セキュリティインシデント対策の重要性とは? リスクや対策法を解説
デジタル機器やネットワークを日常的に利用する現代のビジネス環境においては、セキュリティインシデント対策が不可欠です。一方で、具体的にどのような対策を講じればいいのか決めかねている事業者様も多いのではないでしょうか。今回は、セキュリティインシデントの現状や脅威の種類のほか、企業が被るリスク、企業に求められる具体的なセキュリティインシデント対策をご紹介します。
セキュリティインシデントとは、事業運営に脅威を与える危険なセキュリティ事象のこと
セキュリティインシデントとは、事業運営が困難になるほど危険性の高い情報セキュリティ事象のことです。マルウェアの感染や不正アクセスといった外部からのサイバー攻撃をはじめ、従業員の不正による情報漏洩、天災や設備不良による事故などもセキュリティインシデントの範囲です。
なお、単に情報セキュリティ事象と表現する場合は、システムやネットワークに何らかの不具合をもたらす事象という意味になります。一方、セキュリティインシデントは、情報セキュリティ事象の中でも特に危険度の高いものを指しています。
セキュリティインシデントの重要性はますます高まる
近年、セキュリティインシデントの脅威は、経営上の課題として重要性が高まりつつあります。ここでは、セキュリティインシデントに関する昨今の動向を見ていきます。
セキュリティインシデントの報告件数は、単月で1万件を超えることも
日本における情報セキュリティ対策活動を行っているJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が公表した、2023年10~12月のセキュリティインシデント報告件数は合計1万273件と、わずか3か月間で1万を超える報告件数があります(※)。セキュリティインシデントは決して情報セキュリティ部門だけが憂慮すべき問題ではなく、企業にとって経営全体に関わる重大な課題となっているのです。
万が一セキュリティインシデントが発生し、一定期間の業務停止を余儀なくされるようなことになれば、多大な経済的損失を被ることは想像に難くありません。このほか、セキュリティインシデントは企業の信頼性を大きく損なう原因となるだけでなく、将来的な利益にも影響を与える可能性があります。業務でデジタル端末や機器、ネットワークを使用する以上、どの企業もセキュリティインシデントにさらされるリスクを抱えていると捉えるべきです。
※出典:JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)「[JPCERT/CC インシデント報告対応レポート2023年10月1日~2023年12月31日]」 (https://www.jpcert.or.jp/pr/2024/IR_Report2023Q3.pdf)(2024年1月)
経済産業省が経営層に警鐘を鳴らす
経済産業省が公表した「サイバーセキュリティ経営ガイドラインVer3.0」では、経営者が認識すべき3原則のうちの一つとして、以下の記載があります。
<経営者が認識すべき3原則>
(2)サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
※出典:IPA「サイバーセキュリティ経営ガイドラインVer3.0」(2023年3月)
セキュリティインシデントに対する備えは企業単位で捉えるのではなく、サプライチェーン全体を意識して推進することが求められています。経済産業省が警鐘を鳴らしていることからもわかるとおり、セキュリティインシデントは早急に対策を講じなければならない経営上の課題として認識する必要があります。
ランサムウェアの攻撃手口の変化
セキュリティインシデントに関する近年の動向として、ランサムウェア攻撃の手口が変化していることは押さえておきたい事象です。ここからは、ランサムウェア被害の状況と、新たな手口として猛威を振るいつつある「ノーウェアランサム」について解説します。
ランサムウェア被害は引き続き高い水準で推移
ランサムウェアとは、感染した端末内のデータを勝手に暗号化し、データの復元と引き換えに身代金を要求する手口に使われるマルウェアの一種です。データを暗号化するだけでなく、窃取した機密情報を暴露すると脅迫し、さらに多額の金銭を要求する「二重恐喝(ダブルエクストーション)」の被害も増加しつつあります。
警察庁の公表によると、2023年上半期のランサムウェアによる被害件数は103件であり、「引き続き高い水準で推移している」と警鐘を鳴らしています。攻撃の手口も、従来のように不特定多数のユーザーや組織を標的とする「ばらまき型」だけではなく、ターゲットに狙いを定めた「標的型ランサムウェア攻撃」も増加しており、注意が必要です。
※出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(2023年9月)
ノーウェアランサムの猛威
警察庁による「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、「ノーウェアランサム」による被害が新たに確認されたことも報告されています。ノーウェアランサムとは、データを暗号化することなく窃取し、身代金として対価を要求する手口のサイバー攻撃です。
