このページでは、セキュリティインシデントが発生した際の対応策や対処法についてまとめています。セキュリティインシデント対応のフローを理解しておき、リスクマネジメントを強化していきましょう。
インシデントとは重大事故に発展する可能性のあるトラブルや状況であり、セキュリティインシデントとは文字通り情報セキュリティに関して大きな問題になりかねないトラブルや状況といえます。
そのため、セキュリティインシデントが発生していると認められた場合、速やかに対処しなければ深刻な事故が発生してしまう可能性が高まります。また、その場では事故を回避できたとしても、セキュリティインシデント対応を誤れば将来的なリスクを残すことになるでしょう。
セキュリティインシデントとは重大事故のきっかけであり、企業にとって深刻な情報セキュリティ関連リスクと考えられます。
セキュリティインシデント対応を適正に行わないということは、リスクを放置するということであり、事業継続における安定性や安心感を損ないかねないきっかけになります、そのためセキュリティインシデントについては日常的に注意しておき、存在が認められれば速やかに対処しなければなりません。
マルウェアとは、コンピュータウイルスなどコンピュータの使用者やサービス利用者、顧客などに悪影響をもたらすことを目的としたソフトウェアの総称です。
マルウェアに感染したパソコンやデバイス、システムはそれ自体が悪意や害意を拡散させる拠点になりかねず、企業にとって情報セキュリティに関するリスクになるだけでなく、企業としての信頼性を損ないかねない重大なセキュリティインシデントです。
DoS攻撃とは、企業の公式サイトや管理サーバなどに大量かつ短期間のデータ送信を行い、アクセス障害やネットワークの遅延といったトラブルを引き起こさせるネットワーク攻撃を指します。
DoS攻撃は複雑なマルウェアなどを用いずとも、大量のデバイスやパソコンを使用したり、大勢が意図的に集中的なアクセスを行ったりすることによって実行できることが問題です。
企業の公式サイトや問い合わせ用のメールアドレスに迷惑メールを送信することで、マルウェア感染やフィッシングを狙うといった攻撃も想定されます。また、企業の名称を騙って消費者や顧客に迷惑メールを送信したり、企業やサービスに対する一般からの信頼性を損なわせたりといった悪意も無視できません。
迷惑メールは企業の実務面に関してもブランディングにとってもセキュリティインシデントになります。
企業内のサーバやシステム、従業員のコンピュータやデバイスに外部から不正にアクセスし、マルウェアに感染させたり重要情報を盗み取ったりといった不正アクセスのリスクも無視できません。
不正アクセスに対抗するためにはファイアーウォールなどのセキュリティソフトを強化するだけでなく、パスワードや生体認証など複数のシステムを使った多段階認証も重要です。
従業員が社外に持ち出したコンピュータやUSBメモリー、SDカードといったデバイスやメディアは、それ自体が情報セキュリティの観点から見るとリスクです。
デバイスやメディアを紛失したり盗まれたりしないよう注意することはもちろんとして、もしも第三者の手にそれらが渡ってしまった場合に備えて、第三者が情報へアクセスできないよう備えておくことが欠かせません。
従業員が意図的に情報を漏洩したり、業務に無関係なウェブサイトやアプリを業務用のデバイスで利用していたりした場合、悪意ある第三者に重要な情報が渡って深刻なトラブルに発展するリスクが増大します。
内部不正は企業スパイなど社外の人間が引き金になるだけでなく、従業員の不満が高まることで報復的に引き起こされるケースもあり、多角的な対策が肝要になります。
地震などの天災や突発的な自然災害によってサーバやパソコンなどが物理的に破損し、大切な情報へアクセスできなくなったり、重要な情報が失われてしまったりといったリスクも無視できません。
また、サーバやパソコンは無事でも停電などによってシステムがシャットダウンし、セキュリティインシデントに対応できないタイミングが発生してしまう恐れもあるでしょう。
セキュリティインシデントが発生していると発覚したり、そのリスクが判明したりした場合、速やかに内容を報告し、詳細を記録しなければなりません。
報告先はあらかじめ社内で構築したフローに則ってピックアップし、必要な情報を伝えるべき部門や部署、関係者間で十分に共有管理することが大切です。
また、記録すべき内容も事前に検討しておき、その後の対策で不足しないよう注意します。
