情報セキュリティインシデントとは、情報セキュリティに関する攻撃や事故などを総称する言葉です。年々進むデジタル化によって、情報システムに関するトラブルが増大し、社会の関心を集めるようになりました。
本記事では、情報セキュリティインシデントの予防策と、起こった場合の対応方法を解説します。
目次
情報セキュリティインシデントとは?情報セキュリティに関する重大事案
情報セキュリティインシデントとは、情報セキュリティに関する攻撃や事故、災害などの重大な事案のことです。「情報」を省略して、単に「セキュリティインシデント」や「サイバーインシデント」と呼ぶ場合もあります。
社会全体のDX化が進む一方で、システムの不具合やサイバー攻撃、人的ミスなどによって情報システムに問題が発生し、企業活動に大きな影響を及ぼすリスクが増大しています。企業としては情報セキュリティインシデントが起こらないように日頃から対策を講じておき、万が一情報セキュリティインシデントが起こった場合は、被害をできる限り抑える必要があります。
情報セキュリティインシデントの種類
情報セキュリティインシデントの発生原因には、大きく分けて以下の3つのタイプがあります。
- 外部からの侵入
- 組織内部のヒューマンエラー・不正行為など
- 災害・外部システムのトラブル
情報セキュリティインシデントを防止・解決する際は、それぞれのタイプごとに対策を取ることが重要です。
外部からの侵入
外部から情報システムに侵入するサイバー攻撃は多様化しています。情報セキュリティインシデントにつながる主なサイバー攻撃には、以下のようなタイプがあります。
- マルウェア(迷惑メールの感染拡大など)
- ランサムウェア(システムを停止させて身代金を要求)
- DoS攻撃(サーバーなどへの過剰なアクセス)
- 標的型攻撃(機密情報の取得を目的とした特定の団体・個人への攻撃)
- その他の不正アクセスなど
近年被害が多発しているのが、マルウェアの一種Emotet(エモテット) です。Emotetは不正なメールに添付されているExcelやWordに添付されて届きます。うっかり添付ファイルを開くと、メールアカウント・パスワード・アドレス帳などの情報が抜き取られるので、注意しなければなりません。またEmotetは侵入したパソコンから他のメールアドレスに対し、ウイルスに感染したメールを送付するので、取引先や顧客にも被害が及ぶ可能性があります。
組織内部のヒューマンエラー・不正行為など
情報セキュリティインシデントといえば、外部からのサイバー攻撃に目を奪われがちですが、PCの操作ミスや不正なデータの持ち出しなどの内部的な要因にも注意しなければなりません。具体的には以下のようなインシデントが考えられます。
- メールの送信ミス
- Webサイトなどの設定ミス
- 記憶媒体やPCを社外に持ち出したときの紛失・盗難
- 不正操作・データの不正持ち出し
災害・外部システムのトラブル
地震や台風などの自然災害も、情報セキュリティインシデントを引き起こす重大な要因です。また、クラウドサービスなどの外部のサービスに不具合が生じると、内部のシステムにも大きな影響を与える可能性があります。災害や外部システムのトラブルは避けるのが難しい事案ですが、発生したときの対応を最適化することで、影響を最小限に抑えることが可能です。
具体的なインシデントには、以下のようなものが考えられます。
- 停電や落雷による内部の情報システムの停止
- 地震・火災・台風・水害による設備や機器の故障
- 外部サービスのトラブル・停止
- 上記3つの原因によるデータの損失
過去の情報セキュリティインシデントの具体例
ここで、過去の情報セキュリティインシデントの具体例を解説します。
事例①:派遣社員による不正持ち出し
1つ目は、某大手通信会社の2つの子会社(A社とB社)で個人情報が不正に持ち出された例をご紹介します。
A社が利用するコールセンターシステムの運用保守を担うB社に派遣されていた元派遣社員が、顧客情報を不正に持ち出し、第三者に流出させていたことが判明したという事案です。システム管理者用のアカウントを悪用して個人情報を保管しているサーバーにアクセスし、個人情報をUSBにコピーして持ち出していたようです。
A社はテレマーケティング業務を受託しており、A社にテレマーケティングを依頼していた企業・自治体など、少なくとも59のクライアントが保有する約900万人分の個人情報が流出しました。
