目次
近年、サイバー攻撃のようなセキュリティインシデントは高度かつ複雑になっていますが、どのような場合にセキュリティインシデントが発生するかは分からないため、日頃から最新情報に基づいたセキュリティ対策が必要です。
この記事では、セキュリティインシデントの種類やその対応について解説します。データの分析や連携について検討している方はぜひ参考にしてください。
セキュリティインシデントとは、企業や組織において悪意のある操作が行われた状況のことをいい、具体的には事件や事故が発生した状況を指します。天災による被害、故意的もしくは悪意のない人為的な被害など、セキュリティインシデントの原因は多岐にわたります。
もし、セキュリティインシデントが発生すると、さまざまな悪影響が出る恐れがあります。
以下でその一例を紹介します。
直接的被害
業務の停止
情報の紛失・改ざん・漏えい
対策費用の増大
間接的被害
損害賠償
事業免許の取り消し・停止、行政指導による業務停止など
社会的信用の低下
顧客離れによる売上の減少
社内のモラル低下
特に、間接的被害は影響範囲が広いため、対策が必要です。もし、セキュリティインシデントが発生してしまえば情報を安全に保管できない企業であると思われる、損害賠償問題や社会的信用の失墜、顧客離れによる売上の減少が想定されます。
そのため、日頃からセキュリティ対策を行う必要があります。
セキュリティインシデントの種類には、組織外部からの攻撃と組織内部からの攻撃の2つがあります。特に内部からの攻撃は盲点になっている場合が多いため、対策の強化が必要です。
具体的には以下で詳しく解説します。
組織外部からの攻撃は一件あたりの被害額が大きく、また一種類のみの攻撃ではなく複数の攻撃を組み合わせる場合が多いため、複数の施策を組み合わせるなど具体的な対策が必要です。このような外部からの脅威には、サイバー攻撃や不正アクセス、改ざんなどがあります。
以下、組織外部からの脅威について解説します。
DoS攻撃とは1台のコンピュータからの攻撃であり、DDoS攻撃は複数のコンピュータから来る一斉攻撃をいいます。DDoS攻撃を行う攻撃者は複数の一般のコンピュータを乗っ取って攻撃しているため、サイバー攻撃の犯人を割り出すことは困難です。また、DDoS攻撃で受ける大量のアクセスは通常のアクセスと見分けがつかないため、DDoS攻撃のアクセスのみを排除することは難しいです。
DDoS攻撃が行われると、ネットインフラへの攻撃によるシステム障害などが起こります。過剰なアクセスを伴う攻撃を受けることによって、システムに負荷がかかり損害が出る恐れがあります。
不正アクセスとは、特定のデバイスやシステムに不正にログインすることをいいます。具体的には、他人のIDやパスワードを利用してログインする、非公開状態になっていたデータを閲覧可能もしくは公開にするなどの行為が不正アクセスにあたります。
第三者からの不正アクセスが発生すると、データの窃取や改ざん、個人情報や機密情報の漏えい、金銭要求、なりすましなどが起こります。情報を悪用されると、取引先などにも被害が及ぶ可能性があります。
改ざんとは、悪意ある第三者によって管理者が意図していない変更を勝手にされてしまうことです。Webサイトやシステムの脆弱性、マルウェア感染などが改ざんの原因になります。
改ざんによって起こりうるリスクには、不正アクセスによる個人情報の流出や不正なプログラムの設置、クレジットカード情報などの悪用による金銭の窃取などがあります。また、改ざんが起こると、ユーザからの信頼を失ってしまい事業に支障をきたす恐れがあります。
組織外部だけでなく、「内部」にも脅威はあります。脅威にはさまざまな種類がありますが、特に内部不正については注意が必要です。企業の規模にもよりますが、問題特定に時間がかかることや温情によって捜査が不十分になりやすいことがその理由です。企業は内部からの脅威を甘く考えずに、適切に対処することが求められます。
以下、組織内部からの脅威について解説します。
情報漏えいは、組織外部からの脅威だけでなく操作・管理・設定ミスなどのヒューマンエラーが原因で起こることも多くあります。これらのヒューマンエラーは、主に不注意や担当者の知識不足、報告体制の不備など、複数の要因が組み合わさって起こります。
ヒューマンエラーが原因の情報漏えいであっても、個人情報の悪用や対応する際の費用、訴訟、損害賠償などが起こるリスクがあります。特に企業で情報漏えいが発生すると巨額な損失につながるため、個人情報保護委員会などの案内にしたがって迅速な対応を行う必要があります。