セキュリティインシデント対応では初動対応が重要となります。例えば、マルウェア感染や不正アクセスといった外部からのネットワーク攻撃に起因するものであれば、ネットワークを遮断したりリスクのあるデバイスとその他のシステムなどを隔離したりといったことが必要です。
また、社内の対応部門やフォレンジック調査会社のような専門家にも連絡して、インシデントに合わせた応急処置を実行します。
初動対応として応急処置や関係各所への情報共有を行うと共に、セキュリティインシデントの原因や被害状況について調査をスタートさせることも重要です。特に原因が分からなければ再びセキュリティインシデントが発生するリスクを解消できないため、可及的速やかに詳細を調査するようにします。
また被害状況を客観的に調査・分析することで、今後の対策を具体化していく道筋を検討できるようになります。
セキュリティインシデントが発生した場合、その事実を関係各所やマスコミへ公表したり、顧客へ問題の事実と今後の対応について通知したりしなければなりません。
下手に情報を隠匿して後から発覚した場合、セキュリティインシデントによる被害だけでなく企業としての信用性が損なわれてさらに深刻な損害につながるため、必ず誠意を持って企業としての社会的責任を果たすことが大切です。
セキュリティインシデントについてきちんと対応した後は、改めてシステムやサービスを復旧させて再稼働へ進めることも必要です。
ただし、システムの再開やサービスの復旧に際しては、再発防止に向けて具体的な取り組みを実行できていることが大前提となっており、安全性が担保されるまで安易に再稼働しないよう冷静に努めなければなりません。
セキュリティインシデントへの対応が十分に実行されてサービス復旧やシステム再開の道筋が確立されれば、改めて株主や取引先、顧客、マスコミなどに報告して企業としての信頼回復に努めなければなりません。
また必要に応じて再発防止のための対策チームを発足させたり、フォレンジック調査会社のような専門家に相談して情報セキュリティを強化したりといったことも重要になります。
セキュリティインシデントの発生時に初期対応を誤れば、後々に企業としての信頼喪失につながりかねないだけでなく、訴訟に発展した際などに必要になる証拠や記録が消失してしまう恐れも拡大します。
セキュリティインシデントの発生を知られまいと問題を隠蔽することで、結果的に証拠を確保できなくなり、自社が被害者でなく加害者と同様に扱われてしまうかもしれません。そのため、セキュリティインシデント対応では適切かつ速やかな情報保全と安全対策が不可欠です。
セキュリティインシデントには現時点で発覚しているものだけでなく、潜在的に発生しているものがあるかもしれません。つまり、素人だけで原因究明や問題の調査を行ったとしても、本質的にインシデントを解決できないままになってしまう恐れがあります。
そのためフォレンジック調査会社など、情報セキュリティに関する専門家へ速やかに相談して対処してもらうことが大切です。
フォレンジック調査の目的別に、「専門性」「対応力」があって信頼できるパートナーを厳選紹介。依頼先をリサーチしている担当者の方は、ぜひ参考にしてください。
元従業員が会社のパソコンを売買するなどして約7千万円を不当に得ていた事例。疑わしい2名に対し、ヒアリングを実施しつつ会社・自宅の両パソコン、携帯電話、クラウド上データを調査。データ数が膨大であったものの、フォレンジックによる手法で信頼性を損なわずコストも抑えた調査を実現。
※参照元:アスエイト・アドバイザリー公式HP(https://asueito.com/advantage/#casestudy-section2)
テレワークという新たな課題に対して、ビジネスの安心・安全確保に取り組む必要があり導入。テレワークによって生じるリスクのマネジメントと、診断によってニューノーマルな働き方に貢献。
※参照元:セキュアワークス公式HP(https://www.secureworks.jp/resources/cs-bank-of-yokohama)
数百台の端末を対象に、解析ツールでの分析を行って攻撃ルートを可視化し、マルウェア感染の被害端末を特定。漏洩情報が売買されていないかも調査。その結果、情報漏洩が起きていた端末が判明し、ダークウェブにも情報が流れていたことが明らに。
※参照元:FRONTEO公式HP(https://legal.fronteo.com/casestudy/case2/)