2023.2.28 /

セキュリティインシデント発生時の初動対応支援とは?慌てずに対応するためのポイント

「サイバー攻撃はこの10年間で66倍に増えています。」

企業においてセキュリティ上の問題(セキュリティインシデント)が発生した場合、初動対応を迅速に行うことが被害を最小限に抑えるために非常に重要です。しかしながら、どのような問題が発生するのか、問題に対してどのように対応したら良いのかがわからないと初動対応が遅れてしまいます。

本記事では、セキュリティインシデント発生時の初動対応のポイントや迅速に対応するために備えるべきことについて解説します。

 

セキュリティインシデント発生時の初動対応とは?

セキュリティインシデントとは、コンピューターシステムやネットワークに対する攻撃や侵入、ウイルス感染、情報漏えいなどのセキュリティ上の問題のことです。初動対応は、セキュリティインシデントが発生したことを検知して、どのような問題が発生しているのかの調査をし、迅速に適切な対処を行い、被害を最小限に抑えるための対応です。

 

サイバー攻撃が増加している背景

近年、サイバー攻撃はますます巧妙化しており、一度被害にあった企業が再び被害に遭うこともあります。以前は嫌がらせや自分のスキルを見せつけるために攻撃する人が多かったが近年は金銭目的でのサイバー攻撃が主流となっています。また、COVID-19の影響により、リモートワークが増え、セキュリティ上の脆弱性が増していることもあります。このような背景から、セキュリティインシデント発生時の初動対応はますます重要となっています。

 

セキュリティインシデントが発生した際の対処ステップ

セキュリティインシデントが発生した場合、以下のステップで対処を行います。

  1. 発見・通知
  2. 初期調査
  3. 応急対処
  4. 拡大防止
  5. 公表
  6. 恒久対処

発見・通知

まず、セキュリティインシデントが発生したことを検知し、適切な担当者に通知します。セキュリティインシデントに関する担当者がいない場合は、社内の責任者に報告します。
インシデント発生時は事前に決めたルートで迅速にエスカレーションすることが必要です。報告が遅れたり、事実を隠したりすると被害がさらに広がってしまいます。

初期調査

発生したセキュリティインシデントについて、初期調査を行います。この調査では、インシデントの種類や影響の範囲、被害の程度、発生時刻などを把握します。この時

応急対処

初期調査に基づき、インシデントに対する応急対処を行います。例えば、不正アクセスを受けた場合は、攻撃元のIPアドレスをブロックするなどの措置を取ります。内部からの事件事故の場合は当事者への確認や流出範囲の特定などを行います。

拡大防止

被害が拡大しないよう、2次被害が発生しないように拡大防止対策を行います。例えば、感染した端末を隔離するなどの措置を取ります。また、なりすましやフィッシング被害があれば怪しいメールの開封やファイルの実行などをしないように伝達します。

公表

自社の問題に留まらず、他社などにも影響がある場合は被害発生の旨を公表します。公表の際には、被害状況や対処状況などを明確に伝えるよう心がけます。また、情報を隠すと信用を落とすことに繋がるため、被害状況や影響度合い、関係各所への影響は包み隠さずに公表します。

恒久対処

CSIRTなどの専門のチームが中心になり、セキュリティインシデントが再発しないよう、恒久対処を行います。また、インシデントの全貌をまとめた調査報告書をまとめ、被害者がいれば謝罪に出向きます。対処の内容はシステム上の脆弱性や問題であれば、システムの改修やアップデートを行います。人的原因であれば、教育やオペレーションの変更などを行います。

 

以上のステップを踏んで、適切な対処を行うことで、セキュリティインシデントを未然に防ぎ、企業の情報資産を守ることができます。

 

セキュリティインシデント発生時の初動対応のポイント

以下、セキュリティインシデント発生時の初動対応のポイントを説明します。

マルウェア感染

マルウェア感染は、USBメモリーやメールの添付ファイルなどから侵入することがあります。感染した場合は、ただちに端末をネットワークから隔離することが重要です。また、システムの停止、アンチウイルスソフトのスキャンなども必要です。

不正アクセス

不正アクセスは、パスワードの漏えいや標的型攻撃などにより発生します。発見した場合は、アカウントの停止やパスワードの変更などが必要です。また、不正アクセス元のIPアドレスを特定し、ブロックすることも重要です。なお、外部の攻撃だけでなく内部犯の攻撃もあるため、アクセスできる範囲の制限なども必要になります。

情報漏えい

情報漏えいは、メールの誤送信や不正アクセスなどにより発生します。発見した場合は、情報漏えい元の端末を特定し、端末の回収やデータの削除などが必要です。また、漏えいした情報を取り戻すための対策も必要です。

 

初動対応を迅速に行うために備えておくこと

初動対応を迅速に行うためには、以下のような備えが必要です。

セキュリティインシデントに関する手順の整備

セキュリティインシデントに対する手順を事前に整備しておくことで、発生時に迅速に対処できるようになります。手順には、誰が担当するか、どのような対処を行うかなどを明確にすることが重要です。
セキュリティインシデントでの対応は基本的に次の手順で行います。

  1. 検知/連絡受付
  2. 初期調査
  3. 経営層への報告/連絡
  4. 被害拡大の抑止、2次被害抑止
  5. 発生した事象の見極め
  6. 組織外のセキュリティ対応業者への支援要請
  7. その他の作業

各ステップを誰が行うのかを決め、問題の種類ごとにどのような対処を行うかを決めておきます。

 

セキュリティ意識の向上

社員のセキュリティ意識を向上させることも、初動対応の迅速化につながります。セキュリティに関する教育や研修を行い、社員のセキュリティ意識を高めることが重要です。自社に詳しい人材がいない場合には外部の業者に研修やセミナーを依頼することで改善されます。

セキュリティ対策の強化

セキュリティ対策を強化することも、初動対応の迅速化につながります。アンチウイルスソフトの導入や、セキュリティカメラの設置など、セキュリティ対策を適切に行うことが重要です。近年は指紋や静脈での生体認証を用いる企業が増えており、対策は今後も強化する傾向があります。

 

まとめ

セキュリティインシデント発生時の初動対応は、被害を最小限に抑えるために非常に重要です。マルウェア感染や不正アクセス、情報漏えいなどの場合においては、状況を適切に把握して迅速に対処することが求められます。また、初動対応を迅速に行うためには、事前に手順を整備することや、セキュリティ意識の向上、セキュリティ対策の強化などの備えが必要です。企業のセキュリティ担当者は、これらのポイントを踏まえ、適切な対処を行うことが求められます。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから