Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報漏洩が発生したというニュースは後を絶たず、事故を起こしてしまった企業は長期的な対応に追われています。巨大な組織が悪意を持った外部の人間から攻撃されるケースを耳にする機会は多くありますが、情報漏洩のリスクは組織の大小に関わらず存在しています。比較的小規模な企業では、コストや工数の都合もあり万全のセキュリティ対策を行うことが難しいことも多いでしょう。ITの専門家が在籍していなければ、対策自体が困難なケースもあるかもしれません。
しかし、セキュリティの基本を押さえることで、日常業務に潜む危険を減らして機密情報を守ることは可能です。今回は、これから情報漏洩対策を行おうとしている方へ向けて、セキュリティインシデントの考え方をご紹介します。
セキュリティインシデントとは
セキュリティインシデントとは、システムや利用者を脅かす事故や事象のことを指します。
単にインシデントと呼称することもあり、今回は以下「インシデント」と記載します。
何らかの原因があり、その結果発生するものがインシデントであり、原因となったシステムの不具合や運用不備とは区別して理解することが必要です。原因と結果(インシデント)を区別することで、インシデントの防止と、万が一発生したときの適切な対処を行いやすくなるからです。
また、システムや利用者を脅かす事象がインシデントであるため、結果的に実害が無くても危険があったものはインシデントとして認識するほうがよいでしょう。例えば上司へ提出するはずの成果物を誤って近しい同僚へ送ってしまった場合、本人への注意喚起で済ませる程度の対応で終わらせるケースもあるのではないでしょうか。しかし、「誤った宛先へデータを送付した」ことはインシデントであり、想定外の宛先へデータを誤送信してしまうリスクが日常業務に潜んでいると考えるべきです。それにより、インシデント発生の原因に対するアクションが生まれ、インシデント防止に繋がる業務改善を実現できる可能性があります。
インシデントとは、結果的に発生する「望ましくない状況」とも言えます。インシデント自体に着目するだけではなく、その原因にも意識を向けることでインシデント防止に繋げることが大切です。
インシデントの種類
インシデントには様々な種類が存在します。インシデント防止に向けて適切な対策を施すためには、どのような種類のインシデントが存在するのかを知ることが第一歩です。
インシデントの種類により有効な対策は異なり、業務によって発生しやすいインシデントも異なります。自社の業務を鑑みて、脅威となるインシデントを認識することは業務改善や利用するサービス選定にも役立つでしょう。以下に代表的なインシデントの種類を紹介します。
マルウェア感染
マルウェアとは、悪意を持って感染者に不利益をもたらすソフトウェア全般を指します。感染した端末内のアクセス権を奪取し、ファイルを外部へ送信する、暗号化して身代金を要求するなど、被害の形は様々です。
不正アクセス
本来許可されていない人物が、組織のネットワークへ不正にアクセスを行う行為です。システムで適切なアクセス権を設定していなければ機密情報を盗まれてしまうほか、閲覧されるだけでも情報漏洩に繋がる可能性は高いと言えます。また、不正アクセスされた端末を踏み台にして、別の端末を攻撃されるケースもあります。
データ改ざん
webサイト等の組織として公開している情報を書き換える行為です。組織として意図していない発信が行われるほか、閲覧者に対して攻撃を試みるスクリプトを仕込まれれば閲覧者に対する加害者になってしまう恐れもあります。
記憶媒体の紛失
近年ではUSBメモリの取り扱いを厳重に管理する組織が増えていますが、業務上どうしても必要な場合もあるでしょう。スマートフォンやノートパソコンであれば、日常的に持ち歩く業務も珍しくありません。これらの端末は重要な情報が保存されているケースが多く、悪意のある第三者の手に渡れば、保存されている情報を悪用される可能性が極めて高いです。
情報漏洩
前述したインシデントの結果として、情報漏洩は発生します。顧客や取引先の情報はもちろん、センシティブな内部情報が不特定多数の目に触れてしまう状況になります。金銭以外にも企業の信用失墜や体外的な関係悪化など、取り戻すことが困難な被害に発展してしまうリスクも無視できません。悪意を持った攻撃を受ける以外にも、内部的な不注意や運用の不備でも発生するケースが多くあり、外部・内部両方のセキュリティ対策が強く求められます。
このように、インシデントといっても様々な種類が存在します。一つの対策で全てをカバーすることは難しいため、自社にとって脅威度の高いインシデントを把握し、適切な対策を実施する必要があります。
インシデントを防ぐにはどうすれば良いのか
インシデントは様々な原因によって発生し、完全にゼロにすることは極めて困難です。しかし、適切な対策を行うことで発生リスクを減らすことは可能です。ここからは、インシデントを未然に防ぐための基本的な対策を紹介します。
基本的な対策
1.システムを最新の状態に保つ
どのようなシステムでも、アップデートを怠れば新しく発生した攻撃手法やマルウェアに対応できなくなってしまいます。PCやスマートフォンのOSや、インストールされているソフトウェア、サーバーやネットワーク機器も最新の状態を保つことが重要です。
サーバーやネットワーク機器はアップデートを適用するために専門知識を要することもあり、機器ごとに手順書を用意して人事異動等の担当者変更にも備える必要があります。
2.適切なアカウント管理とアクセス制御を行う
組織の機密情報へアクセスする従業員のアカウントは、一つ盗まれただけで重大なインシデントを引き起こす恐れがあります。万が一アクセス情報が盗まれてしまった場合の被害を最小限にするためには、各アカウントに付与するアクセス権限を必要最小限にすることが効果的です。
また、退職した従業員のアカウントや一時的なゲストアカウントの管理も重要です。未使用のアカウントは放置せず、無効化や削除対応を随時実施することで不正アクセス防止に繋がります。
3.セキュリティポリシーの制定
全従業員に遵守を求めるべき事柄を文書として作成し、周知します。従業員のセキュリティに対する意識は様々であり、一人の従業員の理解不足により重大なインシデントに発生することは珍しくありません。
文書として方針や基準を明確にし、それを従業員が遵守することで組織として一貫したセキュリティ意識を持つことが大切です。
4.従業員の教育
人的ミスや不審メールの開封などは、作業者の知識不足が原因となるケースが多くあります。流行している攻撃手法を周知するだけでも、不審なメールを開いてしまう、web上のフォームへ重要情報を入力してしまうなどのリスクを減らすことが可能です。また、定期的な教育によりセキュリティ意識が向上し、公共の場でのうかつな発言や荷物の置き忘れなど、うっかりミスの防止に繋がります。
インシデントを予防するためには、適切なシステム運用と従業員の知識・意識の向上が必須です。高価なセキュリティ対策製品を導入しても、利用者が不適切な運用をしてしまえば効果は激減します。システムや情報を扱うのは人であることを意識し、システムと従業員の両面を意識して対策を行うことが大切です。
自社の課題を整理することがインシデント発生防止の第一歩
紹介したようにインシデントには様々な種類があり、原因は事象によって異なります。インシデントの発生は人的ミスや知識不足が原因であるケースも多くあります。自社では何ができていて何が足りないのかを整理し、足りない部分への対処を行うだけでもインシデント発生防止の効果が期待できます。
また、エムオーテックスでは外部脅威対策・内部情報漏洩対策・脆弱性対策を行えるツール「LANSCOPE」を提供しています。インシデント発生防止のための対策を考えている方は、ぜひお役立てください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報漏洩が発生する理由や基本的な対策については、こちらの記事で解説しています。
