使用しているWebアプリケーションに脆弱性が発見され、対応する前に攻撃者に攻撃を仕掛けられる可能性もあります。
もし、顧客情報が流出した場合はどういう対応を企業は取らなければならないのでしょうか。
流出した場合の対応を誤ることで企業が受ける損害は、サイバー攻撃や脆弱性によるものだけではなくなるかもしれません。
今回は企業で情報セキュリティを担当する方に、顧客情報が流出した場合のリスクや原因、影響、企業が取るべき対応のポイントについて紹介します。
目次
サイバー攻撃による情報漏洩は年々上昇
サイバー攻撃は年々増加傾向にあります。
2016年の総攻撃数は約1281億件という驚異的な数字が出ました。
2017年には約1504憶件という数字にまで届き、不安が尽きることは当分ないでしょう。
専門機関の発表として、オリンピック開催国である日本はサイバー攻撃の標的になりやすいという話も出てきています。注目される企業や団体が標的となりやすいのは、サイバー被害の特徴ともいえます。
図を見ていただくと一目瞭然ですが、サイバー攻撃はどんどん増加傾向にあります。
サイバー攻撃と言っても、以前のようなパソコンや企業システムを直接狙うものではなく、インターネットに接続できる端末や家電(Iot機器)を狙うケースが多くなっています。
サイバーセキュリティがあまり進んでいない日本は格好の餌食となっている状況です。企業はwebや情報セキュリティに抜本的な改革が必要な時期に来ているかもしれません。
【参考リンク】
サイバー攻撃1281億件 16年、IoT機器狙い急増
まずは二次被害を防ぐことが一番大切
サイバー被害を受けた後の二次被害とは、流出した情報が悪用されることです。
クレジットカード情報が流出してしまった場合は、顧客のカード番号が人知れず利用されていることなどが該当します。
独立行政法人・情報推進機構(IPA)が発表している「情報漏洩発生時の対応ポイント集」では、最大の目的は直接的・間接的被害を最小限に抑えることが大切だと記載されています。
個人情報の漏洩が判明した時点で早急に、被害を食い止める必要があります。
万が一情報漏洩した場合の対応
情報漏洩をしてしまった場合、どういった対応をすれば良いのでしょうか。
こちらは5W1Hで確認し、発表する義務・ポイントについてまとめました。
(2) 何(物)を不正アクセスされたのか?
(3) 不正アクセスされた情報は何か?
(4) いつ不正アクセスが行われたのか?
(5) どこで不正アクセスが行われたのか?
(6) なぜ不正アクセスが発生したのか?
(7) 不正アクセスが発覚した理由は何なのか?
何の情報がどのくらい含まれていたのか、情報は暗号化されていたのか…等を確認する必要があります。
もし、不正アクセスによって個人情報や機密情報が漏れた場合は、早急にネットワークから切り離してサービスを停止する必要があります。
応急処置としては、
・不正アクセスを受けた機器(サイト)のネットワークからの切り離し
・不正アクセスを受けた機器(サイト)の停止
・代替えサイトの立ち上げ
といったものが挙げられます。
不正アクセスされた原因がわからないまま代替えサイトを立ち上げると、再度不正アクセスを受ける可能性がありますので、原因が解明されてから代替えサイトを立ち上げることを強く推奨いたします。
調査に関しては第三者機関に依頼して、原因を究明しましょう。
原因究明と同時に監督官庁への報告が必要になります。
不正アクセスや情報漏洩した場合は警察への届けが必要となります。
情報漏洩をした場合はスピーディな行動が大切です。
顧客情報の漏えいが発覚した後に、かなりの時間をおいてから公式発表した企業もいくつかあります。自社のメンツを優先した姿勢に対し、メディアで報道された後、多くの批判を受ける形となりました。
お客さま(ユーザー)に事実をお伝えすること、誠意をもって対応をすること、今後はどう改善していくのかを早急に公表することが今後の信頼関係回復のための糸口になると思われます。
IDやパスワードの変更をお願いすることで、お客様自身のリスクを軽減する効果も期待できます。お客様(ユーザー)の立場になって考える姿勢こそ、企業には不可欠の対応と言えるでしょう。
サイバー攻撃を防ぐ方法
脆弱性診断をすれば大丈夫、IPSを導入しているから問題ないという声を聴きます。
しかし、サイバー攻撃は一つのセキュリティサービスで全てを守るのは難しいのが現状です。
特にwebアプリケーションには従来のセキュリティ対策では保護できない部分も多く存在しています。
個人情報の入っているWebアプリケーションを守るのにWAFはとても重要な役割を担います。
WAFは以前であれば、高額で中小企業や個人レベルでは選択肢には難しいものでした。
しかし、クラウド型WAF「攻撃遮断くん」であれば、低価格で導入することができます。
攻撃も可視化することができるので、Webアプリケーションが現在どのような状況なのかを知ることもできます。
また、サイバー保険も付帯することができるので、万が一の時も安心です。
もちろん、使用しているWebアプリケーションの脆弱性情報を常にチェックすることも大切です。
利用しているアプリケーションが常に完璧な状態でリリースされているとは限りません。
リリース後に脆弱性が発見されることは多々あります。
このようなケースでは担当者が常に情報を収集し、万が一脆弱性が発見された時は早急に対応できるように準備する必要があります。
社内に担当者がいない場合は、サーバを構築した業者が行う必要がありますが、すぐに連携をとって対応してくれるとは限りません。
「任せているからわからない」というのは、情報流出した際には通用しませんので、各々でしっかりと確認してセキュリティ対策を行うことが、信頼構築の鍵ともいえます。ぜひこの機会に確認してみてください。
初期・運用コストが小さく、手軽にセキュリティ対策が出来るクラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
今回はサイバー攻撃を受けた場合の、企業が取るべき方法についてポイントを紹介しました。webセキュリティ対策をすることで事件が起きないことが望ましいです。しかし巧妙化するサイバー攻撃やトラブルには、起きた場合の対応についても考えておくことが理想的です。企業にとって大事なお客様を優先とした対応が不可欠と言えるでしょう。
(2018/5/23 執筆、2019/9/11修正・加筆)
この記事と一緒に読まれています
-
2022.10.06
セキュリティ対策
-
2020.01.30
セキュリティ対策
-
2020.01.31
セキュリティ対策
-
HTTPヘッダインジェクションとOSコマンドインジェクションの違いと対策方法を徹底解説!
2020.01.06
セキュリティ対策
-
2019.08.20
セキュリティ対策
