デジタル機器やインターネットを活用している中で、企業の業種や規模に関わらず、セキュリティインシデント発生の可能性は常にあります。
未然に防ぐ事前対策に加えて、セキュリティインシデントが発生してしまった場合には被害を最小限にとどめる対応を準備しておくことが非常に重要です。
セキュリティインシデント対応の必要性やセキュリティインシデントの対応フローを詳しく解説します。
セキュリティインシデント対応とは
セキュリティインシデント対応とは、文字通りセキュリティインシデントが発生した際に行う、応急処置や調査、公表、恒久対応などのことです。
セキュリティインシデントは、重大な問題に発展しうるセキュリティ上の事件や事故を意味する言葉で、外部からの攻撃や内部不正・不注意、自然災害などさまざまな要因で発生する可能性があります。
近年は急速な情報化の進展により、どの企業もセキュリティインシデントと無縁ではいられません。
未然に防止する対策に加え、セキュリティインシデントが発生した場合に備えた準備や適切な対応ができるようにしておくことが重要です。
セキュリティインシデント対応の必要性
セキュリティインシデントに対して適切に対応することは、企業を守り、安定的な経営を進める上で欠かせません。
セキュリティ対策ソフトや情報持ち出しルールの策定などの事前対策は有効です。
しかし、次々に生まれる新たなマルウェアや新手のサイバー攻撃、悪意を持った内部犯行を完全に防ぐことは難しいものです。
セキュリティインシデントが発生してしまった場合に、迅速に適切な対応が行えるよう準備しておくことが、防止策と並んで重要です。
迅速かつ適切にセキュリティインシデントに対応できなかった場合、社内外の被害拡大、問題の複雑化、企業の信用失墜、業績への影響などさまざまな部分で事態の悪化を招くことでしょう。
被害を最小限にとどめ、企業の信用を保つために、セキュリティインシデント対応はすべての企業が準備しておくべき重要事項なのです。
セキュリティインシデント対応が求められる場面
実際、どのような場面でセキュリティインシデント対応が必要になるのでしょうか。
セキュリティインシデント対応が必要になる主な3つの場面を見てみましょう。
外部からの攻撃によるインシデント発生
1つ目は外部からの攻撃によるセキュリティインシデント発生時の対応です。
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」でも、外部からの攻撃による被害が例年上位を占めています。
外部からの攻撃は、端末からネットワークへ、社内から社外へと被害が拡大するのが特徴です。
予兆を検知した場合に、速やかに応急処置を行える体制や対応フローを整えておくことが重要です。
内部に起因するインシデント発生
2つ目は、悪意の有無に関わらず、社員や関係者によって引き起こされるインシデントへの対応です。
内部に起因するインシデントには、内部不正やメール誤送信、情報機器の紛失などがあります。
どんなにセキュリティ対策を強固にしても、社内の事情に詳しい内部者による犯行を防ぐのは難しいでしょう。同様に、人手による作業の不注意やミスを100%なくすのも困難です。
万全の事前対策を行なった上で、発生した場合に備えて対応フローを整備しておきましょう。
天災や障害によるインシデント発生
天災やハードウェア故障など、人為的な要因以外でもセキュリティインシデントは発生します。
天災や故障では、システムが停止して業務が停滞したり、重要な情報が消失したりといった被害が想定されます。
いつ襲ってくるかわからないため、平時からバックアップの取得や、災害時のBCP(事業継続計画)の策定など、有事の際に迅速に対処できるようにしておくことが重要です。
セキュリティインシデント対応フロー
代表的なセキュリティインシデントの対応フローは次のとおりです。
- ステップ0:事前準備
- ステップ1:検知・報告
- ステップ2:応急処置
- ステップ3:調査
- ステップ4:通知・公表
- ステップ5:恒久対応
- ステップ6:再発防止・事後対応
それぞれの内容を詳しく見てみましょう。
ステップ0:事前準備
インシデントが発生する前に、発生時に備えて対応する組織、指揮する人、対応の流れなどを整備しておきます。
インシデントの内容によっては、システム部門だけでなく業務部門も巻き込んで対応する必要があるため、準備段階から周知しておくことも重要です。
また、定期的にセキュリティインシデントを想定した対応訓練を実施することで、実際に発生した際に迅速な対応が可能となります。
ステップ1:検知・報告
セキュリティインシデントの兆候に気づき、報告するステップです。
インシデントを最初に検知する場面には次のようなものがあります。
- システムで外部からの不正アクセスが検知された
- メールを誤送信してしまった
