企業がひとたび「セキュリティ・インシデント」を発生させ大きな問題に発展すると、信用は大きく失墜し、経営への悪影響は免れません。
他社と同じ問題を起こさないためにも、過去のセキュリティインシデント事例から学ぶことは大切です。
セキュリティインシデントとは何か、対策の必要性、セキュリティインシデントの事例と要因をわかりやすく解説します。
セキュリティインシデントとは
セキュリティインシデントとは、重大な問題に発展してしまう可能性のあるセキュリティ上の事件や事故を意味します。
セキュリティインシデントは、外部からの攻撃や内部不正・不注意、自然災害など発生の要因はさまざまです。
近年は急速な情報化の進展により、あらゆるものがインターネットに接続されていることで、情報セキュリティに関するインシデントにも備えなくてはいけません。
また、セキュリティ上の脅威と無縁な企業は皆無であり、セキュリティインシデントはいつでも発生する可能性があると理解して対応できるように準備をしておくことが求められます。
セキュリティインシデント対策の必要性
セキュリティ上の脅威が身近な現代では、企業を守るためにセキュリティインシデント対策が欠かせません。
セキュリティインシデントが発生すると、システム停止により業務が停滞したり、重要な情報が外部に流出したりする可能性があります。
大きな問題に発展すれば、企業は応急処置から、原因究明や封じ込め、再発防止、その対応に膨大な時間とコストを費やすことになるでしょう。
また、社外に被害が及んだ場合には、刑事罰や損害賠償責任の可能性に加え、企業の社会的信用が低下し業績への悪影響は免れません。
このような事態に発展しないよう、セキュリティインシデントは可能な限り事前に防止することが大切です。
万が一、セキュリティインシデントが発生した場合には迅速に対処し、被害を最小限に食い止めることが企業を守ることにつながるのです。
セキュリティインシデント発生の外部要因
セキュリティインシデントの発生要因は大きく「外部要因」と「内部要因」に分けられます。
まずは外部要因を見てみましょう。
外部要因は、社外の第三者からの攻撃により、情報の窃取やシステムの不正動作などの被害を受けるインシデントです。
マルウェア感染
マルウェアとは、コンピューターウイルスやワームなど悪意のあるソフトウェアの総称です。
マルウェアに感染すると、外部への情報流出や、システムの不正動作などの被害を受けます。
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、マルウェアの一種であるランサムウェア被害が2021年・2022年と2年連続で1位となるほど身近で深刻な問題です。
1台でもマルウェアに感染すると、社内ネットワークに侵入したり、盗み出した情報から社外に感染被害が広がるため、迅速な対処が必要です。
標的型攻撃による情報窃取
標的型攻撃は、ターゲットの企業に正規のやりとりを装ったメールを送り、マルウェアに感染させて重要情報を盗み取るサイバー攻撃です。
ランサムウェア被害に次いで2022年の10大脅威で第2位に位置しており、社会的に影響の大きいインシデントと言えます。
標的型攻撃はスパムメールなどの無差別な攻撃とは異なり、取引先や顧客になりすました巧妙な手口で接触してくるのが特徴です。
被害にあわないためには、不審なメールを見極める高いリテラシーや適切なメールの使用が求められます。
不正アクセス
不正アクセスは、不正な方法で入手したID・パスワードを使って社内ネットワークや外部サービスなどに侵入し、情報窃取やデータ改ざんなどを行う攻撃です。
ネットワークやOS・アプリケーションの脆弱性を突いて不正に侵入する場合もあります。
不正アクセスを許してしまうと、自社が被害にあうだけでなく、ウイルスメール送信などのサイバー攻撃に利用されることも珍しくありません。
ID・パスワードの適切な管理や、セキュリティパッチの適用などが有効です。
セキュリティインシデント発生の内部要因
セキュリティインシデントにつながる代表的な内部要因を見てみましょう。
セキュリティインシデントの原因は外部からの攻撃だけとは限りません。
悪意の有無に関わらず、内部にいる従業員や関係者の行為がセキュリティインシデントの原因となることも多くあります。
内部情報の不正持ち出し
過去にメディアで大きく報じられた情報流出事件には、内部者による犯行も少なくありません。
金銭目的や、仕事のプレッシャーなど犯行の「動機」を持つ人物に、重要情報を持ち出す「機会」を与えてしまうことで実行に移されるリスクが高まります。
