情報セキュリティインシデントとは|実例と対策ついて

インターネットを利用している全ての企業には、情報セキュリティインシデントが発生する可能性があります。
この記事では情報セキュリティインシデントの概要や間違った認識、そして具体的な対策方法について解説します。

情報セキュリティインシデントとは

情報セキュリティインシデントは、企業や組織において、事業運営における重要度の高い影響を与えうる情報資産に関する事故や事件を指します。
外部からのウイルス攻撃や不正な手口による被害だけではなく、地震や火事など自然災害による被害なども、情報セキュリティインシデントには含まれます。

情報セキュリティインシデントがマイナスである要因

情報セキュリティインシデントを引き起こしてしまうと様々なリスクが生じます。

• 社会的信頼の低下
• 損害賠償の発生
• 情報セキュリティインシデントの原因特定・改善のコスト
• 利益の損出

情報セキュリティインシデントが発生することにより、社会からの信頼性を失うことがあります。既存の取引先や顧客を失うこともあり、大きな利益の損出に繋がってしまいます。
また情報セキュリティインシデントの原因を特定し、改善するためのコストも発生してしまいます。

この他にも、情報セキュリティインシデントを発生が引き起こすリスクは様々なものがあり、事業経営に重要な影響を与えている可能性があります。

情報セキュリティインシデントの種類

では、情報セキュリティインシデントには、どのようなものがあるのでしょうか。
代表的なものを見て行きましょう。

マルウェア感染

マルウェアとは悪意のあるソフトウェアを指し、コンピューターウイルスやトロイの木馬など、様々な種類があります。マルウェアに感染したコンピューターは内部にある情報を外部へ流出させたり、他のコンピュータへメールを送信するなど、様々な不正な動作を行います。

不正アクセス

不正アクセスは、外部からコンピューターやネットワークに不正なアクセスをする攻撃です。不正なアクセスにより、情報の漏えいやデータの改ざん、消去、などのリスクがあります。また推測され易いパスワードやパスワードの使い回しなどが引き起こす被害例も見られます。

なりすまし

なりすましは、悪意のある人物が社員など組織内の情報にアクセス出来る他人になりすますことを指します。情報の改ざんやアカウント奪取などの事例が発生しています。なりすましにより、ウイルス感染や情報漏えいも引き起こされています。

迷惑メール

メールの文面に不正なURLが記載されていたり、メールにマルウェアが添付されていることを指します。また意図せずに大量のメールを送信させられてしまうこともあります。
メールに添付されているURLをクリックさせ、不正なwebページに移動させることでマルウェアに感染させる仕組みになっています。

DoS攻撃

Dos（Denial of Service attack）攻撃はサイバー攻撃の一種です。外部のコンピュータからターゲットのコンピュータに対して大量のデータを送信し、過負担によりターゲットのコンピューターをダウンさせる目的で行われます。コンピューターやwebサイトの停止により、攻撃を受けた企業は信頼面・金銭面で大きなダメージを受けることがあります。

情報漏えい・改ざん

管理されている情報やネットワークで送受信される情報が外部に流出することを情報の漏えいと言います。またそれらが書き換えられることを改ざんと言います。原因は不正アクセスやマルウェアだけではなく、社内の従業員の不正行為や不注意が挙げられます。

自然災害による設備故障

落雷や地震など、自然災害によりセキュリティ設備が故障することも情報セキュリティインシデントに含まれます。被害が生じる前に重要なデータは複数の遠隔地にバックアップを設けるなど対策が必要です。

記憶媒体の紛失や盗難

データを保存している媒体の盗難や紛失も情報セキュリティインシデントになります。コンピューターやUSBを外出先で紛失、盗難に遭うことで保存しているデータが外部に漏えいする恐れがあります。

情報セキュリティインシデントの実例

上記に挙げた情報セキュリティインシデントの実例を大手企業と中小企業でそれぞれ見てみましょう。

大手企業の実例

ロート製薬・不正アクセス

ロート製薬の会員サイトへの不正アクセスが発生しました。会員のログイン情報が回覧され、なりすましによる不正ログインが行われました。

これにより、ロート製薬は全会員ログイン情報の初期化を行い対応をしました。

JTB・個人情報漏えい

JTBのサーバーへの不正アクセスにより、個人情報を含むファイルが作成、削除されるということが発生しました。これはJTBの取引先である航空会社になりすましたメールからマルウェアがパソコンとサーバーに感染したことから発生しました。

この事件をきっかけにJTBグループでは、ITセキュリティ専任統括部門の設置やITセキュリティを専門とする企業との連携、社内でのITセキュリティ教育の実施を行いました。

中小企業の実例

サイバー攻撃による個客情報の漏えい

徳島県の半田病院が2021年にサイバー攻撃を受けました。これにより患者顧客情報の漏えい及び院内システムや情報が暗号化されました。

情報の漏えいへの対応と院内のシステム強化に2憶縁以上のコストが必要となりました。

中小企業も?間違った認識とは

実例で挙げたように、情報セキュリティインシデントは大手企業に限って発生するものではありません。しかし、中小企業の経営者やセキュリティ担当者には情報セキュリティインシデントは無縁であるものと考えてしまうことが多くあります。

改めて確認しておくべき誤った認識を確認しましょう。

間違った認識1.小さな企業が狙われるわけない

規模の小さい中小企業も、サイバー攻撃のターゲットになる可能性が大いにあります。
近年では「サプライチェーン攻撃」というものが多発しています。これはセキュリティ対策が整備されていない中小企業を狙い、中小企業と繋がりのある大手企業を攻撃します。中小企業への攻撃がきっかけで大手企業が被害を受けた場合、多額の賠償金や調査請求が中小企業に課されてしまうことがあります。

間違った認識2.情報インシデントが発生した仲間や企業をみたことがない

情報セキュリティインシデントが発生すると、信頼問題や顧客との関係性に大きな影響が生じます。そのため情報セキュリティインシデントの発生を公表する中小企業は少ない傾向にあります。

間違った認識3.ウイルスソフトをいれているから安心

サイバー攻撃には、ウイルスソフトの導入が主要な対策の一つになっています。しかし、サイバーウイルスは日々無数に発生しています。
つまり、ウイルスソフトの導入だけでは、サイバー攻撃を完璧に防ぐことができないのです。

情報セキュリティインシデントへの対策

では、情報セキュリティインシデントに対しどのような対策が必要になるのでしょうか。詳しく見ていきましょう

情報資産の把握

会社で保有している情報を把握し、情報セキュリティインシデントに備えセキュリティを強化すべき情報を確かめることが必要です。紙やHDDを含め会社にどのような情報資産があるのかを把握することが重要になります。

情報セキュリティの体制整備

セキュリティインシデントの発生を防ぎ、発生した際に迅速な対応が出来るよう社内の情報セキュリティ体制を整備しておく必要があります。専門的な知識を持つ人材の確保を行いましょう。またインシデントの発生に備え、連絡手段の決定や指揮系統を明確化することも重要です。

従業員の教育

従業員に対して、セキュリティや情報リテラシーに関する教育を行うことも重要です。従業員がきっかけで情報セキュリティインシデントが発生する事例も多く確認できます。高度なセキュリティ技術に関する教育だけでなく、パソコンの使用など日常の業務において守るべきルールを確認することが重要です。

ネットワークやソフトの安全性強化

ネットワークやソフトウェアの安全性を高めることは非常に重要です。重要なデータは必ずバックアップを取り、ファイルサーバーの定期的なシステムチェックの徹底をすることも一つの有効な手段です。また、異常ログの検知ツールを使用すれば、目視で確認しづらいログもより念入りに確認できます。

まとめ

情報セキュリティインシデントについて種類や事例を交え解説しました。
インシデントの発生に備え社内の対応を見直してみてはいかがでしょうか。

また情報セキュリティインシデントの対策を社内だけで行うことが難しい場合は、専門のコンサルティング企業に依頼することもおすすめです。

株式会社UPFでは、社内の情報セキュリティ教育や情報セキュリティ体制構築に重要なISMSやプライバシーマークの取得をサポートしてきた業界No.1を誇る実績があります。

プライバシーマークやISMSの取得を検討の企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。