セキュリティインシデントが発生した際は、どのように対応すべき?6つのステップで解説

今や、大小問わずあらゆる企業で、情報漏洩や不正アクセスなどのセキュリティリスクに直面する時代になりました。万一の事態が発生した際に、被害の拡大や企業の信用失墜を防ぐため、「セキュリティインシデント」への対応が必須です。

そこでこの記事では、セキュリティインシデントの概要や種類、具体的な対応方法などを初心者向けに解説します。

セキュリティインシデントとは?

セキュリティインシデントとは、情報漏洩やマルウェア感染、不正アクセスなど、セキュリティ面で脅威をもたらす事象のことです。地震や台風などの天災によるシステム障害や、アクセス集中によるネットワーク負荷の増大なども、セキュリティインシデントとして含めることもあります。

インシデントは「事件」、アクシデントは「事故」と呼ばれることからも分かるように、インシデントは、より大きな問題が起こる前のことを指します。たとえば、インシデントとして個人情報の漏洩が発生した場合は、アクシデントとして、不正送金やカードの不正利用などが発生する恐れがあるでしょう。

近年は、サイバー攻撃や情報漏洩が多発していることから、セキュリティインシデントへいかに適切に対応していくかが重要視されています。

セキュリティインシデントの例

セキュリティインシデントの種類には、以下のようなものが存在します。

ひとえにセキュリティインシデントといっても、さまざまな形態が実在します。そのため、あらゆるシチュエーションを想定して準備をしておかなければなりません。

セキュリティインシデントへの対応が必要な理由

企業による外部ネットワークの利用増加や、サイバー攻撃の多様化などにより、セキュリティ対策の重要性が日に日に高まっています。セキュリティインシデントが発生した段階で対応を行うことで、被害の拡大を最小限に食いとどめられるのです。

とくに近年のサイバー攻撃は、特定の組織や個人を狙って金銭を要求するメールを送りつけたり、システムの脆弱性を突いてマルウェアを仕込んだりするなど、多様化してきているのが特徴です。そのため、社内で発生するさまざまな兆候を検知し、早い段階で対応していくことが求められています。

また、セキュリティインシデントへ適切に対応することで、組織に経験や知見が蓄積されていきます。結果、新たなセキュリティの脅威が訪れた際でも素早く対処できるようになり、社会的な信用の向上につながるでしょう。

セキュリティインシデントの発生に備えるための方法

ここでは、セキュリティインシデントの発生を未然に防いだり、発生した際に素早く対応したりできるようにするための方法を解説しています。

セキュリティポリシーの策定

情報セキュリティポリシーとは、セキュリティの脅威から守るために定める、方針や指針、規定のことです。あらかじめ作成しておくことで、セキュリティインシデントの発生を防いだり、発生時に素早く対応したりできるようになります。

具体的に決める項目の例は、以下です。

  • 個人情報の取り扱いや、デバイスの持ち出しに関する規定
  • インシデント発生時の役割分担
  • インシデント発生時の対応フロー

情報セキュリティポリシーは、作成するだけでなく、従業員へ周知することも重要です。社内で行う情報セキュリティ教育などを通じて、「具体的にどのような規定を守ってほしいのか」「どのような意識で取り組んでほしいのか」などを伝えます。

また、現実的な運用を目指すために、現場の従業員からフィードバックをもらうようにしましょう。もし、現実の運用と大きな乖離がある場合、情報セキュリティポリシーの信頼性が落ちてしまうからです。

CSIRTやSOCの立ち上げ

セキュリティインシデントの発生に備えるためには、「CSIRT」や「SOC」といった、セキュリティの専門組織を立ち上げることが欠かせません。

CSIRTとは、「Computer Security Incident Response Team」の略で、セキュリティインシデントへ対応するためのチームのことです。具体的には、インシデントが発生した際に対応にあたったり、平時に情報収集や啓発活動などを行ったりします。

SOCとは、「Security Operation Center」の略で、サイバー攻撃の検知・分析などを行い、必要に応じて対策を実施する組織です。ネットワーク機器をはじめ、アプリケーションやファイアウォールなどのログを監視し、攻撃の兆候を素早く見抜きます。

CSIRTやSOCを設置することで、平時であっても、セキュリティへの高い意識を持ちながら活動できるのがメリットです。インシデント発生後は、より迅速な初動対応が可能になります。

セキュリティインシデントが発生した際の対応ステップ

ここでは、セキュリティインシデントが発生した際の対応方法を、6つの手順で解説します。

1.インシデント内容の報告・記録

情報漏洩やウイルス感染、システム障害などのセキュリティインシデントを発見した際は、発見者がすぐさま責任者へ報告をします。責任者は、報告を受け次第、迅速に対策チームを発足し、セキュリティインシデント発生時の具体的な内容を記録します。

たとえばウイルス感染が発生した場合は、共有のデータシートなどへ、以下のように記入しましょう。

日付:2021年9月1日(水)

具体的な状況:従業員Aが、自社とは関係のない宛先からのメールを開封し、添付のURLをクリックしてしまった。

発覚したきっかけ:自己申告

インシデントを発見した直後は、隠ぺいなどの不正を防ぐために、アクセス制限や行動制限をかけることが重要です。今以上に被害が拡大しないよう、システムやデータへは不必要に触らないようにしましょう。

