近年急速に普及したテレワークや、DX推進による業務のデジタル化の影響もあり、多くの企業でセキュリティインシデントのリスクが懸念されています。セキュリティインシデントとはセキュリティ上の事故や事件を意味する言葉で、悪意ある第三者からのサイバー攻撃に限らず、自社内で生じたヒューマンエラー、天災や設備不良が原因の場合もあり、多角的な視点での対策が必要です。
本記事ではセキュリティインシデントの概要や種類について詳しく解説します。
セキュリティインシデントとは?
セキュリティインシデントとは、第三者による不正アクセスのほか、PC・スマートフォン・USBといった端末の盗難、記憶媒体のデータ消失なども含めた情報セキュリティ全般の事故や事件を指します。人為的なもの以外の影響で生じた偶発的なトラブルも、セキュリティインシデントに含まれます。
セキュリティインシデントは機密情報が漏れることにより自社の損失が生じるだけでなく、取引先にも影響がおよぶ可能性があり、徹底した対策および従業員の教育が欠かせません。
セキュリティインシデントが企業に与える影響
セキュリティインシデントが発生した場合、企業は以下の影響を受けることとなります。
・情報漏えいによる顧客からの信頼低下
・信頼低下によって起こる売上や利益の減少
・顧客などに対する損害賠償問題
・原因の解明や改善にかかる人的・金銭的なコスト
たとえばセキュリティインシデントが発生した場合、顧客情報に被害がなかったとしても「安心して情報を預けられない企業」という印象を与えることになるでしょう。商品・サービスの売上が低下するほか、会員登録などマーケティングデータの収集も、従来ほどスムーズに進められなくなります。
事故や事件の内容によっては、顧客に対する損害賠償が発生するほか、原因の解明や改善のために専門家を招くなど、多大な損失やコストが生じる可能性も考えられます。
セキュリティインシデントが発生する理由
セキュリティインシデントは、テレワークや業務のデジタル化が普及したことにより、すべての従業員がトラブルに巻き込まれるリスクを背負っています。
以前は取引先の名刺を従業員各自がアナログ的に保管していたという企業も、情報のデータ化が進み、デジタルデータとして取り込んだ名刺をチーム全体で共有しているケースは少なくないでしょう。
テレワークやデジタル化の普及によって業務効率化が進む一方で、各従業員のセキュリティへの意識が十分ではなかったり、知識を有する人材の不足で適切な体制が整っていなかったりする企業も増えつつあります。ログイン情報や端末の管理体制が曖昧になっているなど、思わぬところからセキュリティインシデントが起こりかねません。
セキュリティインシデントの種類
セキュリティインシデントは大きく3つの種類に分けられます。
外部攻撃
外部の第三者が、悪意を持って攻撃を仕掛けてきた場合のセキュリティインシデントです。具体的には以下の例があげられます。
・マルウェアの感染
・大量のデータを送信するなどして過重な負荷を与え、システムを機能停止に追い込むサイバー攻撃であるDoS(Denial Of Service)・DDoS(Distributed Denial Of Service)攻撃による社内ネットワークへの圧迫
・情報漏洩、情報改ざん、データの消去
・端末の乗っ取り
・システムなどの管理者権限の奪取
他にもさまざまな方法があげられ、いずれの種類にも共通しているのが直接的あるいは間接的に外部からの攻撃を受けることで被害が発生していることです。
内部脅威
内部の脅威は、従業員や関係者によって引き起こされるセキュリティインシデントです。たとえば以下の例があげられます。
・ヒューマンエラーやケアレスミスによる誤操作端末の盗難、紛失
・ログイン情報の悪用や使いまわし
・職権乱用や権限を超えた悪用
・私物端末との接続によるマルウェアの感染
など
内部脅威の特徴は、必ずしも原因である人物に悪意があるとは限らない点です。業務で使用しているPCやUSBを社外に持ち出すことにより、電車内に置き忘れたり紛失したりと「うっかりミス」によるトラブルも珍しくありません。
一方で意図的に攻撃しているケースもあり、悪意の有無にかかわらずセキュリティインシデントを避けられるよう、従業員に対する徹底した教育や管理が求められます。
予期せぬ事態、自然災害など
社内外の人間による攻撃やミスに加えて、注意しなければならないのが自然災害など予期せぬ事態で引き起こされるセキュリティインシデントです。以下のケースがあげられます。
・地震、落雷、浸水など自然災害による破損
・火災による物理的な破損
・停電などによるサーバーダウン
・外部サービスの脆弱性が引き起こすトラブル
など
地震や台風などの自然災害や、火災によって物理的に端末やサーバーが破損する可能性もあります。また、サーバーダウンが起これば社内のさまざまなシステムに影響が生じるでしょう。
システムのセキュリティ面を重視してオンプレミスで利用したり、利便性を重視してクラウドを利用したりしている場合も、それぞれのリスクを抱えています。オンプレミスは独自回線でやり取りを行うため堅牢なセキュリティを築きやすいメリットがある一方で、OS、ミドルウェアのバージョンアップ作業やセキュリティパッチの適用も自社で行う必要があり、不十分な対策ではセキュリティ面の低下につながります。
多くの関係者と情報をスムーズに共有できるクラウドも、たとえば誰かがサーバーに負荷のかかる作業を行っているとパフォーマンスが極端に低下しかねません。セキュリティ面も含めてクラウドプロバイダーの管理下にあることから、トラブル発生時にユーザー側が対処できるケースが少ない点も注意すべきです。
情報セキュリティ10大脅威から見る2021年の動向
