企業のセキュリティ対策を考える上で目にするのが「情報セキュリティ事故」です。
本記事では、情報セキュリティ事故の基本的な知識や企業に与える影響や事例、そしてその対策について解説します。
情報セキュリティ事故とは?
情報セキュリティ事故は、企業や組織における情報漏えいやデータ破損などの予期せぬトラブルを指します。セキュリティ事故が起きることで、重要な情報が外部に流出したり、業務が停止することがあります。企業の運営や信頼性に大きな影響を及ぼすこともあるため、適切な対策が必要です。
情報セキュリティ事故の基本概念
情報セキュリティ事故とは、情報システムそのものや、その中で管理しているデータに何らかの影響を与える状態を指します。具体的には、機密性、完全性、可用性のいずれか、もしくは全てが損なわれる事態です。
情報セキュリティ事故により、企業の運営や信頼性が大きく影響を受けることになります。
最も分かりやすい例が、機密性が損なわれる「情報漏えい」です。重要な顧客情報が外部に漏えいした場合、その企業の信頼は大きく揺らぐことになるでしょう。
その他、サーバーが一時的に停止し、サービスが停止することも「可用性」が失われることになるため、立派な「情報セキュリティ事故」となります。
情報セキュリティに関して「自社または社外の人間に何かしらの影響を及ぼしたもの」が情報セキュリティ事故である、と考えましょう。
情報セキュリティインシデントとの違い
情報セキュリティ事故は「影響を及ぼしたこと」、つまり「被害の有無」が基準となりますが、情報セキュリティインシデントは、情報セキュリティに関する事故や攻撃のことで、情報セキュリティ事故の一歩手前の状態も含みます。実際の被害は発生していないが、潜在的な脅威が存在する状況である「ヒヤリハット」もインシデントに含まれる、と考えましょう。
発生時点ではヒヤリハットだったとしても、それを放置することで事故につながる可能性があります。「ヒヤリハットだから対応しなくて大丈夫」と考えず、被害の有無にかかわらず早期に対応し、事故を未然に防ぐことが大事です。
情報セキュリティ事故の種類
情報セキュリティ事故の原因は、大きく分けると「内的要因」と「外的要因」に分かれます。
内的要因とは、事故の原因が社内にある場合で、操作ミスなどによるヒューマンエラーや、システムのバグによるものなどを指します。
外的要因は事故の要因が社外にあるもので、サイバー攻撃はもちろん、地震や津波による天災なども外的要因に含まれます。
情報セキュリティ事故の原因・例・リスク
情報セキュリティ事故にはどのようなものがあり、どういった原因で発生するのでしょうか。
ここでは、情報セキュリティ事故の原因と具体例、それに伴うリスクを紹介します。発生原因や具体例、そしてそれに伴うリスクを正しく理解し、適切に対応しましょう。
ヒューマンエラーによる事故
ヒューマンエラーによる事故は、従業員の不注意や誤操作によって発生します。これには、パスワードの管理ミスや重要情報の誤送信などが含まれます。ヒューマンエラーは、最も一般的なセキュリティ事故の原因の1つといえますので、しっかりと対策する必要があります。
事故の原因・例
ヒューマンエラーの原因には、従業員の教育不足や注意力の欠如が挙げられます。例えば、誤って機密情報をメールで外部に送信してしまうケースが典型といえるでしょう。
「他の社員に送信するつもりが、取引先の同じ苗字の人に間違ってメールを送信してしまった」「疲れによる注意力散漫で設定を間違い、サーバーを停止してしまった」といったことが例として挙げられます。
事故によるリスク
故意的か偶発的かに関係なく、個人情報や機密情報が流出した場合、直ちに自社のブランドイメージに影響を及ぼす場合があります。故意的な場合はもちろんのこと、意図せず起こしてしまった場合でも、起きてしまった事故に対する周囲の評価は変わりません。
ヒューマンエラーを完全になくすことは非常に困難ですが、一瞬の判断ミスが大きな事故につながることを忘れないようにしましょう。
技術的な欠陥による事故
技術的な欠陥による事故は、ハードウェアやソフトウェアの不具合が原因で発生します。
これには、セキュリティパッチの未適用やバグの存在などが含まれます。
事故の原因・例
技術的な欠陥の原因には、システムの設計ミスやソフトウェアの脆弱性が含まれます。ソフトウェアに新しい脆弱性が見つかることは日常茶飯事であり、OSやミドルウェアの提供元は、その脆弱性に対応したパッチを逐次公開しています。もし、その脆弱性をそのままにしておいた場合、その脆弱性がハッカーに悪用されたり、マルウェア侵入の手口として悪用されたりします。