近年は、リモートワークに対応するために持ち運び可能なノートパソコンを業務に使用するケースが多くなっています。パソコンの持ち運びなどに伴い盗難や紛失の機会も増えており、情報漏えいなどを引き起こす可能性があります。
デバイスの盗難や紛失によって起こりうるリスクには、顧客情報や個人情報の漏えい、機密情報の窃取、事業内容の外部流出などがあります。
近年は組織外部、内部からの脅威によるセキュリティインシデントが増加傾向にあります。そのため、企業は平時からセキュリティインシデントへの対応を進めることが求められています。
このセクションでは、セキュリティインシデントを「発覚前」と「発覚後」に分けて、それぞれの対応方法を解説します。
セキュリティインシデント対策においては、「ゼロトラスト」の考え方が重要です。ゼロトラストとは、セキュリティインシデントが起こる前提で対策を検討することです。そのため、企業はインシデントが発覚する前から常に対応方法を考えておくことで、緊急時の対応などがスムーズに進みます。
このセクションでは、セキュリティインシデントの「発覚前」で行う対策内容を解説します。
平時からのセキュリティインシデント対策を行う上で、まずは社内体制の整備、インシデント発覚時の対応方法などを明確化することから始めます。
組織の中でセキュリティインシデントに対応するチームをCSIRTといいます。CSIRTとは「Computer Security Incident Response Team」の略語で、「シーサート」と読みます。CSIRTを設置することでインシデントの調査・分析や、発生時の経営層への連絡や社外への報告がスムーズに進みます。ただ、CSIRTを設置するだけでは対策が不十分なため、定期的に活動内容を振り返り、アップデートを繰り返すことが必要です。
CSIRTの設置によりある程度リスクを減らせたら、次はOSやソフトウェアのアップデート、秘密計算の技術利用などの高度なセキュリティ対策を進めていきます。
OSやソフトウェアのアップデートを行うと機器の不具合が解消されるだけではなく、セキュリティ対策にもつながります。最新の攻撃や脆弱性を利用した攻撃から身を守るためにはそれらの攻撃に対応した最新のバージョンにアップデートが必要です。
また、秘密計算技術の利用もセキュリティ対策になります。
EAGLYSが提供する秘密計算の技術を用いることで、データを互いに秘匿したまま共有し分析に活用できます。
とはいえ、セキュリティインシデントはいつ、どのような状況で発生するかはわからないため、セキュリティインシデントが発覚した後の対策も同時に考える必要があります。ここでは、セキュリティインシデントが発覚した後の対応手順とその方法について解説します。
セキュリティインシデントと思われる事柄を発見したら、知りえた範囲のインシデントを明文化し、迅速に担当者へ報告して情報共有を行います。このとき、報告が遅れればその分インシデントの影響範囲が広がってしまうため、最初のステップを迅速に行えるよう、普段からミスを担当者や上司へ報告できるような環境づくりが求められます。
被害を最小限にとどめるためには、チームでやるべきことを確認し合い、一次対応を行います一次対応にはネットワークの遮断を行うことが多く、サーバを停止して、有線 LAN につながっているパソコンがあれば速やかにケーブルを抜く等の対応を行います。
一次対応を行った後は、インシデントの具体的な調査と分析を行います。人の動き以外にも、システムやデバイスに保存されたログをさかのぼるなどインシデントが発生する過程を調べます。また、インシデントの証拠についてもこのステップで調べ、再発防止のための手段検討も同時に行います。
安全を確認し終えたら、可能な限り早く復旧を行い通常どおりのシステムを再開させます。さらには検討した再発防止策に基づきセキュリティの仕組みの変更や、業務フローの見直しといった「恒久対応」も実施します。また、セキュリティインシデントを公表し、インシデントの発生原因やその対策内容などを説明し、社会的な信用の回復に努めることも重要です。
近年複雑化しているサイバー攻撃に対応するためにも、常に最新の情報を得ながらセキュリティ対策を行うことが企業には求められています。セキュリティインシデントが起こるという前提で対策を進めることによって、実際にインシデントが起きた際にも迅速に対応することが可能になります。
EAGLYSの秘密計算の技術はデータを秘匿化したまま分析、共有が可能なため、安全に業務を進めることができます。このような秘密計算の技術を利用するなどのセキュリティインシデント対策を行うことによって、安全なデータ利活用や組織運営が可能です。セキュアなデータの分析、活用を検討されている方はぜひご相談ください。