セキュリティインシデント対応の重要6ステップとは？

セキュリティインシデントとは

セキュリティインシデントとは、企業や組織の保有する情報資産に対して機密性、完全性、可用性の侵害となりうる事故や事件を指します。たとえば、不正アクセスやマルウェア感染などの外部からのサイバー攻撃だけでなく、内部の不正や記憶媒体の紛失なども該当します。

セキュリティインシデントには、具体的に以下のような事象があります。

• 　ウイルスやワームなどのマルウェア感染
• 　不正アクセスによるサーバ乗っ取り、DDoS攻撃によるサービス提供の妨害
• 　個人情報、機密情報などの流出被害

セキュリティインシデント対応の重要性

企業が情報セキュリティに関する事故（セキュリティインシデント）に遭った際に、適切な対応を行えるかどうかは、インシデントによる被害を最小限にとどめるうえで大変重要です。

セキュリティインシデントが発生すると、社内だけでなく顧客や取引先などのあらゆる関係先へ迷惑をかけたり、直接的な被害を与えたりしてしまうリスクがあります。

近年、リモートワークの普及やペーパーレス化など、デジタル化が進んだことにより第三者からの攻撃を受けやすい状況になっています。

そのため、今後さらにセキュリティインシデント対応が重要度を増していくのです。

対応すべきセキュリティインシデントの例

ここでは、セキュリティインシデントの例を以下の表にまとめます。

セキュリティインシデントによって発生し得る損害

セキュリティインシデントの発生により、企業の所持する個人情報などの流出や自社サービスの遅延、製品の製造停止など、さまざまな被害・損害を被る可能性があります。

結果として、以下のような状況に陥るリスクがあります。

• 情報漏えいによって多額の損害賠償が発生
• 自社ブランドのイメージダウンにより新規顧客の獲得が困難
• サービスや製品の提供不全による直接的な売上の減少、機会損失

セキュリティインシデント対応の重要な6ステップ

万一セキュリティインシデントが発生してしまった場合、どのような対応をすべきなのでしょうか。ここからは事前準備も含め、セキュリティインシデント対応の重要な6ステップを紹介します。

1.事前準備

セキュリティインシデントの発生時に対応する組織や、指揮する管理者をあらかじめ任命しておきます。また、対処が必要な異常の検知から、被害範囲の特定、復旧に至るまでの大まかなプロセスを事前に準備することが重要です。

セキュリティインシデントが発生したことを想定し、事前に訓練を実施しておくのもよいでしょう。情報システム担当役員を筆頭にして、部門長などの中心的なメンバーで訓練を行います。

それにより、想定していた対応プロセスの抜け漏れや、本番の際に発生する可能性のある事態を把握し、見直しを行います。

また、セキュリティインシデント対応マニュアルを作成しておくのもよいでしょう。

2.異常検知

セキュリティインシデントの発生が確認されたら、ただちに責任者へ報告します。

この際、自己の判断で対処しないよう注意します。証拠となるログを誤って消去してしまったり、不適切な処理のためにパソコンやサーバなどの端末から、機密情報が外部へ流出してしまうインシデントへ繋がったりする可能性もあるからです。

まずは異常を検知したことの報告を最優先し、責任者の指示を仰ぎます。

3.攻撃範囲の特定・隔離

セキュリティインシデントの発生直後は速やかに攻撃範囲を特定し、被害が拡大しないよう対処すべきです。

攻撃範囲を特定するため、以下の調査が必要です。

• 発見日時
• 発見場所（発見した機器、システム、アプリ等）
• 発見者
• どのような現象か
• なぜ異常と判断したのか

調査結果は速やかに責任者へ報告します。情報漏えいが予測されるケースでは、二次被害を防ぐためにも被害拡大の抑制を早急に行わなくてはなりません。

たとえば、マルウェア感染により「ネットワークを介して他の端末へ感染する恐れ」があるケースでは、対象の端末をネットワークからただちに隔離（切り離し）し、外部への情報漏えいを最小限にとどめます。

