セキュリティインシデント対応における重要な7ステップを徹底解説
企業や組織に対する第三者からのサイバー攻撃は後を絶ちません。年を追うごとに、その攻撃方法は巧妙化の一途をたどっています。
万一、セキュリティインシデントが発生した際、迅速かつ適切に対応しなければ自組織だけでなく顧客にまで被害を拡大させてしまう恐れもあります。
今回は、セキュリティインシデントの種類や、セキュリティインシデントが発生した際の対応方法などについて解説します。
セキュリティインシデントとは
セキュリティインシデントとは、セキュリティ上の脅威となる事象を意味します。そもそもインシデントとは、ビジネスにおいては業務上で発生しうる「事件や事故の一歩手前の状態」を指します。
セキュリティにおけるインシデントも同じ意味合いを持ち、「セキュリティ」に関わる「インシデント=事故の一歩手前」の状況のことを表します。
例えば、端末やサーバなどに対する第三者からの不正アクセスやマルウェア感染、外部からのサイバー攻撃だけでなく、情報漏洩につながるような内部の不正などがセキュリティインシデントにあたります。
また、設備不良や天災などの災害による事故も、セキュリティインシデントに含まれます。
日本産業規格(JIS規格)による情報セキュリティマネジメントシステム(ISMS)では、情報セキュリティインシデントについて以下のように定義しています。
情報セキュリティインシデント(information security incident)
望まない単独若しくは一連の情報セキュリティ事象、または予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
引用:JIS Q 27000:2019|情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語)
つまり、企業における事業運営を脅かす可能性のあるセキュリティ脅威を、情報セキュリティインシデントであるとしています。
セキュリティインシデントの主な種類
セキュリティインシデントの種類には、以下のようなものがあります。
| 種 類 | 概 要 |
|---|---|
| マルウェア感染 | ウイルス、スパイウェアなどの悪質なプログラムがパソコンやサーバなどのデバイスに仕掛けられてしまうこと |
| ランサムウェア | ファイルを暗号化させて使用不能な状態とし、そのデータを使用できるようにすることと引き換えに身代金が要求される |
| DDoS攻撃 | 自社サイトなどのサーバへ処理できないような大量のアクセス要求を一斉に送りつけ、運用停止などへ追い込むサイバー攻撃 |
| 不正アクセス | アクセス権限を持たない第三者がパスワードやIDを盗み、不正に社内の機密データへアクセスし、Webサイトの改ざんや情報漏洩へ発展するセキュリティインシデント |
| フィッシング | 有名企業を装ったメールの本文にあるURL、または偽サイトへ誘導しユーザIDやパスワードなどを入力させて情報を入手する詐欺 |
| インサイダー脅威 | インサイダーとは社員や元従業員、外注先ベンダーや提携企業などの悪意を持ったインサイダーにより、情報資産などの重要データを不正に盗み出されるインシデント |
これらのセキュリティインシデントが発生した場合、企業や組織は適切に対応しなければなりません。
セキュリティインシデント対応とは
セキュリティインシデント対応とは、セキュリティインシデントを検知した際、適切に対応することを意味します。発生したインシデントへ適切に対応することで、サイバー攻撃を最低限に抑えることが可能です。
近年のサイバー攻撃は年々手口が高度化しているため、被害を完全に防御することは困難です。そのため、あらかじめどのようなセキュリティインシデントが発生するかを想定し、事前準備を行っておくことが重要です。
セキュリティインシデント発生の検知方法や、初動対応から復旧までを迅速かつ適切に実施できる社内体制の整備が求められます。
セキュリティインシデント対応の重要な7ステップ
サイバー攻撃がはびこる現代において、セキュリティインシデントを完全に防ぐことは難しいと言われています。セキュリティインシデントが発生した際には、以下に挙げる7ステップについて適切に対応することで被害の拡大を防ぎます。
- 事前準備
- 異常の検知
- 社内報告
- 初動対応
- 社外への通知・公表(必要な場合)
- 抑制措置・復旧
- 再発防止・事後対応
1.事前準備
セキュリティインシデントの発生には、適切に対応するセキュリティチーム、または担当者の任命、対応する順序や方法を事前準備しておくことが重要です。
セキュリティインシデント発生時の連絡手段は電話なのかメールなのか、責任者への連絡が繋がらなかったときには次に誰へ連絡するのか、電話は出るまでかけ続けるのかなど、事象が起こった際の実際の動きを細かく想定しておきます。
取り決めたルールは手順書へ落とし込み、連絡を受けた担当者は手順書に沿って行動することを徹底します。間違いなく迅速に対応しなければならないためです。従って、手順書は対応に抜けや漏れがあってはなりません。