従来のランサムウェアの被害に遭った場合、攻撃者の要求に従って身代金を支払ったとしても、データが完全に復元されるという保証はありません。そのため、組織はあらかじめデータをバックアップしておき、身代金の要求に応じることなく被害組織側で復旧を試みる対策法がありました。一方、ノーウェアランサムは暗号化を行わず、窃取したデータの公開やばらまきを優先して身代金を要求します。従来のランサムウェアのような高い技術力が不要であり、手軽に攻撃できる点も危険視されています。
セキュリティインシデントで企業が被るリスク
セキュリティインシデントが起こると、企業はどのようなリスクを被るのでしょうか。想定される主なリスクについて解説します。
情報を安全に預けられない企業や組織であることが露呈する
セキュリティインシデントが発生してしまうと、情報を安全に預けられない企業や組織であることが露呈するリスクがあります。セキュリティインシデントが起こると顧客や取引先に関わるデータが漏洩する恐れがあるため、発生した事象について関係各所へ通達する必要があります。そのため、顧客や取引先の立場からは、自社が「重要な情報を預けるにはリスクの高い組織」として映る可能性も少なくありません。情報を安全に預けられない企業または組織というイメージが浸透すれば、取引を停止する顧客や取引先も現れるかもしれません。セキュリティインシデントの発生は、顧客やステークホルダーの信頼低下を招く危険性をはらんでいます。
情報漏洩やデータの改ざんによって損害賠償問題に発展する
情報漏洩やデータの改ざんといった被害を受けた個人や組織が、セキュリティインシデントへの対策を怠った企業に対して損害賠償を請求する可能性があることも大きなリスクです。被害の規模や経済的損失の大きさによっては、その請求額が膨大な金額に上ることも想定されるでしょう。1件のセキュリティインシデントが原因で経営そのものが傾く可能性も否定できません。
セキュリティインシデントとなった原因解明や改善にコストがかかる
セキュリティインシデントが起こるとコストがかかる点も見逃せないリスクです。セキュリティインシデントの原因究明の取り組みや、突き止めた問題点の解消に向けて改善を図ったりするには多額のコストがかかります。状況によっては社内システムの入れ替えや、組織体制そのものを大きく変更する必要性が生じます。セキュリティインシデントが起こると利益や信頼が失われるだけでなく、事後の対応においても金銭的な負担を強いられる可能性が高いのです。
将来的な利益の機会を損失する
セキュリティインシデントは、将来的な利益の機会を損失するというリスクもはらんでいます。重大なセキュリティ事故を起こした企業というイメージは、既存のユーザーだけでなく社会全般に広がっていくことが想定されます。一般的に良い評判よりも悪評の方が広まりやすいことから、将来的に獲得できた可能性のあるユーザーからも「選ばれない」結果を招きかねません。ユーザー離れがさらなるユーザー離れを引き起こす負のスパイラルに陥ってしまうと、将来的に得られたはずの利益の機会を損失することにもなり得るのです。
セキュリティインシデントの種類
セキュリティインシデントには、大きく分けて3つの種類があります。それぞれのセキュリティインシデントについて、具体例とともに見ていきましょう。
サイバー攻撃によるセキュリティインシデント
組織外からの脅威は、セキュリティインシデントが発生する大きな原因の一つです。標的型攻撃のように特定の企業に狙いを定め、長期にわたって侵入を試みるケースも少なくありません。具体的な脅威の例としては、下記のようなものが挙げられます。
サイバー攻撃による脅威の例
・マルウェアなど悪意のあるプログラムへの感染
・端末の乗っ取り
・管理者権限の奪取
・システムやサーバーの破壊
・データの消去や暗号化、改ざん
・外部への情報漏洩
なお、自社が直接的に被害を受けるだけでなく、取引先など関係各所がセキュリティインシデントの被害に遭えば、自社にも影響が及ぶ可能性はあります。
自然災害や外部サービスによるセキュリティインシデント
サイバー攻撃とともに、考慮しておくべき外部要因の脅威として、自然災害や外部サービスに起因するセキュリティインシデントが挙げられます。具体的な脅威の例は下記のとおりです。
自然災害や外部サービスに起因する脅威の例
・地震や火事、雷による機器の物理的な破損・障害
・外部サービスで発生した機器やネットワークの障害・停止
・外部サービスにおけるネットワークの脆弱性
近年では多くの企業でSaaSの活用が進んでいることから、外部サービスで生じたインシデントが自社のセキュリティインシデントに直結することも十分に想定されます。セキュリティインシデントは、被害が発生してから対策を考えるのではなく、起こり得る事象を想定した上で、あらかじめ対策を講じておくことが重要です。
組織内部の人間による故意・過失で起こるセキュリティインシデント
セキュリティインシデントの引き金となるリスクは、社外のみにあるとは限りません。組織内部の人間が故意または過失により、セキュリティインシデントを引き起こす可能性もあります。一例として、下記のような事象には留意する必要があります。
組織内部の人間が起因となる脅威の例
・不審なメールや添付ファイルの開封
・業務上知り得たログイン情報などの悪用
