機密情報のデジタル化、リモートワーク、SaaSツールの増加などにより、セキュリティインシデントを経験する企業が増加しています。トレンドマイクロの調査によれば、国内法人の約8割がセキュリティインシデントを経験しているとのこと。
セキュリティインシデントの対策を講じるためには、まずは発生原因を理解する必要があります。そこで本記事では、セキュリティインシデントの原因と対策、事例をわかりやすく解説します。
セキュリティインシデントとは?その重要性
セキュリティインシデントとは、データ漏えいや不正アクセス、システムへの攻撃など企業のサイバーセキュリティを脅かす事件のことを指します。デジタル化が進むにつれ、企業は顧客情報、従業員情報、知的財産などをデジタル化して管理するようになりました。このようなデジタル資産を狙い、サイバー攻撃の数が増加しているのです。
セキュリティインシデントは大きく外的要因と内的要因に分類できます。詳しくは次の項で見ていきますが、外的要因とはサイバー攻撃や自然災害など、組織外部からの脅威です。
一方、内的要因とは、システムやプロセスの不備、従業員のミスなど、組織内部に起因する脅威を指します。これらの要因を正確に理解し、適切な対策を講じることが重要です。
セキュリティインシデントの外的要因と対策
外的要因によるセキュリティインシデントは、主に組織外部からの攻撃や環境的要素に起因します。ここでは、セキュリティインシデントの外的要因と対策方法を見ていきましょう。
サイバー攻撃
企業が直面する一般的なセキュリティインシデントは、サイバー攻撃です。サイバー攻撃者は企業のデータ、知的財産、財務情報を標的にし、さまざまな攻撃を仕掛けています。主なサイバー攻撃とその対策方法は以下のとおりです。
ハッキング
ハッキングは、不正アクセスを通じて企業のシステムやデータベースに侵入し、情報を盗み出す行為です。対策としては、複雑なパスワードの生成、二要素認証の導入、定期的なセキュリティアップデートが効果的です。また、従業員に対するセキュリティトレーニングを行い、不審なアクティビティやフィッシング試みに対する警戒心を高めることも有効となるでしょう
マルウェア
マルウェアは、ウイルスやトロイの木馬など、システムの破壊やデータの盗難を引き起こす悪意のあるソフトウェアのこと。マルウェアから保護するためには、アンチウイルスソフトウェアの導入と更新が有効です。
また、従業員に対して不審なメールやリンクからのダウンロードを避けるよう教育し、不審なアプリケーションのインストールも制限しましょう。
フィッシング
フィッシングは、偽のメールやウェブサイトを使用してユーザーから機密情報を騙し取る詐欺行為です。フィッシング詐欺対策協会によれば、2023年6月のフィッシング詐欺の報告件数は過去最高の14万9,741件であり、最も注意が必要なサイバー攻撃といっても過言ではありません。
フィッシング詐欺を防ぐには、従業員に対してフィッシング詐欺のメールを見極めるトレーニングを提供することが効果的です。また、メールシステムにフィッシング詐欺を検出するフィルターを導入し、不審なメールに対する警告を行うのもよいでしょう。
ランサムウェア
ランサムウェアは、企業のデータを暗号化し、復号キーの提供と引き換えに多額の身代金を要求する攻撃です。近年は、データの暗号化とデータ流出で脅す「二重脅迫型ランサムウェア」が増加しています。また、身代金を支払っても、データが復号できない、またはデータ流出をするケースも増えているので注意が必要です。
ランサムウェアは、企業にとって警戒すべき脅威であるため適切な対策が欠かせません。具体的には、定期的なデータバックアップが最も重要です。これにより、攻撃された場合でも、身代金を支払うことなくデータの復元が可能になります。
DDoS攻撃
