COLUMN COLUMN
2023.4.24 /
セキュリティ担当者が知っておきたい「セキュリティインシデント」とは?シーン別の具体的対応手順を解説!
目次
企業がIT技術を用いながら適切な経済活動を行う上で、「セキュリティインシデント」が起きた時の対策と、問題が起きた場合にどのように動くのかを明確に決めておく必要があります。
しかし、時代を追うごとに多様化して、バージョンアップし続ける「セキュリティインシデント」に対して、企業の情報システム・セキュリティ担当者の知識が追いついていない場合も珍しくありません。
この記事では、企業の情報システム・セキュリティ担当者が知っておきたい「セキュリティインシデント」の概要から発生原因、シーン別の具体的対応手順までを総合的に解説します。
「セキュリティインシデント」とは何か?
「セキュリティインシデント」とは、企業・組織などが悪意ある攻撃・情報漏洩などを受けて、情報セキュリティの脅威になる事象を指します。
社会のデジタル化が急速に進むと同時に、情報セキュリティの脅威もより複雑になり、インシデント発生時の影響も大きくなっているのです。
セキュリティインシデントが発生するとどうなるか?
主に、「ネットワークの停止」「営業活動の中断」「情報システム回復の労力」など、業務に大きなリスクが生じる他、原因解明や対策に膨大なコストが発生します。
その他、個人情報を漏えいさせた場合には、刑事上の罰則・民事上の損害賠償責任を同時に負う可能性もあるのです。
また、セキュリティインシデントが生じることで、会社のセキュリティ面の脆弱さが報道され、安全性に対するイメージが悪化、社会的信用の失墜に繋がる恐れもあります。
セキュリティインシデントは何が原因で発生するのか?
大きく分類すると「外的要因」と「内的要因」があります。
外的要因とは、社外からの攻撃によって情報が抜き取られたり、システムに障害が起きてしまったりするケースを指します。社外からの不正アクセス対策を十分に行えていない場合に発生することが多く、国内でも大手企業が情報を流出させてしまうケースも多いです。
一方で、内的要因とは、社内人員によって故意に、もしくは不注意によって情報が漏洩するケースを指します。
社内のセキュリティ意識が十分でない場合に、USBメモリなどを自宅に持ち帰ってしまったり、パソコンでセキュリティリスクの高いWebサイトにアクセスしたりすることが原因となるのです。
セキュリティインシデントの種類
「セキュリティインシデント」とは具体的にどのようなものを指すのでしょうか?
以下で代表的なものを紹介します。
マルウェア感染
コンピューターウイルスに感染すると、セキュリティインシデントの発生に繋がります。
マルウェアに感染したコンピューターは、情報を外部に流出させたり、他の情報端末に勝手にメールを送信したり、不審なポップアップ画面が表示されたりと不正な動作を行うのです。
不正アクセス
外部から自社ネットワークに対して不正なアクセスが行われる事例も多いです。
不正にアクセスが行われると、会社の機密情報の漏えいから、データ改ざん・消去、暗号化などの危害を加えられる可能性が高まります。
なりすまし
悪意を持った人物が他人になりすますことを指します。
ネットワーク管理者などのアカウントを盗み出して管理者になりすまし、情報の奪取や改ざん、アカウントの乗っ取りなどの事例が発生しているのです。
その他、なりすましをきっかけにウイルスを外部に送りつけられる事例も発生しています。
迷惑メール
マルウェアが添付されていたり、不正なURLが記載されていたりするメールのことです。受信者が添付データを開封、またはURLをクリックして不正なWebページにアクセスすることで、マルウェアに感染させ情報を漏えいさせる仕組みになっています。
DoS攻撃
Webやサーバーに大量のデータを送付して、大きな負荷をかける古典的なサイバー攻撃を指します。
過負荷により対象のコンピューターをダウンさせる目的で行われるのです。
一方で、マルウェアで複数のコンピューターを乗っ取り同時に攻撃する手法は「DDoS攻撃」と呼ばれ、近年増加しているインシデントのひとつとなっています。
情報漏洩・改ざん
保存されている情報やネットワークで送受信される情報が、外部に流出して書き換えられたりするインシデントです。原因は不正アクセス・マルウェアのような外的要因だけでなく、社内でデータを扱う従業員の不正行為によって漏えい・改ざんが発生する可能性があります。
不正アクセスが起きた場合の対応手順とは?