「機会」とは、アクセス権限の悪用、退職者のアカウント悪用、USBへの不正コピーといった、情報を持ち出せる状態のことです。
権限・アカウント管理や、情報持ち出しルールの運用などを適切に行うことで、不正の「機会」を与えない環境をつくりましょう。
メール誤送信
本来メールを送るべき相手と異なる送付先に、重要情報を送ってしまった場合、情報流出につながる可能性があります。
業務でメールを使う方であれば、どなたも一度は誤送信でヒヤリとした経験はあるのではないでしょうか。
その誤送信メールが顧客情報や機密情報を含む内容だった場合、インシデントにつながります。
誰にでも起こりうる身近なミスを完全に防ぐことはできません。
チェック運用を徹底するとともに、添付ファイルの自動暗号化ツールや、オンラインストレージを介した情報共有などのメール以外の方法やソリューションの導入も有効でしょう。
情報機器の紛失
情報機器の紛失もセキュリティインシデントの代表的な要因のひとつです。
社用のスマホ・タブレットには、取引先・顧客の連絡先や、社内ネットワークにつながるビジネスアプリなど多くの重要情報が含まれているでしょう。
万が一社外で紛失し、悪意のある人の手に渡った場合、登録された情報が悪用されたり、社内ネットワークに侵入されて情報を盗まれたりする可能性があります。
適切なパスワードの設定や、紛失時に遠隔ロックやデータ消去するMDM(モバイルデバイス管理)の導入などで、大切な情報を守ることが大切です。
セキュリティインシデント事例:メール誤送信
地方銀行で、顧客名や住所、融資金額などを含む顧客情報1万件以上が、複数回に渡って業務提携先へ誤送信されるインシデントがありました。
業務用資料を送付する際、添付ファイルに顧客情報が含まれていることに気づかずに送付していたことが原因です。
誤送信先とは秘密保持契約を結んでおり、公表時点で二次利用による被害の報告はありません。
同行では誤送信先にデータ削除を依頼し、実施を確認。流出対象者には個別に謝罪するとともに、再発防止策の徹底を発表しています。
セキュリティインシデント事例:標的型攻撃
大手旅行代理店で標的型攻撃により、氏名や住所、パスポート番号などを含む個人情報793万人分が流出した可能性のあるインシデントがありました。
子会社の社員が、取引先の航空会社を装ったメールに添付されたウイルスファイルを開いたことが原因です。
同社では、数日後に不正アクセスがあるまで、感染には気づきませんでした。
個人情報の二次使用による被害は確認されていません。
同社では、セキュリティ専門会社との連携やセキュリティ教育の強化などの再発防止策を発表しています。
セキュリティインシデント事例:内部不正
大手通信教育企業で、派遣社員によって氏名、住所、メールアドレスを含む2,900万件の顧客情報が持ち出され、名簿業者に売却されました。
会員情報管理に携わっていた派遣社員は、金銭目的で自身の端末に顧客データを移行して複数回に渡って持ち出したということです。
流出した顧客情報は複数回転売され、会員のもとには勧誘メールなどが多数届く被害が生じています。
本事案はメディアでも大きく報じられ、同社は流出した会員への補償対応や販売促進活動停止などで、大きな損失を計上することになりました。
セキュリティインシデント事例:ランサムウェア
大手アニメ制作会社は、ランサムウェア感染によりシステムを停止したことでアニメ制作が遅延し、人気アニメの放送が1ヶ月以上先延ばしになりました。
従業員が業務用ソフトを外部サイトからダウンロードする際に、不正なソフトが紛れ込み、そこからランサムウェアが侵入したのが原因です。
顧客情報の流出は確認されていないものの、上に述べた通りアニメ制作が大きく遅延しました。
インシデントを受けて、同社は従業員へのセキュリティ教育と不正アクセス対応体制の強化を公表しています。
オンラインストレージを活用してセキュリティインシデントを防ごう
現代のインターネット社会において、セキュリティインシデントを完全に回避することはできません。
セキュリティインシデントを身近なリスクとして捉え、発生した場合に被害を最小化することが大切です。
セキュリティインシデントの事例や要因を頭に入れておくだけでも、セキュリティ意識は確実に高まり、予防につながるでしょう。
また、身近に起こる可能性が高いメール誤送信による情報流出の防止には、クラウド上に情報を保管するオンラインストレージの活用が有効です。
オンラインストレージを利用しセキュリティ強度を高めたいと考えているのであれば、無料から使える国産オンラインストレージ「セキュアSAMBA」のご利用をご検討ください。