DDoS攻撃は、多数のシステムを使用して企業のウェブサイトやサービスを圧倒し、利用不能にする攻撃です。このような攻撃から保護するためには、高度なネットワークモニタリングツールとトラフィックフィルタリングソリューションを導入することが効果的です。また、クラウドベースのDDoS防御サービスを利用することで、攻撃を緩和し、システムの可用性を維持できます
自然災害
自然災害は、データセンターの破壊、通信網の中断、電力供給の停止など、直接的な物理的損害を引き起こすことがあります。また、災害による混乱の中でセキュリティ体制が弱まり、サイバー攻撃のリスクが高まることも考えられます。自然災害に対する対策は、主に事前準備と事後の迅速な対応に分かれます。
事前準備
自然災害に対する事前準備として、定期的なデータのバックアップは欠かせません。複数のデータバックアップを取っておくことで、災害でデータ損失をしたとしても、迅速な回復ができます。
また、インフラの冗長化も重要です。インフラの冗長化とは、企業の重要なシステムやデータを保護するために、重要なインフラストラクチャ(データセンターや通信網など)のコピーを別の地理的位置に設置すること。そうすることで、自然災害で特定の地域で障害が発生した場合でも、他の場所にある冗長システムが機能を維持できます。
事後の対応
自然災害の事後対応は、災害の影響を最小限に抑え、迅速に正常な業務を再開するための重要なプロセスです。
まず、災害発生直後の対応として被害状況の確認や従業員の安全確認などを実施しましょう。業務の停止期間を短縮するためには、事前に準備したバックアップデータや代替システムへの迅速な切り替えが必要となります。
次のステップは、事業の再建と復旧に向けた取り組みです。被害を受けたインフラの修復や再構築、業務プロセスの見直しなどを実施します。また、災害発生時の対応の検証と評価を行い、今後のリスクマネジメント計画の改善に役立てることも重要です。
また、このステップでは顧客とのコミュニケーションも重要です。災害の影響や業務の進捗に関する情報を正確に提供し、透明かつ正確な情報の提供は、信頼関係の維持に注力しましょう。
自然災害の事後対応は、計画的かつ段階的に行われる必要があります。迅速かつ効果的な対応は、災害による損害を最小限に抑え、事業の早期復旧を可能にするのです。
セキュリティインシデントの内的要因と対策
セキュリティインシデントの内的要因は、企業の内部から生じる脅威です。主にシステムとプロセスの不備、人的ミスなど組織内部の問題から発生します。これらの要因に対処するためには、組織内のセキュリティ意識の向上、人的ミス防止策の実施が必要です。それぞれの要因と対策について詳しく見ていきましょう。
システムとプロセスの不備
システムとプロセスの不備とは、技術的な欠陥、不十分なセキュリティプロトコル、または運用上の問題が原因となります。システムとプロセスの不備の主な要因は以下の通りです。
古いシステムや未更新のソフトウェア
古くなったシステムや定期的に更新されていないソフトウェアは、新たなサイバー攻撃に弱いです。その理由は、サイバー犯罪者は時間とともに新たなセキュリティ上の弱点を見つけるためであり、犯罪者はこれらの弱点を悪用してサイバー攻撃を起こします。
不十分なセキュリティ対策
ファイアウォール、アンチウイルスソフトウェア、侵入検知システムなどのセキュリティ対策が不足している場合、システムは外部からの攻撃に対して脆弱になります。
セキュリティプロトコルの不足
セキュリティプロトコルは、情報技術においてデータの安全性と完全性を保護するための一連の規則や手順のことです。主に、認証・暗号化・アクセス制御・データの完全性の4つの要素で構成されます。セキュリティプロトコルが不足している場合、内部からの脅威にさらされるリスクが高まります。
アクセス管理の不備
従業員に対するアクセス権限の管理が不適切な場合、不要な情報へのアクセスが許可され、情報漏洩のリスクが高まります。たとえば、退職予定者に機密情報へのアクセス権限を許可すると、機密情報が他社に流されるかもしれません。