- 顧客から個人情報流出を疑う相談があった
インシデントが発覚した際には、速やかに定められた報告ルートに沿ってエスカレーションすることが大切です。
報告の遅れや事実の隠蔽は、適切な対応を妨げ、被害の拡大を招きます。
事前に報告ルートを定めておくことに加え、報告しやすい職場環境を築いておくことも重要です。
ステップ2:応急処置
セキュリティインシデントの発生が報告されたら、関係者による対策チームを組成し、被害の拡大を防ぐための応急処置にあたります。
外部からの攻撃の場合は、ネットワーク遮断、マルウェアの駆除、ログ確保、情報流出有無の確認などです。
内部起因の場合には、当事者への事実確認、情報流出先の特定、二次被害を防ぐ対応などを行います。
応急処置はスピード感を持って対応することで、被害の拡大を防ぐことが重要です。
ステップ3:調査
被害の拡大を食い止める応急処置が済んだら、より詳細な調査を行います。
ログの追跡や被害状況の確認、関係者への聞き取りなど、インシデントの内容に応じて必要な調査を行いましょう。
外部攻撃の場合には、セキュリティ専門会社などを交えた調査も有効です。
ステップ4:通知・公表
インシデントの影響が社外に及ぶ場合には、被害者や、二次被害の可能性がある先に通知します。
被害が広範囲に及ぶ場合には、ホームページへの情報掲載やマスコミへの公表も必要です。問い合わせ窓口を設ければ、顧客や取引先の不安を和らげられるでしょう。
また、インシデントの内容によっては、関係当局や警察、IPA(情報処理推進機構)などへの報告も必要です。
ステップ5:恒久対応
応急処置では被害の拡大を防ぐための暫定的な対策を行いましたが、調査でインシデントの全貌が見えてきたら、本格的な対策を行いましょう。
外部からの攻撃であれば、不正なアクセスの侵入経路を塞ぐ対応や、セキュリティ対策ソフトの導入などを行なった上で、遮断や停止していたシステムを再開します。
システム的な対応に加えて、外部への適切な情報公開により対応状況を周知することも重要です。
ステップ6:再発防止・事後対応
インシデント対応が一区切りしたあとは、再発防止策を整理しましょう。
対策チームが中心となって、再び同様のインシデントが発生しないように、根本的な原因を追求して対策を打ちます。
例えば、セキュリティ対策ツールの導入や、情報持ち出しルール見直し、従業員へのセキュリティ教育の強化などが挙げられます。
また、インシデント対応フローの有効性についても振り返り、改善点があれば見直すことも重要です。
セキュリティインシデント対応のポイント
セキュリティインシデント対応のポイントは、平時にしっかりと準備しておき、インシデントが発生したら迅速に対応することです。
セキュリティインシデント対応の主な3つのポイントを見てみましょう。
インシデント発生に備えてフローや体制を準備しておく
セキュリティインシデント対応フローから分かるとおり、インシデントが発生した際には、多くのことを並行して進めなくてはなりません。
いざ発生してから何をすれば良いか考えていたのでは、その間に被害が拡大してしまいます。
インシデント対応では、発生する前に起こりうる事態を想定して、体制やフローを定めておくことが大切です。
発生後の対応はスピードが重要
セキュリティインシデント対応では、被害を拡大させないためにスピード感を持って対応することが重要です。
例えば、マルウェアに感染した場合、速やかにネットワークの遮断や駆除を速やかに行わなければ、社内外に被害が拡大します。
また、情報流出が発生した場合にも、流出先や流出対象を迅速に特定し対処することが二次被害を防ぐ秘訣です。
インシデント発生時の初動はスピード感を持って対応できるよう、事前に準備を整えておきましょう。
PDCAサイクルで対応力を強化
セキュリティインシデントの対応フローについて、PDCAサイクルを回して対応力を強化していくことも大切です。
どんな企業でもはじめから完璧な対応フローを整備し実行することはできません。
大小さまざまなインシデントへの対応で見つかった課題をフィードバックし、対応フローを改善していきましょう。
それによってノウハウが蓄積され、より迅速で適切な対応を行える組織を構築できるでしょう。
セキュリティインシデント対応フローを整備しよう
セキュリティインシデントが発生した際には、迅速に対応することが大切です。
スピード感を持って対処するためには、事前にセキュリティインシデントの対応フローを整備し組織で共有しておきましょう。
また、事前に不正アクセスやメール誤送信などによるインシデントを防ぐには、オンラインストレージの活用が有効です。
オンラインストレージを利用してメールや不正アクセスが起因するインシデントを減らしたいと考えているのであれば、無料から始められてセキュリティ対策も万全な国産オンラインストレージ「セキュアSAMBA」のご利用をご検討ください。