両社は主な原因として以下のような点を挙げています(※)。
- 保守作業端末でダウンロードが可能だった
- 保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能だった
- セキュリティリスクが大きいと想定される振る舞いをタイムリーに検知できていなかった
- 各種ログなどの定期的なチェック体制が不十分だった
navigate_next出典:株式会社NTTマーケティングアクトProCX「NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)」(2023-10-17)
navigate_next出典:株式会社NTTマーケティングアクトProCX.「NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(続報)」(2023-12-19)
事例②:メールの誤送信
2つ目は、とある県で発生した人為的なミスをご紹介します。職員の人間ドック受診者の個人情報を、本来送るべきではない医療機関に送信したというミスです。これにより、漏県職員など4,884名分の個人情報(氏名、年齢、生年月日、性別、住所、電話番号など)が漏洩しました。
本案件は、県職員の人間ドック受診に関して、県総務事務厚生課が外部の企業に委託したものです。受託業者は全受診者のリストから、それぞれの人間ドック実施医療機関ごとの受信者データを作成し、総務事務厚生課に提出する流れとなっていました。
データ提出の際、作成に用いた全職員のファイルを削除しなかった点、データを受け取った県職員もメール送信時にチェックしなかった点の2つが、発生の原因と考えられています(※)。
navigate_next出典:福岡県「県職員等の人間ドック受診者情報のデータの誤送信について」(2023-06-01)
情報セキュリティインシデントの事前防衛策
情報セキュリティインシデントが起こらないようにするには、常日頃から対策を実施する必要があります。外部からのサイバー攻撃や内部のミスや不正、災害や外部システムのトラブルなど、それぞれの要因に対して適切な対策を検討しなければなりません。具体的な対策は以下の通りです。
IT・情報リソースの管理体制の整備
情報セキュリティシステムの不備を改善するには、何よりも社内の情報システムを詳細に把握・理解しておく必要があります。システムに脆弱性がある場合は、速やかに改善しましょう。
ネットワーク上のリソースだけでなく、書類やスタンドアロンのPCのハードディスクや記録媒体(USBなど)に保存されているデータも、全て洗い出してください。無断で持ち出されたり、コピーや改変をされたりしないよう、組織の管理下に置かなければなりません。
また私物のデバイスやUSBなどをむやみに社内のネットワークにつなげないよう、制限を設けるルール作りも必要です。
社内の全てのリソースを把握し、システムの不備がないかどうかをチェックするのは簡単なことではありません。場合によっては専門知識を持った人材を増員したり、専門の情報セキュリティサービス会社に協力を依頼したりといった対策も検討しましょう。
社内システムのセキュリティの強化
サイバー攻撃の手段は年々新たなものが誕生し、ウイルスも日々進化が繰り返されています。社内セキュリティを強固にするには、セキュリティソフトを導入するだけでなく、常に最新のバージョンにアップデートした状態を保たなければなりません。むやみに企業の重要なデータにアクセスできないよう、アクセスを制限することも、重要な情報セキュリティインシデント対策です。
従業員のITリテラシー教育
情報セキュリティインシデントを未然に防ぐためには、システムやハードウェアの整備を強化するだけでなく、従業員への啓蒙も重要です。怪しいメールを開いてマルウェアに感染したり、不用意に社内のデータを持ち出したりしないよう、周知を徹底しなければなりません。
インシデントを想定した訓練の実施
重大な情報セキュリティインシデントは、自然災害と同様に、企業に大きな損害を与える可能性があります。災害対策として地震や火事を想定した避難訓練を行うのと同じように、情報システムに関しても、インシデントが起こった場合を備えて訓練(シミュレーション)を行いましょう。
