セキュリティインシデントとは

セキュリティインシデントって言葉を聞いたことありますか？不正アクセスに伴う個人情報漏洩事件などの報道を聞くことが、最近特に増えているような印象を受けます。実際、サイバー攻撃の手法は年々多様化していますし、その被害も拡大傾向にあるため、セキュリティ対策については全企業が取り組むべき課題です。ところで、そうしたサイバー攻撃の報道に伴って、「セキュリティインシデント」という言葉がよく登場します。この言葉、企業のセキュリティ部門を担当する人にとっては知っていて当然なのですが、意外と基本的なことを知らない人もいるようです。そこで、「セキュリティインシデントは何か？」ということを詳しくお伝えし、その事前対策についても述べていきましょう。

「インシデント」とは、英語で「事件」や「出来事」などを指す言葉ですが、そもそも重大自体に発展し得る事件や出来事という意味があります。そのため、「セキュリティインシデント」としてコンピューターやネットワークに関して言われる時も、企業のセキュリティに重大な事態をもたらし得る事例や出来事という意味です。こうしたインシデントが発生すると、企業の運営に悪影響を及ぼしたり、実際の被害が発生したりといった可能性があります。そのため、発生させないよう事前対策をしっかり行うことが大切です。

具体的にセキュリティインシデントにはどのようなものがあるのかを詳しく見ていきましょう。よくあるのがマルウェアなどのウイルス感染です。攻撃者が人や企業のコンピューターにウイルスを送り、コンピューターを操作不能にしたり重要データを盗んだりといったケースが挙げられます。

ウイルス感染と深く関連するインシデントが不正アクセスです。文字通りネットワークやサーバーに不正にアクセスすることを指します。たとえば、企業のネットワークに侵入して、そこで悪意のあるウイルスを仕込み、内部から感染させるなどといったケースです。また、不正アクセスによって情報が外部に流出してしまう事件もたびたび発生しており、ある電機メーカーは不正アクセスによって膨大な顧客情報が漏洩し、数兆円もの被害を被ったほどです。このように、不正アクセスは企業の存亡にもかかわりかねない甚大な影響をもたらすリスクがあります。

「なりすまし」も最近ではよく見られるインシデントです。具体的には、攻撃者はネットワークの管理者などのアカウントを盗み出し、自分が管理者になりすますことによって自由にネットワーク内の情報を盗んだり改竄したりといった悪事を働きます。そのまま攻撃者にアカウントを乗っ取られてしまうこともあり、そのせいで、ウイルスを外部にまでばらまかれてしまったという事件もありました。

迷惑メールもセキュリティインシデントの一つです。最近よくあるのが、メールの文面にURLが記載されており、何らかの誘い文句によって受信者にそれをクリックするよう促します。ところが、受信者が実際にクリックしてしまうと、自分のコンピューターがウイルスに感染してしまうといった例です。また、企業のサーバーごと乗っ取ったうえで、そこから大量に迷惑メールを取引先などにばらまかれてしまったという事件もありました。

古典的なサイバー攻撃の手法といってもよい「Dos攻撃」も、セキュリティインシデントでよくある例です。これは、サイトやサーバーに大量のデータを送りつけて大きな負荷をかけるという攻撃で、負荷に耐えきれなくなったサイトやサーバーはダウンしてしまいます。また、マルウェアによって複数のパソコンを乗っ取りDos攻撃をかけてくる「DDos攻撃」という方法も最近多いです。IPを複数使って攻撃する方法なので、通常のDos攻撃よりもさらに大きな負荷を攻撃対象にかけられます。このようなDoS攻撃やDDoS攻撃によるネットワーク障害は、日々世界中で発生しているセキュリティインシデントです。

今後、情報社会が進展するにつれて、さらに新たなインシデントが発生する可能性も大いにあります。いまや規模の大小にかかわらず、あらゆる企業にとってコンピュータやネットワークは欠かせないものですから、このようなインシデントを発生させないよう、どれだけ安全性を高めることができるかが重要です。現時点では万全のセキュリティを確立しているという自信があったとしても、新しいセキュリティホールや脆弱性が発見されることは珍しくありませんし、サイバー攻撃の手法も日に日に進化しているため、「これで安全」ということは決してありません。より強固なセキュリティを求めて、常に脆弱性への対策を考えておく必要があります。

そのような観点から考えると、事前対策こそが最善のセキュリティインシデント対策と言えるでしょう。もちろん事後の対策も大切ですが、やはり被害を発生させないように日ごろから対策を練っておくことほど重要なことはありません。ただ、どんなに万全の対策を施したつもりでも、コンピューターやネットワークでは常に何かしらの穴が存在してしまうものなので、想定していない事態は起こり得ます。そういう事態にどのような順序で対応できるかも含めて、事前対策として講じておくべきではないでしょうか。

セキュリティインシデントが発生した場合、ネットワークやシステムを早急に復旧させるためには、専門的な知識と技術を持つ人材を備えておく必要があります。すでに社内にそういう人材がいるのであれば、その人たちを中心に復旧チームを編成しておくべきですし、そのようなスキルのある人材がいないのであれば新たに雇用することも検討するべきでしょう。いざという時にスピーディーに対応できるよう、体制を整えておくことが何よりも重要です。
 
インシデントの発生時には復旧チームが素早く対応に当たる必要がありますから、すぐにチームを招集できるように緊急時の連絡方法を前もって決めておく必要もあるでしょう。理想は、消防団員のように夜間や休日でも招集をかければすぐに全員が集まる体制です。
 
招集をかけるとすぐに集まるチームを編成できたとしても、実際の現場で最適な判断を迅速に下すためには、そのチームをまとめる指揮官が必要です。指揮系統を明らかにしておき、どんな場面でもチームの意思統一ができる体制を整えておいてください。

復旧チーム内の従業員はもちろん、チーム外の従業員も含め、どう対応すべきかのインシデント発生時のルールを決めておくことも重要です。たとえばチームの人員なら、緊急時にどの程度の行動が可能なのか、何を最優先すべきなのか、また、業務上知り得た情報はどのように扱うべきかといったことを徹底しておかなければなりません。チーム外の従業員にも、いざという時にどのような協力ができるのか、すべきこと、すべきでないことは何かということを周知しておく必要があります。いざ本番で慌てないよう、予行演習のようなことを社内で定期的に行うのもよい方法です。

「セキュリティインシデントとは？」ということから、具体的なインシデントの例、インシデントに対して日ごろからどのような対策ができるかといったことまで詳しく述べてきました。「うちは大丈夫だろう」、「セキュリティ会社に委託してるから大丈夫」との油断が思わぬ被害を招くこともあります。どれほど対策してもしすぎるということはありませんので、どんな万全なセキュリティ対策を施していようと、定期的に見直すことが大切です。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。