インターネットに接続して何らかの業務を行っている場合、セキュリティインシデントと無縁な企業・組織はありません。
なぜなら、サイバー攻撃を行うような悪意のある第三者はインターネットを経由して、相手を選ばず、機械的かつ無作為に攻撃してくること、同じく従業員においてもいつ何時、心変わりして内部不正を行うか誰にも予測できないからです。
今回は、セキュリティインシデントに関する基礎知識やセキュリティインシデントの種類、そしてセキュリティインシデントの対策方法についてお話します。

セキュリティインシデントに関する基礎知識

はじめにセキュリティインシデントに関する基礎知識について簡単に説明します。

セキュリティインシデントとは

一般に言うところのセキュリティインシデントとは、情報セキュリティインシデントを指します。情報セキュリティインシデントは、企業や組織において、既に情報資産に対して何らかの悪意のある操作が行われてしまった状況、すなわち事件や事故が発生した状況です。
また、ITサービスマネジメントで言うところのインシデントは、オンラインで提供しているサービスが一時的に停止、もしくは機能不全で正常な状態でなくなったことを意味します。
どちらの場合も外部、もしくは内部からの攻撃や不正な手口による被害、または地震や火事、雷などの天災による被害、そして故意や悪意はないが人為的な被害など、原因は多岐に渡ります。

セキュリティインシデントがマイナス要因である理由

・情報を安心安全に預けられない企業や組織だと露呈してしまう
・情報漏洩やデータの改ざんを起こすことで損害賠償問題に発展する
・情報漏洩やデータの改ざんを起こすことで社会的信用が失墜する
・セキュリティインシデントとなった原因の解明や改善にコストが必要
・顧客離れやユーザー離れによって将来的な利益を失ってしまう

上記はセキュリティインシデントがマイナス要因である理由の一例です。セキュリティインシデントはサイバー攻撃や内部不正のどちらの場合においても、被害を受けているのは企業や組織です。しかし、企業や組織を利用している顧客やユーザーは何の非もないため、預かった情報を適切かつ安全に扱えないこと自体が企業や組織としての存続が厳しくなる要因になってしまうということです。

なぜ、セキュリティインシデントが発生するのか

セキュリティインシデントが発生する理由はIT技術の進化に伴って、情報のデータ化・電子化・ペーパーレス化が加速化されたものの、セキュリティに対する意識・知識・経験とともに、システムによる防御、セキュリティ体制のいずれかが追いついていないことが原因です。
例えば、USBメモリに入っているデータがどれだけ重要か理解せず、同時に取扱いを誤れば置き忘れなどの紛失、または盗難に遭遇してしまうのは当然です。その他にも社内ネットワークや社内システムのログイン認証やログイン情報の扱いが杜撰であり、かつセキュリティ対策がなされていなければ外部から面白半分でアクセスされたり、悪意を持って攻撃されたりするような状況が生まれてしまいます。
また、情報セキュリティを扱うセキュリティ人材を雇用・育成していない、または業界や業種的に専任のセキュリティ担当を配置することが難しい場合もあります。積極的にIT技術を取り入れてるもののセキュリティ性を確保できないまま、すなわち安心・安全ではない状況に陥っていることです。これらの状況自体がセキュリティインシデントが発生する要因・原因になっていると言えます。

セキュリティインシデントの種類

次にセキュリティインシデントの種類を説明します。

サイバー攻撃など外部からの脅威

・デバイスの乗っ取り
・管理者権限の奪取
・マルウェアに感染
・データの消去、データの暗号化、データ改ざん、情報漏洩
・サーバーやシステムに直接攻撃され物理的なダウン

上記はサイバー攻撃など外部からの脅威の一例です。どれもが直接的、または間接的に発生することで被害にあう可能性が高まります。

社内や組織内における内部からの脅威

・自身の立場、ログイン情報、権限の悪用
・うっかりミスやヒューマンエラー、ケアレスミス
・置き忘れ、盗難、紛失
・ID/パスワードなどログイン情報の使いまわし
・私物のパソコンやデバイスからのマルウェア感染

上記は社内や組織内における内部からの脅威の一例です。故意や悪意のあるものだけでなく、人為的なミスも結果としてインシデントの要因になることに注意すべきことがわかります。

外部サービスのインシデントや自然災害による影響

・地震や雷、火事など物理的な破損や障害
・外部サービスのサーバー障害やサービスのダウン
・上記2つの要因に伴うデータの損失や消去
・データの復元や復旧が困難な可能性も高い
・外部サービスの停止による自社サービスの停止や脆弱性の露見

上記は外部サービスのインシデントや自然災害による脅威の一例です。どれもが予期しにくいからこそ何らかの対策を練っておく必要がありますが、被害にあってから改善を行うような後手になるケースがほとんどです。

セキュリティインシデントの対策方法

次にセキュリティインシデントの対策方法をご紹介します。

IT資産や情報資産の把握、精査を行う

まずはセキュリティインシデントの対象、または守るべき対象であるIT資産や情報資産の把握、精査を行いましょう。可能な限り管理されていない私物のパソコンやネットワークへの接続などは排除すべきです。
また、外部サービスも含めて、インターネット・オンラインに接続する箇所を精査し、外部からの攻撃に備えるとともに、内部不正を起こさない、起こさせない職場環境の構築を目指す必要があります。

ハードウェアとソフトウェアの両面のセキュリティ対策を行う

ハードウェアとソフトウェアの両面のセキュリティ対策を行うことも重要です。OSやソフトウェアのアップデート、セキュリティパッチの適用、古いデバイスやOS、ソフトウェアを利用しないなど、基本的なところはすべて押さえておくべきです。
その他にも物理的なデバイスなどIT資産の適切な配置や管理、情報資産へのアクセス制限、ネットワークへのログインの制御、PC操作ログやWeb閲覧履歴などのログの取得、監視などシステム的な管理を充実・徹底させることが大切です。

業務プロセスや作業手順における脆弱性を生む部分を排除する

サイバー攻撃や内部不正は業務プロセスや作業手順の「隙」を脆弱性として悪用してきます。前述したログイン情報の使いまわしのような権限を越えてデータにアクセスできるようにしてしまうのは言語道断ということです。また、USBメモリの置き忘れや紛失、盗難なども、そもそもUSBメモリを経由してデータの使用や受け渡し自体を禁止、制限してしまえば発生しません。
その他にも離席をするなら必ず画面をロックする、貸与されたパソコンを社外で利用する時も同様で盗み見されないよう指導しておいたり、そもそも安全でないところで作業させないことも大切です。普段の業務における流れ、作業の流れの中でセキュリティホールとなる箇所を排除し、システムで監視・管理できる体制で攻撃を検知できるようにしておくことを忘れないようにしましょう。

まとめ：セキュリティに絶対はないからこそ、改善し続ける体制を作るべき

今回はセキュリティインシデントに関する基礎知識やセキュリティインシデントの種類、そしてセキュリティインシデントの対策方法についてお話しました。
セキュリティインシデントによるコストはセキュリティインシデントを防ぐコストよりも膨大なものになります。損害賠償などの金銭的なコストだけでなく、社会的信用の失墜、顧客離れとなれば将来的に得られるはずだった利益を失ってしまうということです。セキュリティインシデントを起こさないためのコストを受け入れて、セキュリティインシデントを絶対に起こさないという姿勢でセキュリティ対策を行いましょう。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、既知の脆弱性や最新のサイバー攻撃への対策、そして内部不正による情報漏洩やデータの改ざんへの対策も可能となりますので、ぜひともこの機会にご相談、お問い合わせください。