インシデントが起こった際の社内の連絡体制や指揮系統を構築した上で、迅速かつ正確な対応ができるようマニュアルを作成し、実際に想定通りに実施できるかをチェックしておくのがおすすめです。
サイバー保険への加入
情報セキュリティインシデントが企業に与える経済的損失は、非常に大きなものとなり得ます。
例えばランサムウェアによる攻撃を受けると、システムを復旧させるために多額の身代金を要求されるかもしれません。顧客の個人情報を流出させた場合は、被害者から慰謝料を請求される可能性も考慮しなければなりません。過去の裁判例をみると、一人当たりの慰謝料は数千円~数万円程度が目安と考えられます。仮に何万人もの個人情報が漏洩した場合、全員への慰謝料の合計は、数億円に上ります。
サイバー保険は、サイバー攻撃などの情報セキュリティインシデントによる慰謝料などの損害を補償してもらえる保険です。他の対策を実施した上で、サイバー保険への加入も検討しましょう。
情報セキュリティインシデント発生後の対応法
実際に情報セキュリティインシデントが発生した場合に備えて、事前に対応策を準備しておくことも大変重要です。インシデントの種類にもよりますが、基本的な対応方法は以下のステップで行います。
発見・報告
情報セキュリティインシデントの発生を確認した場合は、速やかに関連部署や責任者に報告しなければなりません。少しでもその兆候があれば決定的な証拠はなくても連絡・相談するように心がけましょう。
初動対応
報告が終われば被害の拡大と二次被害の発生を防止する応急処置を実施します。大きな問題に発展する前に的確・迅速に初動対応を取ることが重要です。
調査
被害防止策を進めるとともに、インシデントの内容についてさらに詳しい調査を行います。次のステップに備えて正確な情報の収集・分析が必要です。
通知・報告等
個人情報が流出した場合などは、法律に基づき、流出した個人情報の本人・取引先への通知や監督官庁への報告が義務付けられています。犯罪性があれば警察への届け出も検討しなければなりません。
被害を受けた人が特定できない場合や被害者本人に直接連絡できない場合は、ホームページでの情報公開やマスコミへの公表を検討する必要があります。
事後対応
インシデントによって発生した被害の回復を行います。被害者への補償を検討し、ダメージを受けた情報システムを復旧しなければなりません。
同時に再発防止策を立案・実施します。
【まとめ】複数の対策を組み合わせて情報セキュリティインシデントに備えよう
社会のDX化に伴い、情報セキュリティインシデントのリスクは増大しています。
インシデントは多様な要因で起こる可能性があるので、トラブルを未然に防ぐにはさまざまな対策を組み合わせる必要がありますが、なかでも簡単に導入できて効果を発揮するのが操作ログの管理です。操作ログの記録・管理によって、内部の不正操作が抑止され、インシデントが起こった際の迅速な原因解明が可能となります。
MylogStarは、多くの企業の信頼を獲得している操作ログを管理するツールです。多くのPC操作情報が取得可能で、ログ管理・分析能力も充実しています。無料体験版を用意しているのでぜひ一度お試しください。
PC操作ログの収集・管理ソフトウェア
MylogStar (マイログスター )
MylogStarは、情報漏えい対策、および、万が一情報漏えいが発生した際の原因究明や拡散防止に有効なPC操作ログ管理専用ソフトウェアとして2008年の販売開始以来、高いログ収集能力が評価され、数多くの企業・団体にご導入いただいております。
MylogStar ラインナップ
1台のスタンドアロンPCからクライアント30,000台のエンタープライズシステムまで、規模やコストに合わせた様々なラインナップでログ管理をサポートします。
クライアントサーバー型
管理サーバーで監視対象のログを一元管理
スタンドアロン型
監視対象マシン内でログ管理を完結。管理サーバーは不要
Mylogstar
30日間無料トライアル
- 業界トップクラスの操作ログ収集力を体験
- シリーズの最新トライアルを全ラインナップ提供
- トライアル版から製品版として継続利用が可能(希望企業様のみ)
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