 2.応急処置の実施

次に、初動対応として応急処置を実施していきます。被害の拡大や二次被害を防ぐために、アクセス制限やサービスの停止、機密情報の隔離などを行います。応急処置を実施する際は、現時点での対応状況をしっかりと把握することが重要です。たとえばウイルス感染の場合であれば、以下のようなことを確認します。

  • 感染したデバイスやサーバーなどの動作状況はどうなっているか
  • ほかのデバイスやサーバーのセキュリティは正しく設定されているか
  • 個人情報や機密情報は、隔離された状態になっているか
  • 被害拡大や二次被害を防ぐための措置が取られているか

できるだけ、CSIRTをはじめとした専門チームが主導して進めるようにしましょう。決して焦らず、客観的かつ合理的に判断し、迅速に対応していくことが求められます。

3.原因の調査

被害の拡大を防ぐための初動対応が終わったら、原因の究明を行います。具体的には、「5W1H(いつ・どこで・だれが・何を・なぜ・どのように)」を使って、問題を深く掘り下げていくことが大切です。

たとえば、ウイルス感染の場合であれば、以下のように分析します。

  • When(いつ):2021年9月1日(水)
  • Where(どこで):社内の従業員用PC
  • Who(だれが):従業員A
  • What(何を): URLをクリックし、不審なWebサイトへ遷移してしまった。
  • How(どのように):自社とは関係のない宛先からのメールを開封して
  • Why(なぜ):メールをチェックするときの決まりがなかった。

ここでは、「Why(なぜ)」を再び問いかけることで、根本的な原因を明らかにしましょう。

  • 「メールをチェックするときの決まりがなかったのは、なぜか?」

→セキュリティポリシーへの記載がなかったから、従業員教育が行われていなかったから…etc

4.関係者やマスコミなどへの公表・通知

取引先や株主といった関係者、マスコミや警察などの機関へ公表や通知を行います。具体的には、以下のようなことを知らせます。

  • 発生したセキュリティインシデントの概要・詳細内容
  • 想定される被害や被害者
  • インシデントが発生した原因
  • 事業・サービスの停止状況や、再開日の目途

公表する際は、セキュリティインシデントの内容や被害状況に合わせて、適切な時期・対象者を選ぶことが大切です。公になった後に、さらに被害が拡大することがないように注意しましょう。

5.サービスの復旧

セキュリティインシデントやアクシデントの発生によってサービスが停止した場合は、復旧措置を取ります。CSIRTやセキュリティ部門が技術的な対策を講じ、サービスが正常に稼働するようにします。

復旧措置を実施する際は、必要なリソースの種類や量を把握し、できるだけ速やかに行いましょう。また、関係者による訴訟の可能性にも備えなければなりません。

さらに、専用の窓口を設けて、被害者の被害状況を随時把握したり、不安を解消したりすることも重要です。技術的な面だけでなく、ステークホルダーの心理的な面にも配慮して進めるようにしましょう。

 6.事後対応の実施

事後対応では、調査報告書の作成や法律関連の手続き、再発防止策の検討・実施などを行います。

調査報告書の作成においては、問題の発生原因や対応方法の評価などをまとめ、経営陣に提出します。加えて、関係者やマスコミへ公表するための報告書作成も並行して進めましょう。もし透明性の高い調査が必要であれば、第三者機関へ依頼するのも一つの手です。

その他では、被害者への損害賠償や従業員への処罰、法的手続きなど、事務的な対応をしていきます。必要であれば、速やかに情報開示をすることが大切です。

最後に、今後も同じセキュリティインシデントを起こすことがないよう、再発防止策を検討し、実施します。具体的には、セキュリティ製品を導入して技術的な側面から対応したり、必要な人事措置を講じて人的側面から対応したりするやり方が挙げられるでしょう。

セキュリティインシデントへ、素早く・的確に対応するためのポイント

「セキュリティインシデントが発生した際に、正しく対応できるかどうかが不安」「自社のリソースでは対応しきれない」といった悩みを抱えている企業は、外部のサービスを活用するのもおすすめです。

セキュリティインシデント対応サービスでは、インシデントが発生した直後の初動対応から、調査報告書の作成まで、一貫して提供しているものもあります。専門的な知識を持った外部人材を活用し、正しいステップで信頼回復に努められるのがメリットです。

もし緊急対応が必要になった場合は、日本ネットワークセキュリティ協会のホームページで掲載している「サイバーインシデント緊急対応企業一覧」を参照してみましょう。相談や見積作成だけであれば、無料でできるところが多いです。

セキュリティインシデントへ素早く対応し、被害の拡大を抑えよう

この記事では、セキュリティインシデントの概要や対応の必要性、具体的な手順について解説しました。サイバー攻撃の多様化などにより、さまざまなセキュリティリスクが考えられるため、インシデントが発生した段階で迅速に対応していくことが大切です。

セキュリティインシデントが発生した際の対応手順をまとめると、以下です。

  1. インシデント内容の報告・記録
  2. 応急処置の実施
  3. 原因の調査
  4. 関係者やマスコミなどへの通知・公表
  5. サービスの復旧
  6. 事後対応の実施

セキュリティインシデントを未然に防ぐためには、セキュリティポリシーを社内へ厳格に適用していくことが求められます。もし緊急時の対応が不安な場合は、セキュリティインシデント対応サービスの導入を検討してもよいでしょう。

ぜひこの記事を参考に、セキュリティインシデントの発生に向けて備えてみてください。

【ダウンロード準備完了】中小企業における情報セキュリティ対策~コストを抑えるための5つのポイント