より具体的にセキュリティインシデント発生時のリスクを実感できる事例として、独立行政法人情報処理推進機構の『情報セキュリティ10大脅威 2021』の組織編に基づき2021年のセキュリティ動向の実態を紹介します。
1位:ランサムウェアによる被害
ランサムウェアはコンピュータウイルスの一種にあたり、PCやタブレットといった端末に感染すると保存したデータを暗号化したり画面をロックしたりと、本来の持ち主が自由に操作できない状態にします。
端末やデータの復旧、あるいは保存された重大な情報の漏えいを引き合いに出し、金銭を要求することも少なくありません。
2位:標的型攻撃による機密情報の窃取
標的型攻撃とは、法人や団体など特定の組織から機密情報を窃取することを目的にしています。テレワークの普及やデジタル化にともない、セキュリティ面が脆弱なまま運用している企業の隙を狙った攻撃で、機密情報のみならず金銭要求に発展することもあります。
3位:テレワーク等のニューノーマルな働き方を狙った攻撃
上記の標的型攻撃を含め、テレワークをはじめとしたニューノーマルな働き方の普及にともなう、企業や従業員の隙を狙った攻撃です。2020年の10大脅威には含まれていない新しい脅威となります。WEB会議システムなど、脆弱性の問題がありつつも利用せざるを得ない外部システムの隙をついた、情報の窃取などが起こります。
4位:サプライチェーンの弱点を悪用した攻撃
原材料などの調達から製造、在庫管理や物流、販売と一連の商流に関わる組織群をサプライチェーンと呼びます。堅牢なセキュリティを有する企業への直接攻撃を避け、サプライチェーンでつながった他社を攻撃することで間接的に損害を与える手法です。
5位:ビジネスメール詐欺による金銭被害
取引先になりすまして、偽の口座情報を伝えて金銭をだまし取るほか、機密情報を奪取する詐欺も発生しています。なりすます企業の情報は、ランサムウェアやサイバー攻撃などで窃取したり、セキュリティ面が脆弱な企業から窃取したりとさまざまです。
6位:内部不正による情報漏えい
在籍中の従業員や元従業員など、内部の人間による不正行為で情報漏えいが起こることもあります。社外秘の機密情報を無断で持ち出し、通勤途中で紛失するケース等も含まれます。
7位:予期せぬIT基盤の障害に伴う業務停止
IT基盤を提供する企業でネットワークやサービスなどに問題が生じた結果、契約企業がサービスを利用できなくなるトラブルです。問題によっては影響が長時間続くこともあり、外部サービスの活用が進んでいる企業ほど、重大な影響を受けるリスクが高くなります。
8位:インターネット上のサービスへの不正ログイン
インターネット上のサービスに不正ログインを行い、顧客情報やユーザー情報が窃取、改ざんや操作が行われるケースです。攻撃の対象なるサービスは被害者側が提供している場合もあれば、いちユーザーとして利用しているものもあります。
9位:不注意による情報漏えい等の被害
従業員教育が不十分な場合に起こりやすいのが、不注意による被害です。通勤中に端末や記憶媒体を紛失したり、出先で第三者からPC画面を盗み見られたりする事例の他、SNSに機密情報が移り込んだ画像をアップロードするケースも含まれます。
10位:脆弱性対策情報の公開に伴う悪用増加
ユーザーが対策を行えるよう、ソフトウェアやサービスの脆弱性対策情報が公開されることは珍しくありません。一方で公開された情報を悪意ある第三者が利用し、脆弱性対策が不十分な関連システムやユーザーを狙った攻撃も行われています。
セキュリティインシデントの対策方法
セキュリティインシデントの発生リスクや被害拡大を抑えるためには、事前対策と事後対策の両方を理解して適切に行動することが重要です。
事前対策
セキュリティインシデントが発生する前に、システム導入やデータ化、テレワークの実施などにともなった事前対策を行いましょう。具体的な方法として、以下があげられます。
・守るべきIT資産や情報(第三者が狙いやすいもの)を明確にする
・情報セキュリティ体制の整備(バックアップを取るなど)
・従業員に情報リテラシー、セキュリティの教育を行う
・システム、ネット環境の整備と強化で安全性を高める
・BCP(事業継続計画)対策を練る
など
リスクを最小限に抑えるためには、環境や体制の整備に加え、万が一発生したときのために被害を拡大させないための対策も必要です。災害も含めたトラブルを想定して、BCP対策にもセキュリティインシデント発生時の対処法を盛り込みましょう。
事後対策
セキュリティインシデントが万が一発生してしまったときは、誤った対処法で被害を拡大するリスクがある一方で、行動次第で被害を抑えられます。
事後対策として徹底しておきたいことは、以下のとおりです。
・事後対策のルールを整備
・正確な報告と共有
・迅速なネットワーク遮断
・状況の確認と分析、復旧作業
・再発防止策の整備と共有
・社外への正確な報告
事後対策の失態によって企業の信頼性が失墜した例もあり、あらかじめどのような行動をとるか、事故対策のルールを整備しておきましょう。問題発生時は迅速かつ正確な報告や対処をルールにもとづいて行い、正しい情報を得た状態で分析や復旧作業、そして社外への報告を行います。報告時は再発防止策の提示も求められるため、整備と関係者間の情報共有も欠かせません。
さまざまな角度からの対策が必要
セキュリティインシデントは故意に起こされるものだけでなく、さまざまな角度から対策を行う必要があります。企業にとっては存続に関わる重要なテーマのひとつです。
企業はセキュリティインシデントを引き起こさないための事前対策に加えて、万が一発生したときの事後対策のルールを整備し、安全な環境で企業活動を行えるよう対処しましょう。