また、セキュリティインシデントを想定した予行訓練を事前に行うのも良いでしょう、訓練によって実際に行動することで、対応の抜けや漏れを確認できるだけでなく、実際にセキュリティインシデントが発生した際に落ち着きがあり、かつ迅速な行動へとつながります。
2.異常の検知
アンチウイルスソフトやファイアウォールなどのセキュリティツールによる検知や、セキュリティチームや担当者宛ての連絡によって異常を検知します。
万一、セキュリティ対策製品などの「サイバー攻撃を監視する仕組み」からアラートがあがった際は、ただちに責任者へ報告します。悪意ある第三者からの攻撃には、被害を拡大させる前に迅速に対応しなければなりません。
また、社内においてメールを誤送信してしまったという連絡や、顧客から個人情報の流出が疑われるという相談を受けることもあります。その際も、速やかに責任者へエスカレーションしましょう。
3.社内報告
異常の検知・連絡を受けた担当者は、上司や責任者など、しかるべき相手へエスカレーションします。担当者は自身で判断することなく、決められた手順書に従うことが重要です。報告の遅延は、被害の拡大を招く恐れがあるため速やかに行動しましょう。
なお、不正アクセスやマルウェア感染といった、端末やサーバなどから情報流出の可能性が疑われる事象では、むやみに対応しないように注意します。セキュリティインシデントの証拠が機器に残っている場合、不用意に操作することで証拠を削除してしまう可能性があるからです。
4.初動対応・調査
報告の実施、または報告を受けた後、セキュリティチーム(担当者)が中心となって初動対応・調査にあたります。
ただちに実施可能な応急処置を行い、被害の拡大や二次被害を防ぎます。例えば、マルウェア感染によって他の端末に感染するリスクがある場合は、速やかにその端末をネットワークから切り離します。
外部から情報資産へアクセスできる状態や、Webサイト改ざんが疑われる場合は、情報の隔離やWebサービスの停止を行います。なお、不正アクセスの可能性がある場合は、その後侵入ルートを調査するケースもあるため、証跡を削除しないよう注意します。
初動対応によってサイバー攻撃や被害の拡大が防止できた後、セキュリティインシデントの内容調査を行います。調査は、いつ、どこで、誰が、何を、なぜ、どうしたのかを明確にまとめることが重要です。
5.社外への通知・公表(必要な場合)
セキュリティインシデントの調査結果を元にして、必要あれば社外への通知・公表を行います。
社外への通知・公表が必要なケースとは、発生したセキュリティインシデントの調査によって、情報漏洩が発生した場合などです。
さらに、管轄の警察や情報処理推進機構(IPA)などへ届出を行うことで協力を得られるケースもあります。例えば、インサイダー攻撃(内部による犯行)や第三者による不正アクセス、ランサムウェアによる金銭の要求など、犯罪へとつながるセキュリティインシデントは警察への届け出を実施します。
6.抑制措置・復旧
発生した被害の抑制措置と復旧作業を行います。
例えば、自社になりすましたメールが発見されたケースでは、取引先を含めた関係者へ事実を通知し、メールへ添付されたファイルを開封しないことや、メールに記載のあるURLをクリックしないよう連絡を行います。
また、情報漏洩が起こってしまったケースでは、再発防止に向けた措置が完了したところから、停止したシステムやサービス、アカウントなどの復旧を進めていきます。
7.再発防止・事後対応
セキュリティインシデント対応が一通り完了したら、再発防止の検討など事後対応を行います。
今回発生したセキュリティインシデントについて根本原因を調査し、同じことを要因としたセキュリティインシデントが再発しないよう対策を練ります。
例えば、最新のセキュリティ対策ツールの導入や、社内の情報セキュリティポリシーを見直すなどの対策があります。
参考)情報セキュリティポリシーとは?その目的と重要性、策定方法の基準などを解説
また、社員へのセキュリティに関する研修を定期的に行うことも重要です。各部門の責任者を含め、PCの持ち出しに関して徹底的に管理するなど、セキュリティインシデントが発生しないため、普段から対策を行うことが重要です。
まとめ|セキュリティインシデントへの対応は適切な事前準備が重要
サイバー攻撃は年々巧妙化しています。自社や顧客に甚大な被害が起きないよう、普段からセキュリティインシデントの発生を予防することが重要です。
発生してしまったセキュリティインシデントに対しては、適切かつ迅速に対応するため、検知・対応・復旧までの対応方法を事前に準備しておく必要があります。
ジャスミーが提供する「Jasmy Secure PC」は、導入しやすい料金で、既存のPCにインストールするだけで利用できます。
さらに、「Jasmy Secure PC」では、「ゴーストドライブ」機能により、万が一PCの紛失・盗難が発生した場合など、遠隔管理者からあらかじめ決められたドライブを利用できないようにすることで、セキュリティインシデントへの対策を強化することができます。
「Jasmy Secure PC」は無料トライアルも行っています。お気軽にご連絡ください。
