IT資産管理

セキュリティインシデント対応の6ステップをわかりやすく解説

Written by 田村 彩乃

ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。

セキュリティインシデント対応の6ステップをわかりやすく解説

突如発生するインシデントに対し企業が適切な対処を行うためには、あらかじめ組織内で「セキュリティインシデントへの対応方法」を明らかにし、社員に浸透させることが重要です。
セキュリティインシデントの発生は自社の損害にとどまらず、関連企業や顧客・従業員・取引先など、さまざまな組織や個人に被害が拡大するリスクがあります。

本記事では、企業のセキュリティ担当者が知っておくべき「セキュリティインシデントへの対応方法」について

  • セキュリティインシデントへの事前対応
  • セキュリティインシデント発生後の対応フロー
  • 情報漏洩のタイプ別にみるインシデント対応のコツ

といった項目を中心に解説いたします。

【5分で分かる!】?セキュリティインシデント発生時にとるべき6つの対応ポイントとは

企業が知っておくべき、インシデントの被害を最小限にとどめるための「事前対策」「事後対策」をわかりやすく解説しています。

資料をダウンロードする


“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする

セキュリティインシデントとは

セキュリティインシデントとは、セキュリティ上の脅威をもたらす存在の総称を指します。

  • ウイルスやマルウェアなどの具体的な脅威
  • 不正アクセス・情報改ざんといった攻撃手法
  • 個人・機密情報の流出といった被害内容

など「セキュリティインシデント」という言葉が表す内容は様々です。
「インシデント」は和訳すると「事件」という意味の単語であり、セキュリティインシデントとは「セキュリティ事故の引き金となる、前段階の事件」という意味合いとなります。

主なセキュリティインシデントの例

大きな損害へと繋がりかねない「セキュリティインシデント」として、以下のような例が挙げられます。

インシデントの種類 インシデントの内容
マルウェア感染 悪質なプログラムがパソコンやサーバーなどの端末に仕掛けられてしまうこと
なりすまし 悪意を持った第三者が、詐欺や不正アクセスなどを目的として他者になりすますこと
DDoS攻撃 ネットワークの遅延やサービス停止などを目的として、Webサイトやサーバーに短時間で大量のデータ送信を行い、多大な負荷をかける攻撃を行うこと
フィッシング 企業や公的機関などになりすましたメールを送信し、記載されたURLへ誘導して個人情報の送信を促す攻撃を行うこと
不正アクセス 悪意を持った第三者が、企業や個人のネットワークに不正に侵入する行為
情報漏洩 個人情報や機密情報など、本来は外部に知られてはならない情報が流出する被害
改ざん Webサイトや企業の端末に保存されているデータなどを書き換えられしまう被害
記録媒体の紛失 USBメモリなどの記録媒体を紛失すること。放置すると情報漏洩被害に発展する可能性がある

セキュリティインシデントで起こりうる損害

上記でご紹介したようなセキュリティインシデントが発生することで、個人情報や機密情報の外部流出や自社サービスの遅延発生・製品の生産が停止といった、さまざまな被害に見舞われる可能性があります。

結果として

  • 被害を受けた顧客への損害賠償やフォローのために大量のコストが発生する
  • 顧客からの信頼感の喪失により、大幅に売上やリピート率が低下する
  • 自社だけでなくグループ企業のブランドイメージ低下を招く

といった金銭的・信頼的に莫大な損害を被るリスクがあります。こういった被害の発生を防止するためにも、セキュリティインシデント対応への取り組みが重要視されています。

セキュリティインシデント対応はなぜ必要なのか

組織がセキュリティインシデント対応に取り組むことは、上述したようなインシデントによる被害を最小限にとどめる上で必要不可欠です。

セキュリティインシデントの発生は自社をはじめ取引先や顧客・関連会社など、さまざまな組織や個人に影響を及ぼすリスクがあるため、組織内で取り決めた「対処法」に基づき、適切な初動対応を取ることが重要です。

セキュリティインシデントの事前対応

セキュリティインシデントを予防するため、まずは「インシデントを発生させないため」の事前対応が重要になります。

  • 社内におけるセキュリティポリシーの策定
  • CSIRTやSOCといった専門組織の立ち上げ

といった、2種類の「セキュリティインシデントの事前対策」についてご紹介します。

セキュリティポリシーの策定

1つ目にご紹介する事前対策として「セキュリティポリシーの作成」が挙げられます。
セキュリティポリシーとは、企業や組織が策定する「情報セキュリティ対策の行動指針や方針」を指す言葉であり、組織にて秩序を保ったセキュリティ運用を行う上で大切な概念です。
セキュリティポリシーを策定せずに社内システムやサービスを運用すると、各々が「セキュリティ」への重要性や正しい対処法を認識せずに行動してしまうため、結果的にマルウェア感染や機密情報の漏洩といった、インシデントを招いてしまう可能性があります。
社内にてセキュリティ対策の行動・ルールを定めることにより、社員の裁量による不正行為を減らし、セキュリティ事故の発生を軽減することに繋がります。

