【マンガ付きコラム】
セキュリティインシデントへの対策と企業事例

不正アクセスやサイバー攻撃といったセキュリティインシデントは日々高度化・巧妙化し、IT環境の複雑化や人材不足などを理由に、十分なセキュリティ対策を施せていない企業が多く存在している。
本記事では、セキュリティインシデントの現状を踏まえ、企業で必要となるセキュリティ対策を紹介する。

う～んう～んセキュリティ対策なんてしなくてもいいよ　十分なセキュリティ対策を施せていない企業なんてたくさんあるんだし　そ、そうかな？ちょっと待って！セキュリティインシデントは日々巧妙化しているわ　企業は常に最新のセキュリティ対策が必要です！セキュリティインシデント？コンピューターの利用や情報管理情報システム運用に関してセキュリティの脅威となる事象全般のことよ。ほほぅ

セキュリティインシデントの1つのマルウェアは毎年新しい手口で攻撃をしてくるの！情報漏洩は法的な罰則だけでなく社会的信頼を失うことになるのよ！怖い怖い　怖いものは見なければいいよ　無視しちゃえ　怖がっていてはいけません　何言ってるんだちゃんとセキュリティ対策はやってるよな。もっもちろん！それはこれまでのセキュリティ対策でしょ？これまでの？

これまでは複数のセキュリティソリューションを組み合わせることでそれぞれの脅威を検知してそれぞれ個別にセキュリティ対策を行うのが主流でした。それじゃあダメなのか？その話はもういいよ。その手法だけと次々に新しいセキュリティソリューションを導入し続けなければならないでしょ？いらんこと言うなっ！さらに問題が発生した場合にどのように対応するか社内で準備をしなていない会社も多いのよね　最近のセキュリティインシデントの対策方法をご存知ですか？聞かなくていいっ。詳しく聞かせてくれ。すべてのコンテンツに悪意があると仮定しあらゆるルートから侵入するウイルスをクラウド上で無害化するう手法だとユーザーの利便性を変えずに対応できると注目を浴びてるの。すごいじゃないか

よし　早速それを導入しよう　これで安心だ。安心しちゃだめよ　どれだけセキュリティ対策を施していてもセキュリティ被害にある可能性はゼロではないの。そんな…ムダな努力はやめておけって。実はシステム運用をセキュリティのプロに委託する外部委託も有効な手段のひとつよ。え。それがNTTドコモビジネスが提供するトータルマネージドセキュリティです。詳しく教えてくれっ。それは起きて自分で調べなさい。調べなくていいっ。トータルマネージドセキュリティ…

セキュリティインシデントとは
セキュリティ対策の現状と事前対策
セキュリティインシデント発生時の対応
セキュリティインシデント対策には外部委託も有効
セキュリティインシデントに関するよくある質問

セキュリティインシデントとは

セキュリティインシデントとは、コンピューターの利用や情報管理、情報システム運用に関してセキュリティ上の脅威となる事象全般のことである。

その手口は日々巧妙化しているため、企業は常に最新のセキュリティ対策を施さなければならない。しかしサイバー攻撃者はそれをも上回る新しい手口で次々と攻撃を仕掛けてきている。企業の情報システム部門としては、いつまでたっても「万全のセキュリティ対策を講じた」と言えない状況が続いているのが実情である。

セキュリティインシデントとして扱われる主な事象・事態

情報セキュリティを脅かす事件や事故、およびセキュリティ上好ましくない事象・事態の一例を以下にまとめる。

マルウェア感染

標的型攻撃に使われる手口で、具体的な方法は年々変化している。たとえば2017年には、システムをロックして金銭を要求する「ランサムウェア」が、2018年には仮想通貨を不正に発掘する「マイニングマルウェア」が流行した。

不正アクセス

自社のWebアプリケーションやECサイトなどに不正にアクセスし、顧客の個人情報といった企業が守るべき重要な情報を盗み取る手口。2015年に発生した日本年金機構における個人情報流出は、この手口で組織とその資産に大きな被害をもたらすことを示す顕著な例である。

情報機器や記録媒体の紛失、盗難

セキュリティインシデントは、マルウェア感染や不正アクセスなどのように外的要因以外でも発生する可能性がある。業務用の情報機器や記録媒体の紛失、盗難、重要なデータの外部持ち出しなど、人為的要因によってセキュリティインシデントが発生しうることも、十分念頭に置かなければならない。

セキュリティ対策の現状と事前対策

従来のように、起きた事象に対応するのみでは、企業のセキュリティを守ることはできない。ではどのようなセキュリティ対策を施せばよいのであろうか。

従来の「多層防御」から、「インターネット分離・無害化」へ

従来は、複数のセキュリティソリューションを多層的に組み合わせることで複数の脅威を検知可能にする「多層防御」が、セキュリティ対策の主流とされてきた。しかしながら、この方法では、新たな手口の攻撃が始まったら新たにセキュリティソリューションを導入しなければならない、というような弱点がある。

そのため、現在注目されているセキュリティソリューションは、あらゆるルートから侵入するウイルスを、エンドポイントから分離されたクラウド上で無害化する「インターネット分離・無害化」である。「すべてのコンテンツに悪意がある」と仮定して、Webやメール、ファイルを無害化してユーザーに提供する仕組みを、ユーザーの利便性を変えることなく実現できる点が特長的である。

セキュリティインシデントの発生前にできる対策

セキュリティソリューションを「多層防御」から「インターネット分離・無害化」に移行することの他に、どのような事前対策ができるか。代表的な3点を以下にまとめる。

狙われる資産が何かを見極める

サイバー攻撃者がなぜ自社を狙おうとしているのか。そう考えると、彼らが自社にあるどんな資産を狙いに攻撃を仕掛けようとしているのかを推察できる。狙われる資産を見極められれば、サイバー攻撃者がどのような行動をするのかを予測し、事前に対策を打ちやすくなる。

脅威の兆候を見極める

サイバー攻撃者は、実際に攻撃を仕掛ける前から企業に対して何らかの行動を起こしている。ターゲットを決めたサイバー攻撃者はまず、ターゲットに関する情報収集から始めるとされている。こうした兆候が少しでも見えた場合、近いうちに脅威にさらされるリスクがあると予見し、可能な限りの事前対策を打つべきである。ただ実際のところ、膨大なログのチェックと分析は、多忙な情報システム部門メンバーにおいては難しいことでもある。

人材配置や属人化している運用を見直す

現状では、情報システム部門メンバーの多くがシステム運用業務に割り当てられるうえ、高度な技術を理解しているメンバーが少ないために業務が属人化する傾向にある。

しかしこれからは、ICTを積極的に活用した新たなビジネスを創出すべく、デジタルトランスフォーメーション(DX)をはじめとする取り組みに人員を割り当てられるかどうかが、企業成長の鍵を握る。こうした時代の変化を見越し、情報システム部門メンバーの役割をいま一度見直す必要があるであろう。

セキュリティインシデント発生時にやるべきことをリストアップする

どれだけセキュリティ対策を施していても、セキュリティ被害に会う可能性はゼロとは言い切れない。万が一セキュリティインシデントが発生したとしても、速やかに復旧や原因調査、今後の対策を進められるよう、やるべきことをリストアップしておくとよい。リストアップすることは、セキュリティ対策担当の属人化を防ぎ、いつでも誰でも一定品質の対策を施すことができる環境作りの一環でもある。

セキュリティインシデント発生時を想定して訓練する

リストアップした内容が期待したとおりの成果を出せるのかの確認の機会として、セキュリティインシデント発生時を想定した訓練を実施する企業もある。情報システム部門のメンバー変更やシステム変更などの機会に、運用に慣れるためにも訓練をしておくとよい。

企業事例1：セキュリティルールを理解し、かつ日常的に標的型メール訓練を展開

NTTドコモビジネスグループでは、eラーニングプラットフォームと独自の教材による全員対象の全社セキュリティ研修を毎年実施している。これを通じ社内外における最新のセキュリティ動向を捉えると同時に、セキュリティルールに関する社員各人の理解度を測定することを可能にしている。

また、日常的に予告なく、実際のメールを装った訓練メールが社員へ送られ、添付ファイルの開封やリンク先に遷移した場合はカウントされる。カウントされた社員は、訓練メールであったと気づいた場合においても、情報セキュリティ管理者へその旨を報告する義務を負う。さらにセキュリティ部門から原因についてのアンケート回答が求められ、結果は都度トップマネジメントに報告されるなど、リスクマネジメントのフレームワークにより、社員個人の力量に委ねるのではなく、全体としてセキュリティレベルを向上させている。一方で、攻撃者のセオリーにいち早く対処するためのセキュリティサービスに活かされている。

企業事例2：海外現地法人で日本水準のセキュリティ対策を実現

バンコクで2015年に開業した泰国三井住友信託銀行は、設立認可後1年半という短期間、かつ限られた人員で、日本水準のセキュリティや障害対策を有するIT環境を構築した。銀行としての本店機能を有するうえ、水害など自然災害にも対応できる高い水準を実現するために、同社はグローバル規模で一元化された窓口を提供する運用サービスを導入。各種機器の一元管理やワンストップでの運用管理サービスを受けながら、短期間でセキュリティ対策も含めたIT運用フローを確立している。

「泰国三井住友信託銀行」導入事例はこちら

セキュリティインシデント発生時の対応

万が一セキュリティインシデントが発生してしまったら、情報漏洩による直接的・間接的被害を最小限に抑えるように動くべきです。具体的な手順は次のとおりである。

発見・報告
システムのチェックによりインシデントを発見した場合、担当者に連絡を取る。
初動対応
サイトを閉鎖する必要があるかどうか、利用者に被害が出る可能性がないかどうかなどを確認する。
調査
被害の状況を明らかにして、原因の分析を行う。
通知・報告・公表など
公表の必要がある内容だと明らかになった場合、通知・報告・公表の手続きを行う。
抑制措置と復旧
システムの状態を正常に戻し、同じようなインシデントが発生しないように対応する。
事後対応
原因の分析結果によって、セキュリティポリシーへの反映や再発防止策を講じる。

セキュリティインシデント対策には外部委託も有効

セキュリティインシデントの高度化・巧妙化に加え、企業の情報システム部ではICT環境の複雑化や人材不足、運用の属人化といった課題が挙がっている。そのため、システムの脆弱性対策が追いつかず、セキュリティインシデントが発生した時に適切な対応をとることが難しい可能性が高い。

そこで有効な解決策の一つとなるのが、システム運用の外部への委託である。NTTドコモビジネスが提供する「トータルマネージドセキュリティ」では、端末からインターネット、そしてクラウドにいたる資産管理やエンドポイントのセキュリティ対応が可能だ。さらに、多言語ユーザーサポートでは、セキュリティオペレーターが24時間365日体制でインシデントハンドリングを行い、セキュリティサービスマネージャーと連携してセキュリティインシデントの未然防止や解決を図る｡

より戦略的なICT環境を構築し、デジタルトランスフォーメーションを加速推進するためには、安定的なシステム基盤が重要だ。いま一度、自社のセキュリティ対策の見直しをおすすめする。

セキュリティインシデントに関するよくある質問

Q1：セキュリティインシデントが発生した際、最初に行うべき「初動対応」は何ですか？

A：最優先すべきは「被害の拡大防止」です。具体的には、ウイルス感染や不正アクセスが疑われる端末の影響範囲を踏まえ、ネットワークから物理的に遮断（LANケーブルを抜く、Wi-Fiを切る）するなどを検討します。その際は証拠保全（フォレンジック）のために、専門家からの指示がない限り、端末の状況に応じて電源を維持することが推奨される場合があります。

Q2：情報漏洩などのインシデントが起きた際、どこに報告や届け出を行う必要がありますか？

A：組織内部の報告ルートに加え、個人情報の漏洩などが発生した恐れがある場合は、個人情報保護委員会への報告が、一定の条件を満たす場合に法律で義務付けられています。また、独立行政法人情報処理推進機構（IPA）やJPCERT/CCへの相談に加え、警察をはじめとする公的機関への届け出も検討します。重大事案の場合は、速やかな公表が求められる場合もあります。

Q3：近年、対策を急ぐべき「ランサムウェア攻撃」への有効な備えは何ですか？

A：最も重要なのは、データの「定期的なバックアップ」とその「隔離」です。バックアップ自体が暗号化されないようにするため、ネットワークから切り離した状態でデータを保管することが重要です。また、攻撃の起点となりやすいVPN機器の脆弱性対策や、エンドポイントでの挙動を監視するEDRの導入、多要素認証の徹底が有効な対策の１つとなります。

Q4：セキュリティインシデントの具体的な「種類」にはどのようなものがありますか？

A：大きく分けて「外部からの攻撃（マルウェア感染、不正アクセス、DoS攻撃）」「内部不正（データの持ち出し、誤操作）」「物理的事故（端末の紛失、災害による設備停止）」があります。最近では、サプライチェーンの脆弱性を突いた攻撃や、メールを起点に感染を拡大するマルウェア「Emotet」のような高度な攻撃も増えています。

Q5：中小企業が低コストで始められるインシデント対策はありますか？

A：まずは「OSやソフトの最新化」と「強固なパスワード管理・多要素認証の導入」を徹底することです。これらは多額の投資なしですぐに実施でき、多くの基本的な攻撃の防止に寄与します。また、IPAが公開している「5分でできる！情報セキュリティ自社診断」などを活用し、自社の現状を可視化して優先順位をつけることも、有効な手段です。