肝要になります。

自然災害によるセキュリティ設備のトラブル

地震などの天災や突発的な自然災害によってサーバやパソコンなどが物理的に破損し、大切な情報へアクセスできなくなったり、重要な情報が失われてしまったりといったリスクも無視できません。

また、サーバやパソコンは無事でも停電などによってシステムがシャットダウンし、セキュリティインシデントに対応できないタイミングが発生してしまう恐れもあるでしょう。

セキュリティインシデントが発生した際の対応フロー

1.インシデントの報告

セキュリティインシデントが発生していると発覚したり、そのリスクが判明したりした場合、速やかに内容を報告し、詳細を記録しなければなりません。

報告先はあらかじめ社内で構築したフローに則ってピックアップし、必要な情報を伝えるべき部門や部署、関係者間で十分に共有管理することが大切です。

また、記録すべき内容も事前に検討しておき、その後の対策で不足しないよう注意します。

2.初動対応

セキュリティインシデント対応では初動対応が重要となります。例えば、マルウェア感染や不正アクセスといった外部からのネットワーク攻撃に起因するものであれば、ネットワークを遮断したりリスクのあるデバイスとその他のシステムなどを隔離したりといったことが必要です。

また、社内の対応部門やフォレンジック調査会社のような専門家にも連絡して、インシデントに合わせた応急処置を実行します。

3.原因や被害状況などの調査

初動対応として応急処置や関係各所への情報共有を行うと共に、セキュリティインシデントの原因や被害状況について調査をスタートさせることも重要です。特に原因が分からなければ再びセキュリティインシデントが発生するリスクを解消できないため、可及的速やかに詳細を調査するようにします。

また被害状況を客観的に調査・分析することで、今後の対策を具体化していく道筋を検討できるようになります。

4.通知・公表

セキュリティインシデントが発生した場合、その事実を関係各所やマスコミへ公表したり、顧客へ問題の事実と今後の対応について通知したりしなければなりません。

下手に情報を隠匿して後から発覚した場合、セキュリティインシデントによる被害だけでなく企業としての信用性が損なわれてさらに深刻な損害につながるため、必ず誠意を持って企業としての社会的責任を果たすことが大切です。

5.サービスの復旧

セキュリティインシデントについてきちんと対応した後は、改めてシステムやサービスを復旧させて再稼働へ進めることも必要です。

ただし、システムの再開やサービスの復旧に際しては、再発防止に向けて具体的な取り組みを実行できていることが大前提となっており、安全性が担保されるまで安易に再稼働しないよう冷静に努めなければなりません。

6.事後対応

セキュリティインシデントへの対応が十分に実行されてサービス復旧やシステム再開の道筋が確立されれば、改めて株主や取引先、顧客、マスコミなどに報告して企業としての信頼回復に努めなければなりません。

また必要に応じて再発防止のための対策チームを発足させたり、フォレンジック調査会社のような専門家に相談して情報セキュリティを強化したりといったことも重要になります。

セキュリティインシデント発生時の注意点

不適切な初動対応によって証拠が消失してしまう可能性がある

セキュリティインシデントの発生時に初期対応を誤れば、後々に企業としての信頼喪失につながりかねないだけでなく、訴訟に発展した際などに必要になる証拠や記録が消失してしまう恐れも拡大します。

セキュリティインシデントの発生を知られまいと問題を隠蔽することで、結果的に証拠を確保できなくなり、自社が被害者でなく加害者と同様に扱われてしまうかもしれません。そのため、セキュリティインシデント対応では適切かつ速やかな情報保全と安全対策が不可欠です。

専門家にいち早く相談することが大切

セキュリティインシデントには現時点で発覚しているものだけでなく、潜在的に発生しているものがあるかもしれません。つまり、素人だけで原因究明や問題の調査を行ったとしても、本質的にインシデントを解決できないままになってしまう恐れがあります。

そのためフォレンジック調査会社など、情報セキュリティに関する専門家へ速やかに相談して対処してもらうことが大切です。

【目的別】
フォレンジック調査会社3選

フォレンジック調査の目的別に、「専門性」「対応力」があって信頼できるパートナーを厳選紹介。依頼先をリサーチしている担当者の方は、ぜひ参考にしてください。

選出基準:「フォレンジック調査」で検索上位30社のうち、「不正・不祥事調査支援」「サイバーセキュリティ調査支援」「eディスカバリー支援」それぞれの領域において、公式サイトにて多くの実績を確認できた企業を選出(2022年1月調査時点)
アイコン
アイコン
不正・不祥事の証拠
適格に発見
解決したい

アスエイト・アドバイザリー

アスエイト・アドバイザリー
引用元:アスエイト・アドバイザリー
https://asueito.com/
アイコン
アイコン
サイバーセキュリティ
に対する脆弱性
診断し対策を立てたい

セキュアワークス

セキュアワークス
引用元:セキュアワークス
https://www.secureworks.jp/
アイコン
アイコン
国際訴訟における
電子データ開示・提出
に対応したい

FRONTEO

FRONTEO
引用元:FRONTEO
https://legal.fronteo.com/