セキュリティ専門組織(CSIRTやSOC)の立ち上げ

2つ目に紹介する事前対策は「CSIRTやSOCといったセキュリティ専門組織の立ち上げ」です。
CSIRT(Computer Security Incident Response Team)とは、セキュリティインシデントが発生した際に対処するチームを指します。平常時はセキュリティホールといった脆弱性の収集・分析を行い、インシデントが発生した際は速やかに対応へとあたります。また必要に応じて社内や社外の組織と協力し、情報共有を行うことも業務の1つです。
一方のSOC(Security Operation Center)とは、サイバー攻撃対策を専門とするセキュリティチームの総称です。SOCはセキュリティ機器やネットワーク機器などの監視とログ分析を行い、インシデントが発生したときは影響範囲を速やかに算出して、被害を防止するためのセキュリティ対策を講じます。
CSIRTとSOCはセキュリティインシデントに対応するという点で似ていますが、CSIRTはセキュリティインシデント「発生後」の対応を、SOCはインシデント「発生前」の策を講じる点で違いがあります。

セキュリティインシデント発生後対応の6ステップ

万一、セキュリティインシデントが発生した際には、あらかじめ策定したインシデント発生時の事前準備に基づき、速やかな発見や対応を行うことが重要となります。
セキュリティインシデント発生後の6項目の対応は、以下の通りです。

  1. 発見・報告
  2. 初動対応
  3. 調査
  4. 通知・報告・公表等
  5. 抑制措置と復旧
  6. 事後対応

各項目について詳細を解説します。

1.発見・報告

セキュリティインシデント発生後、まず取るべき行動は「1.セキュリティインシデントの発見と速やかな報告」です。
インシデントの兆候や既に発生した事実が確認された場合は、速やかに責任者へと報告しましょう。不正アクセスやマルウェア感染といった、端末やサーバーから情報が外部に流出するリスクがある場合は、むやみに対処しないことが重要です。
また、端末にセキュリティインシデントの証拠が残っている場合は、不用意な操作によって証拠を削除しないよう注意が必要です。社外など第三者からの通報によってセキュリティインシデントが発覚した場合は、相手の連絡先を控えておくことも大切です。

2.初動対応

責任者への報告を済ませた後は「2.初動対応」へと移ります。情報漏洩などの発生が想定される場合は、被害の拡大を防止するとともに、二次被害を防ぐための対策を直ちに実施します。

【セキュリティ被害の拡大を防止する例】

  • マルウェア感染により「ネットワークを介して他の端末に感染する恐れ」がある場合、速やかに該当の端末をネットワークから切り離す
  • 不正アクセスを検知した場合、速やかに外部ネットワークを遮断することで、外部への情報漏洩・持ち出しを最小限にとどめる
  • Webサイトの改ざんが行われた場合、直ちに公開を停止して訪問者への被害拡大を防ぐ
  • なりすましメールが確認された場合、速やかに顧客への注意喚起を行う

3.調査

初動対応によってセキュリティインシデントの拡大防止へと対処したら「3.発生したインシデントに対する具体的な調査」を行います。調査結果は、5W1H(いつ、どこで、誰が、何を、なぜ、どうしたのか)に沿って、まとめることが重要です。

【インシデント調査結果の例】

2022年12月10日、〇〇株式会社渋谷オフィスにて、匿名の第三者(IPアドレス:xxxxx)による従業員Aのパソコンへの不正アクセスが確認された。

データの流出については現段階では確認されていないが、目的は機密情報の窃取と考えられる。本件の発生を確認後、速やかに社内のネットワークを遮断。その後、該当のIPアドレスをブロックし、セキュリティソフトの更新とネットワークセキュリティの強化を行った。

4.通知・報告・公表等

セキュリティインシデントの調査結果がまとまったら「4.通知・報告・公表」のフェーズへと移ります。
インシデントによって情報漏洩などが発生した場合は、被害者(情報が漏洩したと見られる本人や取引先など)に対し、速やかにセキュリティインシデントの発生について通知します(ただし、何らかの特別な事情を除く)。
また、警察やIPA(情報処理推進機構)、監督官庁などに届出を行うとともに、自社のWebサイトやマスメディアを介した、事実の公表も検討すべきでしょう。
特にUSBメモリなどの外部媒体や端末の紛失・盗難、第三者による不正アクセス、内部の従業員による犯行、脅迫による金銭の要求など、犯罪につながる内容のセキュリティインシデントの場合は、警察への届け出が必要です。
被害範囲が極めて広く、一人ひとりへの通知が難しい場合・不特定多数への影響が見込まれる場合は、自社サイトや記者発表を伴った情報発信を検討する場合もあります。ただし公表によって二次被害を招く恐れがあるときは、時期や公開範囲などを十分に考慮した上で行うことが重要です。

