現代社会ではどのような事業に取り組む際も、多様なデジタル機器やネットワークを使用します。安全に事業を進め、企業として安定的な成長を目指すためには、セキュリティインシデントについて正しい知識を持つことが不可欠です。
当記事では、セキュリティインシデントの意味や近年発生した事例を紹介します。情報セキュリティに関する理解を深め、安全な事業運営を目指したい場合には、参考にしてください。
セキュリティインシデントとは
セキュリティインシデントとは、情報システムやネットワークの安全性を脅かすトラブルです。例えば、マルウェア感染・不正アクセス・情報漏えい・システム障害などがセキュリティインシデントと呼ばれます。
セキュリティインシデントは、外部からの攻撃のみが原因で発生するとは限りません。従業員の人為的なミスや自然災害などが引き金となり、大規模なトラブルに発展するケースもあります。
セキュリティインシデントの主な発生要因
セキュリティインシデントの発生要因は主に、外的要因・内的要因・環境要因の3種類に分類できます。
・外的要因
外的要因とは、主にサイバー攻撃や不正アクセスなど、悪意のある第三者によってもたらされる外部からの脅威です。具体的には、ランサムウェア攻撃・SQLインジェクション・不正ログインなどが外的要因に分類されます。
外的要因によるインシデントを防止するためには、ファイアウォールや侵入検知システム(IDS/IPS)を活用して、技術的に監視や防御を行う方法が一案です。
・内的要因
内的要因とは、従業員の過失や管理体制の不備といった企業内部の問題です。たとえば、メールの誤送信やアクセス権限の不適切な管理によって発生した情報漏えいは、内的要因が原因のインシデントにあたります。従業員が行った顧客情報の不正持ち出しも、内的要因によるインシデントです。
内的要因による被害を防止するには、情報セキュリティの重要性や重要情報の取り扱いルールに関して、十分な従業員教育を行う必要があります。併せて、アクセス権限の設定を見直し、適切に強化する対応が必要です。
・環境要因
環境要因とは、地震や台風などの自然災害や、外部サービスの障害です。大規模な地震や台風が発生すると通信機器の物理的な破損・停電により、事業運営に支障が生じることも珍しくありません。また、自社が利用している外部サービスやクラウドサーバーの障害が原因の場合もあります。環境要因による影響を軽減するには、事前に情報資産のバックアップを取得する・BCPを策定するなどの対策をとりましょう。
セキュリティインシデントの発生事例
大規模な情報漏えいやデータ改ざんが発生した場合には、企業の信頼を揺るがす事態に発展する恐れがあります。近年発生したセキュリティインシデントの事例を知り、十分な対策をとることの必要性を今一度確認しましょう。
・大手通信会社が不正持ち出しで約596万件の個人情報漏えい
2023年に大手通信会社の業務委託先で、映像配信サービスやインターネット接続サービスを利用していた一部顧客の個人情報が流出しました。流出した個人情報は、約596万件にものぼります。
大規模な情報流出を引き起こした直接的な原因は、業務委託先に勤務していた派遣社員の不正です。元派遣社員は業務用PCから個人契約したストレージにアクセスする手法で、大量の個人情報を持ち出しました。
大手通信会社では事故の再発防止策として、個人情報管理体制を強化しています。併せて業務委託先の監督を強化し、サービスの向上に努めている最中です。
・大手電機メーカーが不正アクセスで約5千件の個人情報漏えい
2024年に大手電機メーカーの運営するオンラインストアや食材宅配サービスが第三者による不正アクセスを受け、約5千件の個人情報を漏えいする事故が発生しました。漏えいした情報は、一部顧客の氏名、郵便番号、住所、メールアドレスなどです。特定期間にオンラインストアを利用し、クレジットカードで買い物した顧客の場合、カード番号、パスワード、名義人名なども流出している可能性があります。
事故の発生要因は、Webサイトの脆弱性を突いた攻撃で不正なスクリプトを埋め込まれ、顧客の入力した個人情報を外部へ転送されたことです。大手電機メーカーでは個人情報保護委員会・警察へ事故の詳細を報告し、より詳細な調査と再発防止対策の検討を進めています。
セキュリティインシデントの対策方法
情報資産を正しく管理し、適切な対策によってトラブル防止に努めることは、企業としての責任です。以下では、セキュリティインシデントの被害拡大防止、発生抑制対策として取り組みたい3つの事項を紹介します。
・セキュリティ体制を明確にする
情報セキュリティ対策の第一歩として、経営陣のリーダーシップのもと、十分なセキュリティ体制を整備しましょう。体制整備に取り組む際には自社の事業が抱えるリスクの概要を調査して認識し、影響を軽減するために必要なタスクを明確にすることが必要です。
全社的なセキュリティ体制を構築するために、十分なノウハウを持つ人材による「セキュリティ統括機能」を設置して、経営層の意思決定をサポートしましょう。セキュリティ統括機能を構築した後にはスピーディーな対応を促すため、インシデント発生時の対応チームを編成したり指揮系統を確立したりすることが重要です。
参照元:経済産業省商務情報政策局サイバーセキュリティ課独立行政法人情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドライン Ver2.0 付録Fサイバーセキュリティ体制構築・人材確保の手引き」
12~15ページ
・システムを定期的に更新する
OSやソフトの状態が古いまま放置すると、脆弱性を狙ったサイバー攻撃の標的になるリスクがあります。リスクを回避するにはベンダーの通知に気を配り、OSやソフトのアップデートを確実に行って、最新の状態を維持してください。
ベンダーから受け取るアップデートの通知を見逃すリスクがある場合は、従業員への連絡方法を工夫する対策が必要です。たとえば、メールによる通知で見逃しが目立つ場合は、チャットで連絡する方法を検討しましょう。
・セキュリティツールを導入する
組織として情報セキュリティ対策に取り組む際には、適切なセキュリティツールを導入することも欠かせません。サイバー攻撃の被害を防止する対策としては、ファイアウォール・侵入検知システム(IDS/IPS)を導入し、システムやネットワークの安全性を確保する方法があります。運営しているWebサイトの安全性を強化したい場合には併せて、WAFの導入も検討しましょう。
WAFとは、Webサイトの保護に特化したセキュリティツールです。WAFを導入するとSQLインジェクションやコマンドインジェクションなど、ファイアウォールや侵入検知システムで対応できないサイバー攻撃も防御できます。
まとめ
セキュリティインシデントは主に、悪意のある第三者によるサイバー攻撃・企業内部の過失・自然災害や外部サービスの障害などが原因で発生します。トラブルの発生リスクを軽減し、万が一起こった場合の被害を最小限に留めるためには、組織としての体制整備やセキュリティツールの導入に取り組みましょう。
取り組みを主導できる専門知識が豊富な人材がいない場合には、ぜひクラウド型WAFサービス「Cloudbric WAF+」の導入を検討してください。Cloudbric WAF+の詳細は、以下のページで確認できます。
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら