セキュリティインシデントとは？想定されるリスクや発生した際の対策を解説

セキュリティインシデントとは、セキュリティに関する損失・事故により、システムやデータが破壊されるリスクがある出来事を指します。単に「インシデント」と呼ばれる場合も多く、迷惑メールや不正アクセスなどでよく知られる外部脅威、情報漏えいやデバイス紛失といった内部脅威など、多くの要素が含まれます。

ランサムウェア攻撃・サイバー攻撃などに限らず、外部サービスで使用しているサーバー停止も考慮する必要があり、自社内だけで被害が収まらないケースもあるため細心の注意が必要です。

被害を最小限に抑え、経営に影響を及ぼさないための防止策や、インシデントが起きてしまった場合の対応策を考えておきましょう。

ここからは、セキュリティインシデントの主な発生原因について解説します。

セキュリティインシデントにおける外的要因には、ウイルス感染（主にマルウェアなど）やサイバー攻撃によるシステムへの侵害が挙げられます。例えば、ウイルスはフィッシングメール・迷惑メールに貼られたURLを開くなどの行為によって感染するケースがあります。

また、限りなく本物のサイトに見せた偽装Webサイトでユーザーをだます攻撃も悪質化している傾向にあるため、社内での注意喚起が必要です。特定の企業の公式サイトをコピーしたかのように巧妙に作り、個人情報などを抜き取るといった手法が最近では見受けられます。

対策として、従業員への研修・啓もうはもちろん、ファイアウォールや社内での迷惑メール対策のソフトウェア整備など、強固な対策が求められるでしょう。

内的要因としては従業員がデバイスを紛失したり、また本来は社内ルールで使用できないアプリ・ソフトウェアを勝手にインストールしてしまったりといったことをきっかけに起こるインシデントなどが挙げられます。

従業員の不正行為によってデータが損失するリスク、管理不足などヒューマンエラーによる情報漏えいが想定されるため、注意が必要です。

対策として社内の情報セキュリティルールの強化、情報セキュリティ意識を高めるための定期的な全体ミーティングなどを行いましょう。

セキュリティインシデントは、オンライン上での出来事に限りません。自然災害やそれに伴う停電などの不可抗力によって、引き起こされる環境要因もセキュリティインシデントの一部です。

また、自社で契約している外部サービスやデータセンターなどのシステム障害によって、社内に悪影響が及び、被害を受ける危険性もあります。

環境要因によるインシデントを防ぐためには、天災やシステム障害が起きた際にどのように対応するかをマニュアル化し、予備で使用できるサーバーの設置導入なども検討しましょう。

次に、セキュリティインシデントによって想定されるリスクを紹介します。主に以下の4つが挙げられます。

セキュリティインシデントが発生すると、関係する部署・部門で従業員が業務を行えなくなる恐れがあります。通常業務が止まるだけでなく、インシデントの対応やフォローアップに人員が割かれるため、会社として経済的な損失が発生してしまうでしょう。

また、業務が停滞すると、顧客対応やサービスの提供もできません。顧客からのイメージが下がり、後のビジネスに悪影響が出る可能性も想定しておく必要があります。

セキュリティインシデントが起こると、機密情報や個人情報などの情報漏えいも発生する危険性があります。情報が漏れれば顧客や取引先にも報告しなければならないうえ、信頼を失いかねないでしょう。

また、漏えいした情報がもし第三者によって悪用されれば、二次被害や法的問題につながる可能性もあります。

例えば顧客の個人情報が悪用されて何らかの犯罪に使われたり、商品開発の情報などがインターネット上に流出したりといった問題です。

損害賠償につながることもあるため、セキュリティインシデントは未然に防ぐ必要があります。

セキュリティインシデントには、重要な情報の漏えいリスクや経済的損失の危険性があります。インシデントを公表することにより、自社のブランドイメージに悪影響を及ぼすでしょう。

既存顧客からの信頼減少や取引停止のリスクだけでなく、まだ取引していない見込み顧客にもインシデントが認知されると、ビジネスチャンスの損失も考えられます。社会的信頼の回復には長期間にわたる努力や、対策が求められるため細心の注意が必要です。

顧客や取引先の情報漏えいや自社サービスの停止は、当事者の範囲にとどまらず、多大な迷惑がかかります。

インシデントの規模や被害の大小に応じて、時には損害賠償を求められるでしょう。法的責任を問われ、裁判になった場合には訴訟費用が発生します。

裁判の結果にもよりますが、損害賠償の費用は数百万円以上など、高額になるリスクも考えられるでしょう。

こういった財務上の損失は、意図しないことであったとしても、企業の経営に悪影響を及ぼす可能性があります。

ここからは、具体的にセキュリティインシデントにはどのような例があるのかを紹介します。

大手製薬会社の会員サイトにて、約387件の不正ログイン被害が発生した事例があります。同社の元従業員が、顧客情報を含む業務情報を不正に外部に持ち出し、ログインしたことが原因です。インシデント発生後、不正ログインを検知していないユーザーも対象に、全会員に対してパスワード初期化を実施しました。

このインシデントを受け、パスワードルールをより強固なものに設定できるように変更、また不正検知や不正アクセスを自動遮断するプログラムの導入などを行ったといいます。

さらには、警察に対しての報告・相談も同時並行して進めました。第三者による不正利用は報告されなかったものの、ニュースとして世間に広まりました。

とある観光会社で、最大11,483人分の個人情報が流出するという情報漏えいが発生しました。観光庁の補助事業で利用していたクラウドサービスで、アクセス権限を直接的な関係者以外に設定してしまっていたのがインシデントの原因です。