もしも社内で不正アクセスが起きた場合、一般的に以下のプロセスを経ることになります。
1.検知
初めに行うべきこととして、攻撃されている事実や、攻撃された形跡を認識することが大切です。
DoS攻撃によってサイトが閲覧不可になったり、サイトの内容が改ざんされたりした場合は、トラフィックやサイト自体の監視によって早期発見に繋がります。
一方で、攻撃者が密かにネットワーク内に侵入して、情報の閲覧などを行っている場合は、痕跡が発見されなければ不正アクセスそのものに気がつかないことも考えられるのです。管理者は定期的にそのような痕跡がないかをチェックする必要があります。
2.初動対応
情報関連部署・セキュリティ担当者に連絡をとり、事前に決めてあった有事の際の優先順位に従って手続きを進めていきます。
既にサイトが改ざんされていたり、情報漏えいなどが認められたりする場合は、すぐにサイトを閉鎖してネットワークから必要箇所を隔離するといった処置が必要です。サイト利用者に被害が出る可能性のある場合、すぐにその旨を伝えましょう。
3.分析
システムの被害状況や範囲を明らかにして、速やかにインシデントの原因を分析します。
事前にある程度原因の予測がつく場合には、その対策の実行が必要です。
4.復旧作業
復旧チームによってシステムを元の状態に戻し、管理者が正常に動作しているか確認します。
作業が完了したら、関係者に連絡を行いましょう。
5.再発防止対策
今回起きた事案の原因を解明して、同じようなインシデントが発生しないように対策を練ります。
再発性の高い案件の場合、必要となる対策をセキュリティポリシーに反映させることも必要です。
サイバー攻撃を受けた場合の対応手順とは?
次に、サイバー攻撃を受けた場合の対応手順を紹介します。
1.検知
何よりも攻撃されている事実や、攻撃された形跡を認識することが大切です。
DoS攻撃によりサイトが閲覧不可になったり、サイトの内容が改ざんされたりした場合は、トラフィックやサイト自体の監視によって早期発見ができるでしょう。
一方で、攻撃者が密かにネットワーク内に侵入して、情報閲覧などをしていた場合、痕跡が発見されなければ不正アクセスそのものに気がつかないことも考えられます。管理者は定期的監視で痕跡がないかチェックする必要があるのです。
2.ネットワークの遮断
攻撃が判明したら、速やかにネットワークの遮断を行います。
ネットワークを外部から隔離してしまえば、それ以上の被害を防ぐことができるため、管理者は必要だと判断したらすぐに実行に移しましょう。
特に、DDoS攻撃や外部ネットワークへの攻撃の媒体にされている可能性もあるため、二次的な被害を防ぐためにも迅速な行動が求められます。
3.状況の確認
対策チームを招集して、状況を確認していきます。
基幹システムがきちんと動作しているかを確認して、ハードディスクのバックアップを取りましょう。
それから重要なファイルが存在しているかどうかを確認して、システムログを調べていきます。
これによってどのような攻撃が行われたか、改ざんされてしまったデータはないかをチェックすることが可能です。
4.原因調査
システムログ等を活用して、攻撃者のネットワークへの侵入経路を割り出し、実際にどういう攻撃をしたかを確認します。
侵入の方法がわからないと対策が立てられないため、場合によっては外部機関・警察とも協力しながら原因究明を行う必要があるでしょう。
5.復旧と最初防止対策
原因を特定したら、再度の侵入を防ぐための対策を立てます。
セキュリティホールが見つかった場合は、パッチをあてるなどして確実に塞ぐようにしましょう。
安全が確認できたらシステムを復旧し、全ユーザーのパスワードを変更します。
6.社外に報告
企業の責任として、不正アクセスを受けた旨をユーザーはもちろん、世間に報告が必要です。
サイバー攻撃を受けたにも関わらず、それを公表しないことは企業の信用問題に発展します。
実際に何が起きて、どの問題に対してどう対処したのかをきちんと説明できるようにしましょう。
「セキュリティインシデント」の全体像を把握して適切な対応を行おう!
この記事では、セキュリティインシデントの概要から具体的な種類、セキュリティインシデントが発生した際の具体的な対応手順を含めて総合的に解説しました。
近年は攻撃者側も多様性を増しており、大企業でも多くのセキュリティインシデントに見舞われることが多い時代になりました。
セキュリティインシデントが発生することを見越して、どのように動くのかを事前に決めておくことが、問題をスムーズに解決するために必要なポイントです。
必要であれば外部サービス等も利用しながら、強固なセキュリティレベル維持に力を入れることが現代の企業に求められていることを、認識しておきましょう。