5.抑制措置と復旧

通知や報告と並行して「5.情報漏洩被害を拡大させないための措置と、復旧に向けた対策」を行っていきます。被害相談の窓口を設けるなどの対策を取り、被害の発生状況を詳細に察知できる環境を整えましょう。
また、再発防止対策を十分に講じた後で、停止したシステムやサービス、アカウントなどの復旧を順次進めていきます。

6.事後対応

復旧が完了したら「6.事後対応として再発防止策の検討」を行います。セキュリティインシデントに関する調査報告書を作成し、経営層に提示した上で、被害者がいる場合は適切な補償・賠償等の対応を実施します。
必要に応じて顧客への情報開示も慎重に行いましょう。

【5分で分かる!】?セキュリティインシデント発生時にとるべき6つの対応ポイントとは

企業が知っておくべき、インシデントの被害を最小限にとどめるための「事前対策」「事後対策」をわかりやすく解説しています。

資料をダウンロードする

情報漏洩のタイプ別にみるインシデント対応のコツ

「情報漏洩」は、主に以下3つのタイプへ分けられます。どういった情報が漏洩したかに基づき、それぞれ適切な対応を行う必要があります。

  1. 「個人情報」の漏洩
  2. 「公共性の高い情報」の漏洩
  3. 「一般情報」の漏洩

各セキュリティインシデントにおける、対応のコツについて解説します。

1.「個人情報」の漏洩

従業員や顧客・取引先などの「個人情報」が漏洩した場合は、「個人情報保護法」に則って適切な対応を取る必要があります。状況を把握し、必要に応じて監督官庁へ報告しましょう。
個人情報の漏洩は、漏洩被害に遭った本人が何らかの悪影響を受ける可能性があるため、漏洩の事実を本人に通知し、二次被害を防止するための注意喚起を行うことも大切です。

関連ページ

【動画解説付】2022年4月施行の改正個人情報保護法で対応すべき6のポイントをわかりやすく解説

2.「公共性の高い情報」の漏洩

社会インフラに関連する情報など「公共性の高い情報」が漏洩した場合は、必要に応じて関係各社・監督官庁に報告し、場合によってはマスメディアへの情報開示も行いましょう。
個人情報の漏洩に比べ、より影響範囲が広い可能性が高いため、正しく状況を見極めることが重要となります。

3.「一般情報」の漏洩

企業の取引先情報など「一般情報が漏洩」した場合は、該当の取引先へ速やかに状況を通知し、先方の意向に応じた対応を取る必要があります。
また企業の機密情報など、経営に影響を及ぼす重要な情報が漏洩したときは、状況に応じた臨機応変かつ迅速な経営判断が求められます。

LANSCOPE エンドポイントマネージャーで対策するインシデント対応

組織の「セキュリティインシデント対策」であれば、エムオーテックスが提供するセキュリティツール「LANSCOPE エンドポイントマネージャー クラウド版」がおすすめです。
エンドポイントマネージャーでは、管理者によって一括でデバイスの利用制限や最新OSへのアップデートが可能。また取得した情報をもとにルールに違反しているデバイスを把握できるため、情報漏洩などのインシデントの兆候を見逃さず、未然に防止することが可能です。
またPCやスマートフォンなどの紛失・盗難時にも、管理者側で位置情報を確認したり、遠隔による端末操作(リモートロック・ワイプ等)が可能なため、情報漏洩のリスクを最小限にとどめることが可能です。

まとめ

今回は組織における「セキュリティインシデントへの対応」に関して、主に以下の内容を確認しました。

  • 企業がセキュリティインシデントに対し、未然に対策することの重要性
  • セキュリティインシデントへの事前対応方法
  • セキュリティインシデント発生後の対応フロー
  • 情報漏洩のタイプ別にみるインシデント対応のコツ

インシデントは自社だけでなく、顧客や取引先などさまざまな範囲に及ぶ可能性があります。適切な初動対応を取り、被害を最小限に抑えた上で、今後に向けた抜本的な対策を取ることが大切です。
以下の資料では、コラムでは記載しきれなかった、組織が取り組むべきより具体的な「セキュリティインシデントへの対応」に関してまとめています。ぜひインシデント対応計画策定のヒントとして、参考にしていただければ幸いです。

【5分で分かる!】?セキュリティインシデント発生時にとるべき6つの対応ポイントとは

企業が知っておくべき、インシデントの被害を最小限にとどめるための「事前対策」「事後対策」をわかりやすく解説しています。

資料をダウンロードする


“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする