セキュリティインシデントとは?企業・組織が取るべき対策を紹介
公開:2024年1月18日
一度発生してしまうと企業に甚大な被害をもたらす可能性があるセキュリティインシデント。外部からのサイバー攻撃によって発生するものと思われがちですが、昨今の重大なセキュリティインシデントはサイバー攻撃によるものだけではないということを理解することが重要です。
この記事では、セキュリティインシデントの要因と具体的な被害事例、対策を解説します。セキュリティインシデントにつながるリスクを正しく認識し、適切な対策をおこないましょう。
1. 「セキュリティインシデント」とは
セキュリティインシデントとは、不正アクセスやマルウェアの感染といった「企業・組織の情報セキュリティの脅威となりうる事象」を指します。セキュリティインシデントが発生すると、企業・組織の情報漏えいや提供サービスの停止などにつながり、結果として顧客からの信頼を失うことになります。企業の存続にも重大な影響を与えかねません。
2. セキュリティインシデントの種類
セキュリティインシデントは必ずしも外的要因によるものだけではありません。ここでは、セキュリティインシデントにつながる要因を解説します。
2.1. 外的要因によるセキュリティインシデント
外的要因によるセキュリティインシデントとは、外部からのサイバー攻撃によって発生する事象です。外的要因によるセキュリティインシデントの代表例としては、不正アクセスやマルウェア、標的型攻撃、DoS・DDoS攻撃などが挙げられます。
| インシデントの種類 | 概要 |
|---|---|
| 不正アクセス | 企業・組織の情報資産に不正にアクセスし、情報漏えいや改ざんなどをおこなう攻撃 |
| マルウェア | マルウェアと呼ばれる悪意のあるプログラムを利用し、企業・組織のコンピュータを不正に操作する攻撃 |
| 標的型攻撃 | 企業・組織の関係者を装い、情報資産を盗み取ろうとする攻撃 |
| DoS・DDoS攻撃 | 企業・組織のサーバーなどに負荷をかけ、サービスを停止させる攻撃 |
左右にスクロールできます
以下、それぞれの攻撃について詳しく解説します。ここで紹介していないサイバー攻撃については以下の記事でご紹介しています。併せてご覧ください。
サイバーセキュリティとは?いま知るべき最新情報と対策
不正アクセス
不正アクセスとは、企業・組織の情報資産に不正にアクセスし、情報漏えいや改ざんなどをおこなう攻撃です。
企業・組織のファイルサーバーに外部から不正にアクセスして企業・組織情報を盗み取ることや、企業・組織が運営するWebサービスに不正にアクセスし顧客情報を盗み取ることなどが挙げられます。
マルウェア
マルウェアとは悪意のあるプログラムを指します。企業・組織のコンピュータがマルウェアに感染すると、コンピュータ内の情報を外部に送信されたり、情報を暗号化され利用できなくなったりする被害につながります。マルウェアに感染したコンピュータがさらなるサイバー攻撃の中継地点にされる恐れもあります。
標的型攻撃
標的型攻撃とは、企業・組織の関係者を装い情報資産を盗み取ろうとする攻撃です。
代表的な攻撃としては、取引先の企業や顧客を名乗るメールを送信して企業・組織内のコンピュータをマルウェアに感染させる、フィッシングサイトに誘導しユーザーID・パスワードを盗み取るなどが挙げられます。近年の標的型攻撃のメール文面は巧妙化しており、本文を見ただけでは判別がつきにくいものが増えています。
DoS・DDoS攻撃
DoS・DDoS攻撃とは、企業・組織のサーバーなどに大量のデータを送りつけることで負荷をかけ、サービスを停止させる攻撃です。
DoSは一つのコンピュータから、DDoSは複数のコンピュータから攻撃をおこないます。DDoSにおいてはマルウェアに感染したユーザーのコンピュータが悪用されるケースも多く、攻撃者の特定が難しいという特徴があります。
2.2. 内的要因によるセキュリティインシデント
内的要因によるセキュリティインシデントとは、人の不注意や故意によって発生するセキュリティインシデントです。代表例として、記録媒体や端末の紛失、データの改ざんや消去、メールの誤送信などが挙げられます。
| インシデントの種類 | 概要 |
|---|---|
| 記録媒体や端末の紛失 | 不注意により記録媒体や端末を紛失し情報漏えいが発生するインシデント |
| データの改ざんや消去 | 不注意や故意によりデータの改ざんや消去してしまうことで情報資産の紛失が発生するインシデント |
| メールの誤送信 | 不注意によりメールを誤送信してしまい情報漏えいが発生するインシデント |
左右にスクロールできます
それぞれ詳しく見ていきましょう。
記録媒体や端末の紛失
社内情報や機密情報が保存されたUSBメモリなどの記録媒体やパソコン、スマートフォンなどの端末を紛失することで情報漏えいが発生するセキュリティインシデントです。不注意により発生することが多く、社内情報や機密情報の管理方法、紛失に備えた暗号化対策などが重要となります。
データの改ざんや消去
不注意や故意によりデータの改ざんや消去してしまうことで社内の情報資産の紛失が発生するセキュリティインシデントです。提供サービス上のデータを改ざん・消去することでサービスの停止につながる恐れもあります。不注意・故意いずれにおいても、適切な権限設定やデータのバックアップ取得などが重要です。
メールの誤送信
不注意によりメールを誤送信してしまうことで情報漏えいが発生するセキュリティインシデントです。代表的な誤送信の例としては、メールの宛先を間違える、添付ファイルに本来送るべきでない情報が含まれたまま送信してしまう、CCとBCCを間違えるなどがあります。誤送信防止ツールやファイルの暗号化ツールなど、誤送信防止と誤送信時の影響軽減の両面で対策をおこなうことが重要です。
