COLUMN COLUMN
2024.6.3 /
「セキュリティインシデントが起きたらどうすればいい?」初動対応の基本
目次
企業組織が保有する個人情報や機密データは言うまでもなく非常に重要です。
個人情報は顧客や従業員のプライバシー保護の観点で、個人情報保護法やGDPRなどの法律により厳重な保護が求められます。
機密データやイノベーションに関連する情報は、競争力の維持や財務面のリスクにも関わります。
しかし昨今、毎日と言っても過言ではない頻度でこれらの情報流出に関わるインシデントが発生している状況です。
重要な個人情報や機密データを守るため、企業組織はどのような対策をし、備えておくべきなのか?
また、インシデントが発生してしまった場合はどのように対応すべきなのか?
それぞれ基本的な内容を順次ご紹介していきます。
脅威となるセキュリティインシデント
企業組織において、脅威となるセキュリティインシデントにはさまざまなものがあります。主なものを以下に挙げてみましょう。
データ流出
ハッキングや不正アクセスによって個人情報や機密データが漏洩すること。
内部からの情報漏洩も含まれます。
マルウェア感染
ウイルス、トロイの木馬、ランサムウェアなどのマルウェアによるシステムへの侵入やデータの破壊、暗号化・要求金額の表示など。
サイバー攻撃
DDoS攻撃(分散型サービス妨害攻撃)、SQLインジェクション、クロスサイトスクリプティング(XSS)など、さまざまな攻撃手法によるサービス妨害やシステムの脆弱性を利用した攻撃。
内部不正
社内の従業員や関係者による不正行為。
例えば、情報の盗み出し、システムへの不正アクセス、資産の横領など。
フィッシング
メールやウェブサイトを通じて偽の情報を伝え、個人情報やログイン情報を詐取する攻撃手法。
機器やシステムの物理的な紛失または盗難
ノートパソコン、スマートフォン、ハードドライブなどの物理的な紛失や盗難により、機密データや個人情報が外部に流出すること。
ソーシャルエンジニアリング
人間を操作して情報を得る手法。例えば、電話での情報収集、偽の身分を利用した情報入手など。
これらはあくまでも一部です。
セキュリティインシデントの種類は多岐にわたることからも組織は対策を講じ、
セキュリティ体制を強化することが重要です。
セキュリティインシデントへの対応が遅れる、または気づかないことによるリスク
セキュリティインシデントへの対応が遅れるか、気づかなかった場合についても触れておきましょう。
考えられるリスクとして、以下のようなケースが挙げられます。
被害の拡大
インシデントが早期に対応されない場合、被害が拡大する可能性があります。
例えば、マルウェア感染が広がり、システムやデータの損失が拡大することが考えられます。
情報流出
セキュリティインシデントが遅れて対応されると、個人情報や機密情報が流出するリスクが高まります。
顧客情報や取引先情報が外部に流出することで、信頼関係や法的な問題に発展することも考えられます。
法的な問題
インシデントへの適切な対応が遅れると、法的な問題が生じる可能性があります。
個人情報保護法や情報セキュリティ基準に違反する場合、罰則や法的責任を問われる可能性もありえるかもしれません。
信頼の喪失
インシデントの放置、対応が遅れることで顧客や取引先からの信頼を失う可能性があります。
情報流出やセキュリティの脆弱性に対する不安が顕在化し、企業イメージやビジネスに影響を及ぼすことが考えられます。
評判・価値の損失
企業の評判やブランド価値が損なわれる可能性があります。
メディアや顧客からの批判が広まり、回復が困難になることがあります。
これらの事態を避けるためには、組織全体でセキュリティ意識を高め、インシデントへの早期対応と適切な対策を講じることが不可欠と言えるでしょう。
また、定期的なセキュリティ対策の見直しや従業員の教育と訓練も重要になってきます。
セキュリティインシデント時、組織の従業員が取るべき対応
企業組織でのセキュリティインシデントは、多くの場合まず従業員が遭遇または発見することが多いことでしょう。
セキュリティインシデントと判断した場合、以下のような行動を取ることが重要です。
即時報告
まずインシデントを発見したら、速やかに上司や情報セキュリティ管理担当者に報告しましょう。
遅れることなく情報共有が重要です。
インシデントの特定
インシデントの種類や範囲を特定しましょう。
データ流出、不正アクセス、マルウェア感染など、問題の本質を把握します。
適切な対策を講じる
インシデントの状況に応じて、適切な対策を講じます。
パスワード変更、感染端末の切断、システムのシャットダウンなどを検討します。
証拠の保全
インシデントに関連する証拠を保全します。
ログや通信記録、メールなど、後で調査や分析に活用できる情報を保存します。
関係者への通知
インシデントが影響する可能性のある関係者に通知します。
顧客、取引先、関連部署などに影響が及ぶ場合は、迅速に情報提供を行います。
情報共有と協力
情報セキュリティチームや外部の専門家と連携し、情報共有と協力を行います。
迅速な対応と協力体制が重要です。
調査と改善策の検討
インシデントの原因を調査し、再発防止策を検討します。
セキュリティポリシーの見直しや従業員教育など、継続的な改善を図ります。
セキュリティインシデントには迅速で適切な対応が求められます。
組織全体で協力し、情報流出や被害の拡大を防ぐために、従業員が迅速に行動できる環境づくりを構築することで、初動対応がスムーズとなり結果的にリスクを最小限に収めることにもつながります。
セキュリティインシデントが発生した場合、どこに相談するべき?