・管理者権限の悪用
・端末の紛失や盗難
・ログイン情報(ID・パスワード)の使い回し
・私物のデバイスや記憶媒体の無断持ち込み、情報の持ち出し
・機器や端末の操作ミス
内部関係者が悪意を持って不正行為に走るケースもあれば、BCCで送るべきメールをCCで送信してしまうといった誤操作や判断ミスが、セキュリティインシデントの脅威となるケースがあります。セキュリティインシデントの発生を未然に防ぐには、システム面から対策を講じるのと同時に、組織内部の「人」に起因する脅威にも備えることが大切です。
企業に求められるセキュリティインシデントへの対策
企業がセキュリティインシデントへの対策を講じる際は、どのような点を重視すればいいのでしょうか。企業に求められる、セキュリティインシデントへの対策のポイントを紹介します。
情報資産の把握・管理を強化する
セキュリティインシデントの脅威に備える第一歩は、自社がどのような情報資産を保有しているのか把握することです。保護する対象に見落としがあれば、見落とされた情報資産は無防備な状態となりかねません。まずは自社の情報資産をリストアップし、抜け漏れのないよう把握しておくことが大切です。
また、外部から脅威が侵入する可能性のある箇所を特定するとともに、内部不正が起こり得るケースも想定しておくことが求められます。攻撃や不正行為は起こらないものと認識するのではなく、発生することを前提に管理を強化していくことが重要です。
従業員の教育を徹底する
セキュリティインシデントへのさまざまな対策を講じたとしても、従業員のセキュリティ意識が低ければ脅威への対策は十分に機能しません。不審なメールを受信した際の対応や、セキュリティ対策ソフトウェアが警告を発した場合の行動など、基本的なルールを取り決めて遵守していくことが重要です。
そのため、「セキュリティインシデントとは何か」「各従業員の認識や行動がなぜ対策のために必要なのか」を十分に理解してもらうことを目指して、定期的に情報セキュリティに関する研修会などを開催する必要があります。従業員の教育の徹底は、セキュリティインシデントへの重要な対策の一つです。
業務プロセスにおける脆弱性を排除する
業務プロセスの中で脆弱性が生じるポイントを特定し、あらかじめそれらを排除しておくことも大切です。一例として、下記に挙げるような対策を講じる必要があります。
業務プロセスにおける脆弱性の排除対策
・ログイン情報の使い回しの禁止:管理者側でパスワードを発行し、定期的に変更する
・ログイン情報の窃取対策:離席時は必ず画面をロックする、周囲に部外者がいる環境で端末を使用させない
・記憶媒体の置き忘れ、紛失、盗難対策:USBメモリなどの記憶媒体によるデータの受け渡しを禁止する
・管理外の記憶媒体の使用禁止:登録されている記憶媒体以外は読み書きできないよう制限する
・機密情報の持ち出し禁止:機密情報のアクセス権限を最適化し、情報が書かれた紙の印刷枚数も制限する
上記の対策例は、組織内でルール化しておくことが望ましいといえます。何より、個々の従業員の意識や判断に頼った運用にしないことが大切です。
OSやソフトウェアを最新状態に保つ
OSやソフトウェアのアップデートプログラムは、新たに発見された脆弱性の解消を目的としているものも少なくありません。アップデートが可能な状態になった際には速やかに更新し、常に最新の状態を維持しておけばソフトウェアのセキュリティホールの放置を防止できます。
なお、ソフトウェアのアップデートは従業員任せにするのではなく、管理者主導ですべての端末のアップデート状況を確認していくことが重要です。組織内の端末を一括してアップデートできるツールを導入するなど、漏れが生じにくい仕組みづくりが求められます。
セキュリティ対策のためのツールやサービスを導入する
セキュリティ対策を支援するツールやサービスを導入することにより、セキュリティインシデントが発生しにくい環境にしていくことも大切です。脆弱性が生じる原因となりやすい点をツールやサービスでカバーすることによって、組織全体のセキュリティレベルは格段に向上するはずです。
セキュリティインシデントへの対策を早急に講じよう
セキュリティインシデントの種は、組織内外に散在しています。重大な情報セキュリティ事象が発生してから対応するのではなく、リスクをあらかじめ想定し、必要な対策を講じておくことが大切です。
クライアント運用管理ソフトウェア「SKYSEA Client View」は、セキュリティインシデントの原因となりやすい端末や機器といったエンドポイントの適切な管理・運用に役立つツールです。組織内の端末に対して、USBメモリなどの記憶媒体の使用を禁止したり、指定した枚数以上の印刷が一度に行われたことを検知してアラートを発出したりできるため、脅威の持ち込みや情報の漏洩の未然防止に役立てられます。また、UTM製品などと連携することで多層防御を実現し、サイバー攻撃のリスクを最小化できる点も特長です。
セキュリティインシデントへの対策を講じたい事業者様は、「SKYSEA Client View」の導入をご検討ください。
お問い合わせ・カタログダウンロード
組織のセキュリティインシデント対策を強化する「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから