セキュリティインシデントへの対応が組織を守る。 万が一に備えた準備から復旧対応までの流れ
近年、サイバー攻撃は高度化・巧妙化しており、社会やビジネスに大きな影響を及ぼしています。
ITの利活用が事業活動に欠かせないものとなった今、企業へのサイバー攻撃をはじめとするセキュリティインシデントへの対応力を強化することは、情報漏えいの防止やステークホルダーとのトラブルを防ぐために必要不可欠といえます。
企業の情報システム部門や管理部門の担当者のなかには「どのようなセキュリティインシデントが懸念されるのか」「セキュリティインシデントにどのような流れで対応すればよいのか」などと気になる方もいるのではないでしょうか。
この記事では、企業におけるセキュリティインシデント対応の重要性や復旧対応の流れについて解説します。
目次[非表示]
- 1.セキュリティインシデントとは
- 2.セキュリティインシデント対応の重要性
- 3.セキュリティインシデント対応の流れ
- 3.1.①事前準備
- 3.2.②セキュリティインシデントの検知と分析
- 3.3.③応急処置
- 3.4.④復旧
- 3.5.⑤事後対応
- 4.まとめ
セキュリティインシデントとは
セキュリティインシデントとは、サイバー攻撃やセキュリティ違反などのITにおける脅威のことです。事故や損害などのアクシデントを発生させる原因または前段階のことを指します。
企業に引き起こされるセキュリティインシデントには、以下が挙げられます。
▼セキュリティインシデントの代表的な例
- マルウェア感染
- フィッシング
- DDoS攻撃
- 不正アクセス など
また、インシデントによく似た言葉に“ヒヤリハット”があります。ヒヤリハットとは、一歩間違えるとアクシデントにつながる状況を指しており、主に人的ミスによって生じます。
アクシデントの前段階という意味で捉えると、ヒヤリハットもインシデントの一種といえます。過去に生じたヒヤリハットの事例を収集・分析することで、人的ミスによるインシデントの発生を防止できると考えられます。
>>社内システム運用管理業務トータルサポートサービスに関する資料ダウンロードはこちら
セキュリティインシデント対応の重要性
セキュリティインシデント対応とは、セキュリティインシデントが発生した際の初動対応から原因の分析、復旧、事後措置までを行う組織の体系的なプロセスを指します。
万が一セキュリティインシデントが起きてしまった際に、企業への損害を最小限に抑えて早期の復旧につなげるには、迅速かつ的確な対応をとることが重要です。
サイバー攻撃やセキュリティ事故が発生すると、顧客情報・機密情報の漏えい、システム障害などによって企業の重大なリスクにつながるおそれがあります。
自社のみならず顧客や取引先などに損害を与えてしまった場合には、経営責任が問われて損害賠償が請求されたり、法令上の罰則を受けたりする可能性も考えられます。
▼セキュリティインシデントの発生による企業へのリスク
- 適切な対応を怠ったことに対する株主代表訴訟
- 個人情報保護法上の罰則
- 個人情報の流出によって被害を受けた顧客への損害賠償
また、社内でセキュリティインシデント対応の仕組みが整備されていない場合、被害の状況把握や原因の究明ができず、対応の遅れによって被害が拡大したり、再発したりする可能性も考えられます。
セキュリティインシデントが発生した際に、事態の収束に向けて迅速かつ的確な判断と行動を行えるように、社内で対応フローや実施体制を構築しておく必要があります。
なお、システム障害への対応力を高めるポイントについては、こちらの記事で解説しています。
セキュリティインシデント対応の流れ
セキュリティインシデント対応では、事前に社内の実施体制を整備したうえで、事故・障害の検知から事後対応までの各フェーズで必要な措置を講じる必要があります。ここでは、セキュリティインシデント対応の流れについて解説します。
①事前準備
セキュリティインシデントが起きたときに各部門・担当者がスムーズに対応できるように、あらかじめ社内体制を構築して行動指針を策定しておく必要があります。
▼事前準備
- セキュリティインシデント対応チームを立ち上げる
- セキュリティポリシーを策定する
ITや情報セキュリティに関する知識・技術を持つ従業員を選定して、セキュリティインシデント対応チームを立ち上げます。その際、対応別の担当者と責任者を定めるとともに、必要なツールの準備や業務部門への周知を行います。
セキュリティポリシーとは、情報セキュリティに関する組織の方針や行動指針を定めた文書です。ITシステム・サービスの使用ルールやIT機器の取り扱いなどを定めておくと、従業員による不正行為、セキュリティ事故を防止できます。
また、初動対応のフローを策定することで、各部門・担当者がとる行動や連絡先が明文化されて、セキュリティインシデントが発生した際に落ち着いて次の対応を判断できるようになります。
②セキュリティインシデントの検知と分析
セキュリティインシデントによる被害を最小限に抑えるには、問題の兆候を検知して速やかに状況を把握することが重要です。
監視ツールを用いてサイバー攻撃や不正アクセスなどを検知した際は、ログの追跡、聞き取りによって以下の情報を収集します。
▼収集する情報
- セキュリティインシデントの発生箇所・時刻
- 侵入や攻撃の経路
- セキュリティインシデントによる影響範囲
検知した異常を分析して、懸念される影響やビジネス上のリスクを考慮したうえで対応の優先度を決定します。
③応急処置
セキュリティインシデントの発生時には、原因究明に時間を要するケースもあります。被害が拡大しないように、現時点で把握している状況を基に応急処置を講じます。
応急処置の方法には、主に“封じ込め”と“根絶”の2つが存在します。封じ込めとは、インシデントによる被害の拡大を防ぐ作業のことです。一方の根絶は、封じ込めのあとに脅威を取り除く作業を指します。
▼セキュリティインシデントに対する応急措置の例
応急措置 |
例 |
封じ込め |
|
根絶 |
|
④復旧
応急措置を講じたあとは、セキュリティインシデントに対する詳細な調査・分析を行い、発生原因を特定してから恒久的な復旧対応を行います。
例えば、サイバー攻撃による情報の窃取が行われた場合では、原因となる行為や攻撃経路、手法などを明らかにしてセキュリティ対策の強化を図ります。
▼復旧対応の例
- ソフトウェアの脆弱性を分析して修正パッチを適用する
- サイバー攻撃の手法に適したウイルス対策ソフトウェアを導入する
- システムをバックアップから再構築する
なお、データのバックアップについてはこちらの記事で解説しています。
⑤事後対応
セキュリティインシデントへの復旧対応が完了したら、事後対応を行います。
今後同様のセキュリティインシデントが発生しないように、サイバー攻撃やセキュリティ事故の重大性に応じて再発防止策を策定することが重要です。
▼再発防止策で検討する内容例
- セキュリティインシデントの原因や手口を踏まえて情報資産の管理体制を見直す
- ログの監視・取得や通信の暗号化などを強化する
- セキュリティインシデント対応チームの体制フローを見直す
また、情報漏えいをはじめとするビジネス上の損害が発生した場合には、顧客や取引先などの関係者に報告・公表して、謝罪または補償を行う必要があります。
まとめ
この記事では、セキュリティインシデントへの対応について以下の内容を解説しました。
- 企業に引き起こされるセキュリティインシデント
- セキュリティインシデント対応の重要性
- セキュリティインシデント対応の流れ
セキュリティインシデントが発生して情報漏えいやシステム障害などが起こると、企業への重大な損害につながるリスクがあります。
被害を最小限に抑えるには、セキュリティインシデント対応のフローと実施体制を整備して、初動対応から原因究明、復旧、事後措置までの一連のプロセスを迅速かつ的確に行うことが重要です。
『FGLテクノソリューションズ』の社内システム運用サービスでは、ITインフラの保守運用管理や死活監視、障害対応などの幅広い業務においてサポートしております。
サービスの詳細についてはこちらから資料をダウンロードしていただけます。