突如発生するインシデントに対し企業が適切な対処を行うためには、あらかじめ組織内で「セキュリティインシデントへの対応方法」を明らかにし、社員に浸透させることが重要です。
セキュリティインシデントの発生は自社の損害にとどまらず、関連企業や顧客・従業員・取引先など、さまざまな組織や個人に被害が拡大するリスクがあります。

本記事では、企業のセキュリティ担当者が知っておくべき「セキュリティインシデントへの対応方法」について

といった項目を中心に解説いたします。

セキュリティインシデントとは

セキュリティインシデントとは、セキュリティ上の脅威をもたらす存在の総称を指します。

など「セキュリティインシデント」という言葉が表す内容は様々です。
「インシデント」は和訳すると「事件」という意味の単語であり、セキュリティインシデントとは「セキュリティ事故の引き金となる、前段階の事件」という意味合いとなります。

主なセキュリティインシデントの例

大きな損害へと繋がりかねない「セキュリティインシデント」として、以下のような例が挙げられます。

インシデントの種類	インシデントの内容
マルウェア感染	悪質なプログラムがパソコンやサーバーなどの端末に仕掛けられてしまうこと
なりすまし	悪意を持った第三者が、詐欺や不正アクセスなどを目的として他者になりすますこと
DDoS攻撃	ネットワークの遅延やサービス停止などを目的として、Webサイトやサーバーに短時間で大量のデータ送信を行い、多大な負荷をかける攻撃を行うこと
フィッシング	企業や公的機関などになりすましたメールを送信し、記載されたURLへ誘導して個人情報の送信を促す攻撃を行うこと
不正アクセス	悪意を持った第三者が、企業や個人のネットワークに不正に侵入する行為
情報漏洩	個人情報や機密情報など、本来は外部に知られてはならない情報が流出する被害
改ざん	Webサイトや企業の端末に保存されているデータなどを書き換えられしまう被害
記録媒体の紛失	USBメモリなどの記録媒体を紛失すること。放置すると情報漏洩被害に発展する可能性がある

セキュリティインシデントで起こりうる損害

上記でご紹介したようなセキュリティインシデントが発生することで、個人情報や機密情報の外部流出や自社サービスの遅延発生・製品の生産が停止といった、さまざまな被害に見舞われる可能性があります。

結果として

といった金銭的・信頼的に莫大な損害を被るリスクがあります。こういった被害の発生を防止するためにも、セキュリティインシデント対応への取り組みが重要視されています。

セキュリティインシデント対応はなぜ必要なのか

組織がセキュリティインシデント対応に取り組むことは、上述したようなインシデントによる被害を最小限にとどめる上で必要不可欠です。

セキュリティインシデントの発生は自社をはじめ取引先や顧客・関連会社など、さまざまな組織や個人に影響を及ぼすリスクがあるため、組織内で取り決めた「対処法」に基づき、適切な初動対応を取ることが重要です。

セキュリティインシデントの事前対応

セキュリティインシデントを予防するため、まずは「インシデントを発生させないため」の事前対応が重要になります。

といった、2種類の「セキュリティインシデントの事前対策」についてご紹介します。

セキュリティポリシーの策定

1つ目にご紹介する事前対策として「セキュリティポリシーの作成」が挙げられます。
セキュリティポリシーとは、企業や組織が策定する「情報セキュリティ対策の行動指針や方針」を指す言葉であり、組織にて秩序を保ったセキュリティ運用を行う上で大切な概念です。
セキュリティポリシーを策定せずに社内システムやサービスを運用すると、各々が「セキュリティ」への重要性や正しい対処法を認識せずに行動してしまうため、結果的にマルウェア感染や機密情報の漏洩といった、インシデントを招いてしまう可能性があります。
社内にてセキュリティ対策の行動・ルールを定めることにより、社員の裁量による不正行為を減らし、セキュリティ事故の発生を軽減することに繋がります。

セキュリティ専門組織（CSIRTやSOC）の立ち上げ

2つ目に紹介する事前対策は「CSIRTやSOCといったセキュリティ専門組織の立ち上げ」です。
CSIRT（Computer Security Incident Response Team）とは、セキュリティインシデントが発生した際に対処するチームを指します。平常時はセキュリティホールといった脆弱性の収集・分析を行い、インシデントが発生した際は速やかに対応へとあたります。また必要に応じて社内や社外の組織と協力し、情報共有を行うことも業務の1つです。
一方のSOC（Security Operation Center）とは、サイバー攻撃対策を専門とするセキュリティチームの総称です。SOCはセキュリティ機器やネットワーク機器などの監視とログ分析を行い、インシデントが発生したときは影響範囲を速やかに算出して、被害を防止するためのセキュリティ対策を講じます。
CSIRTとSOCはセキュリティインシデントに対応するという点で似ていますが、CSIRTはセキュリティインシデント「発生後」の対応を、SOCはインシデント「発生前」の策を講じる点で違いがあります。

セキュリティインシデント発生後対応の6ステップ

万一、セキュリティインシデントが発生した際には、あらかじめ策定したインシデント発生時の事前準備に基づき、速やかな発見や対応を行うことが重要となります。
セキュリティインシデント発生後の6項目の対応は、以下の通りです。