また、その脆弱性に対応するためOSやミドルウェアのバージョンアップを実施した結果、サーバー上で動いているプログラムが異常停止する、といったことも考えられます。
事故によるリスク
技術的な欠陥による事故は、データの消失や不正アクセスのリスクを伴います。最悪の場合企業の業務が停止する可能性もありますし、この欠陥を悪用されることで更なる被害を生み出す可能性があります。
常に安定稼働させるためにも、メンテナンスをし続ける必要があります。「作ったら終わりではなく、コストをかけて適切に運用し続ける必要がある」ということを忘れないようにしましょう。
外部からの攻撃による事故
外部からの攻撃による事故は、ハッカーやマルウェアなどによって引き起こされます。これには、フィッシング詐欺やランサムウェアの攻撃などが含まれます。外部攻撃は予測が難しく、攻撃手法は日々進化しているため万全の予防策を立てることは非常に困難です。
事故の原因・例
外部からの攻撃は、ハッカーが特定の企業を狙って攻撃したり、攻撃者により不特定多数にばらまかれたマルウェアに感染したりすることで、企業の情報システムが危険にさらされます。
代表的な攻撃がマルウェアの感染によるもので、主にシステムの脆弱性をついてマルウェアに感染させることが多いです。そのため、技術的な欠陥を発見し、放置せず早急に解消するなどの対応が必要です。
事故によるリスク
1台のデバイスがマルウェアに感染するだけで、社内のネットワークの全てに感染が拡大することがあり得ます。例えばランサムウェアに感染した場合、業務が停止することはもちろんのこと、身代金を要求されたり、盗み出された情報が公開されたりする可能性があります。
天災による事故
天災による事故は、地震や津波、台風といった自然災害によって発生します。これらの自然災害によってサーバーが格納されたデータセンターが被災することで、サーバーの停止やデータの破損、場合によってはデータが全て消失する可能性もあります。
事故の原因・例
天災による事故として分かりやすい例が「地震によるデータセンターの倒壊」です。地震によって建物ごと倒壊したり、データセンター内のサーバーが倒れることで復旧不可能となったりします。その他、津波により建物ごと海に流された、といった事例もあります。
事故によるリスク
天災による事故は影響範囲が非常に大きく、データの完全消失や長期間の業務停止のリスクがあります。天災の場合、情報システムが無事で「完全性」は守られたとしても、通常業務そのものが停止するリスクもあります。
日本は地震大国といわれるほど頻繁に地震が発生していますので、災害時にも事業を継続できるように「事業継続計画(BCP)」もあわせて検討するとよいでしょう。
情報セキュリティ事故の影響
情報セキュリティ事故が発生した場合、実際にどのような影響が起きるのでしょうか。実際にセキュリティ事故が発生した場合、企業に与える影響について解説します。
企業への経済的影響
何かしらの問題によって障害が発生しシステムが停止した場合、その間はそのシステムが利用できないため、場合によっては全社員の業務が停止することもあるでしょう。例えば工場のシステム不具合により生産ラインが停止した場合、本来製造できるはずだった出荷製品がつくれず出荷遅延となり、機会損失が生じる可能性があります。
データが破損した場合には復旧に時間とコストがかかることになります。その他、他社へ影響を与えた場合、裁判となり訴訟費用や賠償金が発生する場合もあるでしょう。
顧客への影響と信用失墜
情報セキュリティ事故が発生した場合、その規模によっては顧客の業務に影響を与えることがあります。最悪の場合、自社だけでなく顧客の業務も停止することになるため、賠償責任を負う可能性があるでしょう。影響が一部で済めばよいのですが、万が一個人情報が漏えいした場合、社会的な信用も失う可能性があります。
サイバー攻撃が原因で自社に落ち度がなかったとしても、「この会社は情報漏えいを起こした」と社会に認識されてしまいます。信用回復には多大な時間とコストがかかることを忘れないようにしましょう。
情報セキュリティ事故後の対処法
情報セキュリティ事故の恐ろしさを理解したところで、実際に発生した場合にはどのような対処が必要であるかを解説します。
迅速に対応し被害拡大を防ぐ
情報セキュリティ事故の対策として最も重要なのが、「被害を最小限に抑える」ということです。残念ながら、「情報セキュリティ事故を完全に防ぐことは不可能」であると考え、事故が発生する可能性があることを前提として行動しましょう。
そこで重要なのが、「情報セキュリティインシデントの検知と対応」です。情報セキュリティ事故になる前の情報セキュリティインシデントの時点で事象を検知し対応することで、被害を最小限に抑えることが可能になります。
再発防止策の実施