2.3. 天災や外部環境によるセキュリティインシデント
天災や外部環境によるセキュリティインシデントとは、台風や雷などの天災、火事や事故、外部サービスを利用している場合に外部サービスのシステム停止などにより発生するセキュリティインシデントです。 これらのセキュリティインシデントは発生自体を防ぐことが難しいため、いかにリスク分散をおこなうかが重要となります。
3. セキュリティインシデントの事例
ここからは、実際に発生したセキュリティインシデントの事例をご紹介します。
3.1. サイバー攻撃による情報漏えいの事例
外的要因によるサイバー攻撃によって、40万件を超える個人情報の漏えいの可能性があるセキュリティインシデントが発生したという事例があります。マルウェアに感染した関連会社のコンピュータを踏み台に、不正アクセスがおこなわれたことから発生しました。関連会社を踏み台にしておこなわれるサイバー攻撃は「サプライチェーン攻撃」と呼ばれ、直近でも多くの企業で被害が発生しています。
3.2. 内部関係者による顧客情報漏えいの事例
顧客リストや地方自治体の行政サービスの対象者など、約900万件の個人情報が保管されているシステムの運用保守を担当する派遣社員が私物のUSBメモリを使って不正にデータを持ち出した、という事例です。不正は10年近くもの間おこなわれており、内部の監視体制の甘さが指摘されています。
3.3. データ改ざんによる信頼低下の事例
国内工場で製造する中大型トラック・バスのディーゼルエンジンの排出ガスなどのデータを改ざんし、不正に申告した、という内的要因のセキュリティインシデントの事例も存在します。この事例は、開発現場の性能目標や開発期限の厳しさなどからコンプライアンスが遵守されなかったために発生しました。これにより、リコールや顧客への補償など巨額の損害発生に加えて大幅な信頼の低下にもつながってしまいました。
4. 企業がすべきセキュリティインシデントへの対策方法
昨今のセキュリティインシデントの事例を踏まえ、企業がとるべき対策を解説します。
4.1. 社内のセキュリティ設備を刷新する
古いネットワーク機器やセキュリティソフトなどはベンダーのサポートが受けられないことが多く、最新のサイバー攻撃に対して脆弱な状態になります。日々巧妙化するサイバー攻撃を防ぐために、サポートを受けられる新しい機器に更新する、セキュリティソフトの定義ファイルを更新するなど、セキュリティ設備を新しくしておきましょう。古い機器を利用せざるを得ない場合には、ファイアウォールの導入やネットワーク分離など、別の対策をとるとよいでしょう。
4.2. 監視体制が整った外部のセキュリティサービスを利用する
不正アクセスや内部不正を抑止するためには、日々の監視体制が重要です。しかし自社内のみで24時間・365日、細やかな監視をおこなうのは難しいでしょう。そのような場合には、外部のセキュリティサービスを導入するのがおすすめです。
「QT PROマネージドセキュリティ」では、ハードウェアの購入なしでファイアウォールや不正侵入検知・防御など、自社に必要なセキュリティ機能を導入できます。また24時間365日体制での監視を提供しており、運用管理の懸念も解消できます。
4.3. 災害に強いデータセンターを利用する
災害や事故によるセキュリティインシデントを防ぐためには、いかにリスク分散をおこない、冗長化しておくかが大切になります。サーバーなどの機器の設置場所を提供するデータセンターであれば社内に機器を設置する場合よりも災害に強く、複数のデータセンターを利用することで冗長化も可能です。
「QT PROデータセンターサービス」には、セキュリティインシデントを防ぐ高信頼ファシリティと厳重なセキュリティが備わっており、専任の技術者による24時間365日体制の運用を提供しています。万一のトラブルに備えてデータセンターの利用を検討しましょう。
4.4. 社員のセキュリティ意識・情報リテラシーを向上させる
標的型攻撃メールによるマルウェアの感染、機密メールの誤送信、内部不正などのセキュリティインシデントを防ぐためには、社員のセキュリティ意識と情報リテラシーの向上が不可欠です。
セキュリティ教育は社内でも実施できますが、最新のセキュリティ事情を熟知した専門企業の研修を取り入れることでより効果的な教育ができます。また、実践的な標的型攻撃メール訓練を取り入れれば、より堅実な対策がおこなえるでしょう。
QT PROの「セキュリティ研修サービス」、「標的型メール訓練サービス」では、企業の状況や希望に合わせた最適なセキュリティ教育を提供しています。セキュリティ教育の強化のために、こうしたサービスの利用を検討しましょう。
4.5. 「ゼロトラスト」を実施、浸透させていく
ゼロトラストとは、「情報資産に対するすべてのアクセスを信頼せず、均等に適切な情報セキュリティ対策を講じるべき」という考え方で、近年の情報セキュリティ対策の基本理念となっています。
過去のセキュリティインシデント事例を踏まえると、社内からのアクセスであっても不用意に信頼することは禁物といえます。社内外のセキュリティインシデントを未然に防ぐため、ゼロトラストの考え方を取り入れつつ、実現に向けたソリューションの導入を検討しましょう。
ゼロトラストについての詳細は以下の記事で解説しています。
5. まとめ
近年はサイバー攻撃の増加・巧妙化だけでなく、内部不正や外部サービス停止によるセキュリティインシデント事例も増加しています。
セキュリティインシデント発生のリスクは、すべての企業が認識しておくべきでしょう。
セキュリティインシデント発生の要因には、主に外的要因、内的要因、天災や外的環境の3種類があり、セキュリティインシデントの発生を防ぐためにはそれぞれにおいて適切な対策が必要です。ぜひこの記事で解説した対策を参考に、セキュリティインシデントの防止に取り組んでいきましょう。