4.通知・報告・公表等

情報漏えいなどが発生した場合、ただちに被害者へセキュリティインシデントの発生を通知します。

さらに、警察やIPA（情報処理推進機構）に届出を行います。インシデントの状況によっては、警察がサイバー犯罪解決に向けて協力してくれるケースもあります。

参考：警察庁｜サイバー警察局とは

また、被害の範囲が広く、全ての対象者へ通知できない場合は、自社サイトや記者発表による公表を検討します。

5.抑制措置と復旧

通知・報告・公表を行うと同時に、対策チームによってさらなる被害の拡大を防ぐための抑制処置と復旧にあたります。

また、被害に関する相談窓口を設置し、連絡があった際は被害の状況を細かくヒアリングし、対策チームへ共有して対応を行います。

その後、情報漏えいの再発防止策を講じたところから、それまで停止していたサービスやアカウント、システムの復旧を進めていきます。

6.振り返り

対応がひと通り完了したあと、関係者全てを集めミーティングを行います。そこでセキュリティインシデントが発生した背景を確認しましょう。取り決めていたセキュリティポリシーや、社員の行動においてふさわしくなかったところなど意見を出し合います。

また、事前準備の段階において実施した訓練どおりの対応ができていたか、実際に対応した内容を振り返り改善点を洗い出します。

セキュリティインシデント対策のポイント

前章ではインシデントが発生した際の対応について紹介してきました。それではセキュリティインシデント対策として、日頃からどのような取り組みを行うべきなのでしょうか。

ここでは、セキュリティインシデント対策のポイントについて解説します。

情報資産の把握

セキュリティインシデント対策の基本として、組織の情報資産を把握することが大変重要です。それにより「サイバー攻撃の侵入経路はどこなのか」が明確になるとともに「被害を受けた可能性のある資産の洗い出し」が可能になります。

攻撃されるポイントや侵入経路が明確になることで、どのようなセキュリティ対策を施せばよいかが具体的となります。

体制の整備

社内の情報資産を把握したのち、セキュリティインシデントに対応できる体制を整備します。

社内システムやネットワークを早急に復旧させられる責任者を筆頭としたチームを配備しておきましょう。また十分にチームが機能するよう、指揮命令系統や連絡手段を明確にしておきます。

インシデント発見者がどこに連絡すべきかが一目でわかるよう、緊急連絡先の連絡網をマニュアル内に用意しておくのもよいでしょう。

社員への教育

セキュリティに関する社員への教育は、普段から定期的に実施すべき重要な施策です。

セキュリティインシデントにはどのようなリスクがあり、発生することでどれほどの損害が発生するのか、対策のためには普段から何を気にかけるべきかの研修を行いましょう。

たとえば、USBなどの記録媒体やパソコンを社外へ持ち出す際の注意事項、不審なメールが届いたときの対応方法など、セキュリティインシデントへ繋がらないためにはどうすべきかについて教育します。

セキュリティインシデントの発見時に役立つEDRの採用

セキュリティインシデント発生時の原因究明や、脅威ハンティングによるインシデントの未然防止には「EDR」が役立ちます。

EDRとは、Endpoint Detection and Responseの略語で、直訳すると「エンドポイントの検知と対応」を意味します。社内ネットワークに接続されるエンドポイントの動作や操作を記録・監視・分析することで、サイバー攻撃や未知の脅威、潜在的な脅威を発見次第対処するソフトウェアの総称です。

EDRを採用することも、セキュリティインシデントの対策として有効な手段です。

オプテージのEDRサービスでは、マネージドセキュリティサービスチームが24時間365日のリアルタイム監視により、インシデント対応支援を行っています。

>> EDRについてさらに詳しく知りたい方はこちら

まとめ

今回は、セキュリティインシデント対応の重要性や、実際の対応方法について解説してきました。企業や組織が情報セキュリティに関する事故（インシデント）に遭った際、被害を最小限におさえるためには、まずインシデントの発生を予測して社内訓練を行うなどの事前準備が必要です。

そして万一インシデントが発生した場合は、異常の検知や攻撃範囲の特定をし、必要な抑制措置を講じることが求められます。最終的には、対応の振り返りを行い、改善点を明らかにすることも重要です。

セキュリティインシデント対策のポイントとしては、情報資産の把握や適切な体制の整備、社員に対して普段からセキュリティに関する教育を行うことが重要です。

オプテージでは、日頃からのセキュリティ対策の支援を行っています。対策を強化されたい企業さまはお気軽にご相談ください。

◎製品名、会社名等は、各社の商標または登録商標です。