もし情報セキュリティ事故が発生した場合は、同様の事故が再発しないように対策をします。
ここで重要なのは、「気を付ける」や「二重チェックする」といった対策は無意味であるという点です。人間はミスをする生き物である以上、ヒューマンエラーを完全になくすことは事実上不可能です。対策として人間のチェックを入れたとしても、そのチェックが万全である可能性は低いと考えましょう。
ヒューマンエラーが原因で発生した情報セキュリティ事故の場合は特に、そのエラーが発生しないようにする仕組みを導入するか、ミスが発生しても直ちに影響が出ないような仕組みを導入し、人間の意識の外で防止するような対策を実施しましょう。
情報セキュリティ事故を防ぐためにできること
情報セキュリティ事故の発生確率を最小限に抑えるためには、日常的な対策が必要不可欠です。ここでは、日常から実施できる防止策について解説します。
定期的なセキュリティ監査
情報セキュリティ対策を実施する上で、定期的なセキュリティ監査を実施することは非常に有用であるとされています。監査を通して情報システムの現状を確認することで、潜在的なリスクを早期に発見し、対策を講じることができます。
監査の際は専門家による実施を前提とし、最新の情報セキュリティ事情を加味して監査することを忘れないようにしてください。
社員の教育と訓練の実施
サイバー攻撃の多くは、社員が利用しているパソコンを攻撃してマルウェアに感染させ、そこを経由して社内ネットワークに侵入します。そのため、全社員に対して情報セキュリティ教育を実施して意識づけすることや、訓練を通して実践的な対策を行うことが重要です。
例えば、「怪しいメールは開かない」「怪しい添付ファイルは開かない」、「怪しいWebサイトへはアクセスしない」といった教育が必要です。
情報セキュリティ事故の事例
ここからは、実際に発生したセキュリティ事故を紹介します。
ランサムウェアによる操業停止
2024年6月、大手出版企業のKADOKAWAの子会社であるドワンゴ社がサイバー攻撃を受け、大規模な障害が発生しました。ランサムウェアによって複数のサーバーが暗号化され、同社のサービスである「ニコニコ動画」が完全停止しました。
ハッカーの声明によると、社内文書だけでなく同社が管理する個人情報の一部も漏えいしたと見られており、同社に対して多大な影響を及ぼしています。
通信網へのサイバー攻撃
2022年に、海外で利用されている通信衛星網がサイバー攻撃を受け、2週間以上にわたり正常な通信ができない状態となりました。
衛星通信は、宇宙に打ち上げられた人工衛星を介して通信をする技術で、地上にある「サテライトモデム」が人工衛星と通信します。複数箇所にあるサテライトモデムは、この人工衛星を介することでインターネット通信が可能となります。攻撃者はこのサテライトモデムに対してDDos攻撃を仕掛けダウンさせ、対象のサテライトモデムを利用して通信していた業務システムが一時的に利用不可となりました。
DDoS攻撃により通信を混乱させた攻撃者は、ネットワーク機器の脆弱性を悪用してVPNへ侵入し、結果として他ネットワークへの認証情報が盗み出されました。
認証機構を強化し、不正アクセスを入口で防ぐ
大きな話題となる情報セキュリティ事故の多くは、サイバー攻撃による情報漏えいです。
前述のとおり、サイバー攻撃の多くは社員が利用している端末がマルウェアに感染することで発生します。社員が利用している端末がサイバー攻撃を受けた際に被害を最小限に抑えるためには、「入り口で抑える」ということが重要です。
外部の攻撃者による不正アクセスから社員を守るためには、適切なユーザー管理とアクセス制限をすることが重要です。
HENNGE OneのIndentity Editionはアクセス管理を提供するIDaaS(Identity as a Service)で、Microsoft 365やGoogle Workspace、Boxをはじめとしたさまざまな企業向けクラウドサービスに対するユーザー管理やアクセス権を一元管理できます。
パスワードレスや脱VPNといった「ゼロトラスト」にも対応しているため、クラウドサービスの利便性とセキュリティの両立を考えている企業の方は、ぜひご検討ください。
HENNGE One
まとめ
情報セキュリティ事故の基本的な考え方や企業に与える影響や事例、そしてその対策などについて解説しました。情報セキュリティ事故を防ぐためには、日常的な対策や社員一人ひとりの意識づけが非常に重要です。
とはいえ、社員がどんなに注意しても完全に防ぐことは難しいといえます。自社の業務にあわせて適切なソリューションを導入し、社員の負担を増やさずにセキュリティ強化をするようにしましょう。
- カテゴリ:
- セキュリティ動向