各項目について詳細を解説します。

1．発見・報告

セキュリティインシデント発生後、まず取るべき行動は「1．セキュリティインシデントの発見と速やかな報告」です。
インシデントの兆候や既に発生した事実が確認された場合は、速やかに責任者へと報告しましょう。不正アクセスやマルウェア感染といった、端末やサーバーから情報が外部に流出するリスクがある場合は、むやみに対処しないことが重要です。
また、端末にセキュリティインシデントの証拠が残っている場合は、不用意な操作によって証拠を削除しないよう注意が必要です。社外など第三者からの通報によってセキュリティインシデントが発覚した場合は、相手の連絡先を控えておくことも大切です。

2．初動対応

責任者への報告を済ませた後は「2．初動対応」へと移ります。情報漏洩などの発生が想定される場合は、被害の拡大を防止するとともに、二次被害を防ぐための対策を直ちに実施します。

3．調査

初動対応によってセキュリティインシデントの拡大防止へと対処したら「3．発生したインシデントに対する具体的な調査」を行います。調査結果は、5W1H（いつ、どこで、誰が、何を、なぜ、どうしたのか）に沿って、まとめることが重要です。

4．通知・報告・公表等

セキュリティインシデントの調査結果がまとまったら「4．通知・報告・公表」のフェーズへと移ります。
インシデントによって情報漏洩などが発生した場合は、被害者（情報が漏洩したと見られる本人や取引先など）に対し、速やかにセキュリティインシデントの発生について通知します（ただし、何らかの特別な事情を除く）。
また、警察やIPA（情報処理推進機構）、監督官庁などに届出を行うとともに、自社のWebサイトやマスメディアを介した、事実の公表も検討すべきでしょう。
特にUSBメモリなどの外部媒体や端末の紛失・盗難、第三者による不正アクセス、内部の従業員による犯行、脅迫による金銭の要求など、犯罪につながる内容のセキュリティインシデントの場合は、警察への届け出が必要です。
被害範囲が極めて広く、一人ひとりへの通知が難しい場合・不特定多数への影響が見込まれる場合は、自社サイトや記者発表を伴った情報発信を検討する場合もあります。ただし公表によって二次被害を招く恐れがあるときは、時期や公開範囲などを十分に考慮した上で行うことが重要です。

5．抑制措置と復旧

通知や報告と並行して「5．情報漏洩被害を拡大させないための措置と、復旧に向けた対策」を行っていきます。被害相談の窓口を設けるなどの対策を取り、被害の発生状況を詳細に察知できる環境を整えましょう。
また、再発防止対策を十分に講じた後で、停止したシステムやサービス、アカウントなどの復旧を順次進めていきます。

6．事後対応

復旧が完了したら「6．事後対応として再発防止策の検討」を行います。セキュリティインシデントに関する調査報告書を作成し、経営層に提示した上で、被害者がいる場合は適切な補償・賠償等の対応を実施します。
必要に応じて顧客への情報開示も慎重に行いましょう。

情報漏洩のタイプ別にみるインシデント対応のコツ

「情報漏洩」は、主に以下3つのタイプへ分けられます。どういった情報が漏洩したかに基づき、それぞれ適切な対応を行う必要があります。

各セキュリティインシデントにおける、対応のコツについて解説します。

1．「個人情報」の漏洩

従業員や顧客・取引先などの「個人情報」が漏洩した場合は、「個人情報保護法」に則って適切な対応を取る必要があります。状況を把握し、必要に応じて監督官庁へ報告しましょう。
個人情報の漏洩は、漏洩被害に遭った本人が何らかの悪影響を受ける可能性があるため、漏洩の事実を本人に通知し、二次被害を防止するための注意喚起を行うことも大切です。

2．「公共性の高い情報」の漏洩

社会インフラに関連する情報など「公共性の高い情報」が漏洩した場合は、必要に応じて関係各社・監督官庁に報告し、場合によってはマスメディアへの情報開示も行いましょう。
個人情報の漏洩に比べ、より影響範囲が広い可能性が高いため、正しく状況を見極めることが重要となります。

3．「一般情報」の漏洩

企業の取引先情報など「一般情報が漏洩」した場合は、該当の取引先へ速やかに状況を通知し、先方の意向に応じた対応を取る必要があります。
また企業の機密情報など、経営に影響を及ぼす重要な情報が漏洩したときは、状況に応じた臨機応変かつ迅速な経営判断が求められます。

LANSCOPE エンドポイントマネージャーで対策するインシデント対応

組織の「セキュリティインシデント対策」であれば、エムオーテックスが提供するセキュリティツール「LANSCOPE エンドポイントマネージャー クラウド版」がおすすめです。
エンドポイントマネージャーでは、管理者によって一括でデバイスの利用制限や最新OSへのアップデートが可能。また取得した情報をもとにルールに違反しているデバイスを把握できるため、情報漏洩などのインシデントの兆候を見逃さず、未然に防止することが可能です。
またPCやスマートフォンなどの紛失・盗難時にも、管理者側で位置情報を確認したり、遠隔による端末操作（リモートロック・ワイプ等）が可能なため、情報漏洩のリスクを最小限にとどめることが可能です。

まとめ

今回は組織における「セキュリティインシデントへの対応」に関して、主に以下の内容を確認しました。

インシデントは自社だけでなく、顧客や取引先などさまざまな範囲に及ぶ可能性があります。適切な初動対応を取り、被害を最小限に抑えた上で、今後に向けた抜本的な対策を取ることが大切です。
以下の資料では、コラムでは記載しきれなかった、組織が取り組むべきより具体的な「セキュリティインシデントへの対応」に関してまとめています。ぜひインシデント対応計画策定のヒントとして、参考にしていただければ幸いです。