人的ミス
人的ミスとは、従業員の誤った操作、判断ミス、不注意などにより発生し、企業のセキュリティに深刻な影響を及ぼすインシデントです。人的ミスは重要な内部脅威だからこそ、その種類と対策方法を理解する必要があります。ここからは、主な人的ミスの種類についてみていきましょう。
パスワード管理の不備
弱いパスワードの使用、同じパスワードの使いまわし、メモしたパスワードの不適切な保管は、アカウントのセキュリティを著しく低下させます。従業員が一人でも不適切なパスワード管理をしていれば、その従業員が不正アクセスの入り口となるリスクが生じます。
強力なパスワードポリシーの徹底、パスワードマネージャーの利用促進、従業員に対するセキュリティ教育などを実施しましょう。
誤った情報共有
意外と多いのが誤った情報共有です。機密情報を誤って外部に送信したり、ソーシャルメディアで不適切な情報を共有したりすることで、企業のセキュリティが危険にさらされます。従業員に対して機密情報の取り扱いに関するトレーニングを行うのが有効です。
フィッシング詐欺への対応ミス
詐欺的なメールやリンクに気付かず、従業員が個人情報やアクセス情報を提供してしまうことがあります。特に最近は、信頼できる人物になりすます精度の高いフィッシング詐欺が多いため、フィッシング詐欺の識別方法についての教育を行い、従業員に対する意識を高めなければいけません。
セキュリティインシデントの原因と割合
ここまで見てきたようにセキュリティインシデントの原因は多岐にわたるため、どれから対策をすればよいのかわからないと悩む方もいるでしょう。理想はすべての対策を講じることですが、時間やリソースがない場合は、発生率の高いインシデントから取り組むのがおすすめです。
トレンドマイクロの「法人組織のセキュリティ動向調査 2020年版」によれば、最も発生件数の多いセキュリティインシデントは「フィッシングメールの受信(42.8%)」、次いで「ビジネスメール詐欺のメール受信(29.1%)」、「不正サイトへのアクセス(26.5%)」でした。
また、独立行政法人情報処理推進機構の「情報セキュリティ10大脅威 2023」では、組織の脅威トップ3は順にランサムウェア、サプライチェーンを利用した攻撃、標的型攻撃による機密情報の盗難。個人の脅威トップ3は、フィッシング詐欺、ネット情報の誹謗中傷、メールやSNSを使った詐欺でした。
これらの調査結果を踏まえると、まずはフィッシングメール対策が最重要課題だと言えます。フィッシングメール被害にあうと、従業員のログイン情報が盗まれ、サイバー犯罪者は盗んだ情報を利用して不正アクセスやランサムウェア攻撃を仕掛けるのです。
セキュリティインシデントの事例と分析
セキュリティインシデントの事例を理解することは、外的要因と内的要因への対策を強化する上で非常に有効です。ここからは、外的要因と内的要因に基づく事例を見ていきましょう。
外的要因:世界にサイバーセキュリティの重要性を示したインシデント
2014年にソニー・ピクチャーズが経験したハッキング事件は、サイバーセキュリティの世界において注目すべき出来事です。この攻撃はサイバー攻撃者によって行われ、大量の機密データが盗まれました。盗まれたデータには未公開映画、機密ビジネス文書、従業員の個人情報などが含まれていました。
攻撃の背景には、ソニー・ピクチャーズが制作した映画「ザ・インタビュー」に対する政治的な動機があったと見られています。この映画は北朝鮮の指導者を風刺した内容でした。この事件は、ソニーに大きな評判損失と財務的被害をもたらし、世界中の企業に対するサイバーセキュリティ対策の重要性を示す事例となりました。
国家支援を受けたサイバー攻撃の可能性が指摘されており、企業が直面するサイバーセキュリティのリスクの複雑さと深刻さを示しています。
内的要因:従業員が誤って何千人もの顧客情報を公開