本来情報を知られるべきではない人にも、機密情報が届いてしまったことにより、内容が記載されているファイルをダウンロードした応募・申請事業者にファイルの削除を求める結果になりました。

ランサムウェア攻撃を受け、サービスが約１ヶ月もの間停止した事例もあります。とあるシステム開発会社で発生し、人数にして749万6080人分の個人情報漏えいが確認されました。

同社の安全管理措置に問題があったとして、個人情報保護法に基づいて行政指導を受けることになったといいます。行政からは再発防止策の速やかな提示を要請されました。

セキュリティインシデントを防止する対策として、どのようなものがあるでしょうか。ここからは以下について解説します。事前に把握しておき、インシデント防止に努めましょう。

セキュリティインシデントを防止する方法の一つとして、社内の情報セキュリティ体制を構築することが挙げられます。

例えば、情報セキュリティに関するインシデントが発生した際に従業員が最初にどこへ報告するか、また再発防止策を従業員に提出させるかなど、具体的なフローを整える必要があります。また、ISMS認証^※など、自社の安全性について問題ないことを示すマークの取得などを検討しましょう。

定期的なセキュリティ研修を従業員に対して実施することも重要です。従業員のセキュリティ遵守の意識を高めておくことは、セキュリティインシデントを起こさないための不可欠のリテラシー教育といえます。

例えば、従業員に迷惑メールの見分け方や、怪しいURLがあったときには開封しないように指導するなどの研修が必要です。

また、セキュリティに関する知識の向上を目的とした社内ミーティングを定期的に開催しましょう。繰り返し行うことによって、社内への浸透を図れます。

社内データやシステムへのアクセス権限は、直接的な関係者のみに設定しましょう。権限だけではなく、二要素認証を導入してログイン時のセキュリティを強化し、第三者からの不正ログインを防止することが対策としておすすめです。

また、従業員のアカウントは定期的にパスワードを変更させるといった対策も行うことが重要です。パスワードを変えずに使い続けていると、不正アクセスの被害を受けやすくなってしまいます。

最後に、セキュリティインシデントが発生した場合の対策を紹介します。それぞれ覚えておき、もしもの事態に備えましょう。

まずは、セキュリティインシデントが発生した際には、必ず全従業員にインシデントの発生状況や概要を説明しましょう。社内メールやチャットで一斉送信できるシステムを整備することがおすすめです。

ただし、インシデントにより従業員がパニックになり業務が滞るのを防ぐため、文章内容で正確に伝えましょう。デマや誤報が流れないよう、情報セキュリティの担当者が複数人で確認して、情報を送ることが対策として重要です。

被害を最小限に防ぐためには、初動対応も重要です。セキュリティインシデントの影響を受ける可能性のあるシステムやネットワークは隔離しましょう。

また、インシデントによって起こったトラブルの影響が及ぼす範囲の特定、また緊急措置をすぐに実施することも大切です。

被害防止のための初動対応をうまく行うためには、予防策の章でも説明したように「情報セキュリティ部門を設ける」「マニュアルの整備を行う」などの対策が必要になります。

セキュリティインシデントが発生した際には、原因を究明するために、発生日時や被害を及ぼした対象を把握する必要があります。システムログやアクセス履歴を追跡できる環境を整えておきましょう。

自社内だけで調査が完了してしまうような主観的な運用フローにするのではなく、第三者の調査機関を設けて、客観的な調査を進めましょう。

企業規模を問わず、社外に対して情報セキュリティのインシデントがあったことを必ず公表しましょう。とくに個人情報の流出などが発生した場合は、早急に対処することが重要です。

公表する内容は企業における守秘義務、法律・規制などに反しない範囲で話し合う必要があります。専門家の助言を受けながら、顧客や取引先が安心し、また自社との関係を続けたいと思えるような内容にしたうえで公表することを心がけましょう。

冒頭で解説したように、セキュリティインシデントはサイバー攻撃などの外的要因や、従業員のミスなどの内的要因、災害などの環境要因などによって起こります。インシデントを起こさないようシステム的な対策と人的な対策の両方からアプローチすることが重要です。

「Nにおまかせ！」ではネットワークセキュリティ対策、エンドポイント対策、データセキュリティ対策、物理的セキュリティ対策、そして従業員教育と意識向上という5つの観点から、総合的なサポートが可能です。

「Nにおまかせ！」のWebサイトでは無料で自社の情報セキュリティリスクを診断でき、また情報セキュリティ対策に役に立つ「4つの情報セキュリティリスクeBook」を無料で配布しています。

個別での無料相談も可能なため、自社の情報セキュリティ環境に少しでも不安がある場合は、以下のリンクから気軽にお問い合わせください。

セキュリティインシデントは、企業が避けるべき重大なトラブルです。訴訟などに発展してしまう危険性もあるため、インシデント発生時のフロー整備や情報システムの管理、セキュリティ対策など、企業の担当者にはさまざまな対策が求められます。

中には「自社だけでセキュリティインシデント対策を行うのは難しい」と考えている方も多いでしょう。そのような場合には、ぜひ以下のリンクから「Nにおまかせ！」にご相談ください。セキュリティインシデントを防ぎ、安心して業務に集中できる環境づくりを実現しましょう。