自社だけではどうしても対応しきれないセキュリティインシデントが発生した場合は、やはり公的機関や専門家に相談することが考えられるでしょう。
安全性を重視して、以下の相談先を検討することを推奨します。
IPAは独立行政法人として設立され、情報処理推進事業やセキュリティ対策などの活動を行っています。
情報処理技術の発展と普及を促進するため、研究開発や標準化の支援、情報処理技術者の育成などを行っており、セキュリティリスクの評価や対策の提案、セキュリティ教育などを通じて、情報セキュリティの強化を支援しています。
日本政府が関わっていることからも信頼性は非常に高い組織です。
JPCERT/CC (Japan Computer Emergency Response Team Coordination Center)
JPCERT/CCは日本のコンピュータ緊急対応チームで、情報セキュリティに関する支援と対応を行う組織です。
日本国内の企業や組織に対してセキュリティアラートや最新の脅威情報を提供し、対策の支援なども行っており、セキュリティポリシーの策定、脆弱性診断、インシデントレスポンスの改善など幅広く対応しています。
また、同様の活動を行っている国際的な組織である「CERT/CC」とも連携していることからも、その専門性や組織体制、国内外との連携、運営の透明性などから高い信頼性があります。
インターネット上での犯罪やセキュリティに関連する事案を捜査・対応する警察機関です。
主な活動例として、ハッキング、詐欺、著作権侵害、不正アクセス、児童ポルノなどの犯罪捜査や違法行為の取り締まりを行っています。
また、機密情報の漏洩、システムへの不正侵入、マルウェアの拡散などに対して、セキュリティ対策を推進し、防止・対処なども進めており、
現代社会におけるデジタル環境での安全を守る重要な役割を果たしていると言えるでしょう。
警察機関であることから信頼性は言うまでもなく高いです。
弁護士
セキュリティインシデントは、法に関わる状況も少なくありません。
法律に関する助言や法的措置が必要なケースは、弁護士への相談を検討すべきでしょう。
個人情報漏洩やデータ侵害に対する法的責任や義務、適用される法律や規制についてアドバイスを受けられるメリットは非常に大きいです。
インシデントは通知義務が発生することが多いため、具体的な方法から文言の選定においても把握することができます。
また、インシデントに関与する関係者や当局、顧客などとのコミュニケーションにおいて、弁護士は法的な観点から適切なアドバイスやコミュニケーションを構築することにもつながります。
しかしながら、弁護士によってはサイバー案件に強い弱いといった能力の違いもあるため、自社のニーズや案件の特性に合った弁護士を選定することが重要になります。
実績と評判を考慮し、複数の弁護士と相談して比較検討する必要がある点は気を付けなければいけません。
セキュリティ専門家
セキュリティ専門家に依頼して、技術的な調査や対策を講じることも有効ですが、なかなかどの業者がいいのかは判断が難しいです。
いずれの場合も、インシデント発生時には迅速かつ適切な対応が求められるため、情報流出の拡大を防ぎ、影響を最小限に抑えるためにも、上記4か所の相談先に速やかに連絡を取り、指示を仰ぐことをお勧めします。
まとめ
セキュリティインシデント対応において、初動でどのように対応するかによりその後の影響度が大きく変わります。
日ごろから自身が関わる業務にどのようなセキュリティリスクがあり得るのかを知り、緊急時の対応を把握しておくことが重要です。
また企業組織において、いつセキュリティインシデントに遭遇してもスムーズに的確に対応できるよう、組織内外での連携と環境づくりを検討しておくことが推奨されます。