内的要因によるセキュリティインシデントの一例として、トルコの航空会社アルパータカンクで発生した顧客情報の誤公開が挙げられます。この事例では、一人の従業員が操作ミスにより、顧客の個人情報を含むファイルを誤ってインターネット上の公開サーバーにアップロードしました。
その結果、何千人もの顧客の氏名、連絡先、およびその他の個人的な情報が不用意に公開されてしまいました。この事件は、プライバシー侵害の重大な問題を引き起こし、顧客からの信頼を大きく損なう結果となりました。
このような人的ミスは、企業にとって深刻なセキュリティリスクをもたらします。特に個人情報を扱う企業では、顧客の信頼を失うだけでなく、法的な責任や罰金の支払いを余儀なくされる可能性もあります。
人的ミスによるセキュリティインシデントを防ぐには、従業員教育を実施し、各従業員のセキュリティ意識を高めるのが有効です。また、本事例の場合、データを公開または共有する際に二重認証を求める「二重確認システム」を導入していれば、情報の不正公開を防げたかもしれません。
セキュリティインシデントの対策
セキュリティインシデントの対策には、外的要因と内的要因の両方を考慮した総合的なアプローチが必要です。
外的要因に対する対策
外的要因に対するセキュリティ対策として、セキュリティ対策の多層化、ソフトウェアの定期的なアップデート、そしてバックアップ戦略の実施についてご紹介します。
セキュリティ対策の多層化では、異なるセキュリティ層(ファイアウォール、アンチウイルス、侵入検知システムなど)を組み合わせて外部の脅威に対抗します。これにより、さまざまなサイバー攻撃からデジタル資産を守れます。
ソフトウェアの定期的なアップデートをする理由は、新たに発見された脆弱性に対応し、セキュリティの穴を塞ぐためです。脆弱性とはソフトウェアやネットワークの弱点であり、脆弱性を狙ったサイバー攻撃は多数あります。
バックアップ戦略では、重要なデータを定期的にバックアップすることで、万が一のデータ損失やシステム障害に迅速に対応できる体制を整えます。ランサムウェアや自然災害などに有効な対策です。
これらの対策を総合的に実施することで、外部からのサイバー攻撃や災害に強いセキュリティ体制を構築できます。
内的要因に対する対策
内的要因に対するセキュリティ対策の重要な要素として、アクセス管理と従業員教育が挙げられます。アクセス管理では、従業員が企業のシステムや情報にアクセスする際の権限を厳格に制御します。これには、必要な従業員のみに限定されたアクセス権を与えることや、アクセス権限の定期的な見直しと更新が含まれます。
一方で、従業員教育では、従業員にセキュリティのベストプラクティスやリスク認識について教育を行います。具体的には、フィッシング詐欺の識別方法、安全なパスワード管理、適切な情報共有の方法などです。これらの対策によって、内部からの脅威を効果的に軽減し、セキュリティインシデントのリスクを減らせます。
まとめ
セキュリティインシデントの原因は、大きく外的要因と内的要因に分類できます。
● 外的要因:サイバー攻撃や自然災害
● 内的要因:人的ミスやシステムとプロセスの不備
総合的な対策が重要ですが、リソースが限られている場合、まずはフィッシング攻撃をはじめとするサイバー攻撃への対策から始めましょう。
また、サイバー攻撃は日進月歩で進化しており、完璧に防げる対策はありません。だからこそ、サイバー攻撃を受けることを前提に、被害を最小化する対策も重要です。ダークウェブ監視を行えば、顧客や従業員情報などの流出状況を確認し、迅速に適切な対策を講じられます。
弊社が実施した国内100大企業についてのダークウェブへの情報流出調査では、調査対象の「すべての企業」で流出が確認されました。
ぜひ無料のダークウェブ調査へお申込みいただき、手遅れになる前に迅速な対応をしていただければ幸いです。
弊社はダークウェブ調査(無料)を実施しています。
こちらからお申し込みください。
