セキュリティインシデントとは？発生原因・事例・対策方法を解説

テレワークやペーパーレスの普及によってデジタル化が進み、作業の効率化や生産性の向上を実現している企業は多いでしょう。一方で、セキュリティインシデントの発生件数が毎年増加している事実も無視できません。

ひとたび被害に遭えば、社会的信用の失墜、株価下落などによる金銭的損失を被るリスクがあるため、デジタル化を進めるのと同時に、セキュリティ対策をしっかりと実施することが大切です。セキュリティインシデントの発生原因を究明し、それぞれに適した対策を実施しましょう。

本記事は、セキュリティインシデントの概要や発生原因、対策方法について解説します。セキュリティを強化したい企業や、業務のデジタル化を進めているもののセキュリティインシデント対策が後回しになってしまっている企業の担当者は、ぜひ参考にしてください。

セキュリティインシデントとは

セキュリティインシデントとは、サイバー攻撃によるサービスの停止やヒューマンエラーによる情報漏えい、天災などによる事故など、企業の安全性を揺るがすような情報セキュリティに関する事象を指します。デジタル化が進み、インターネット上でデータをやり取りする機会が増えたため、正しい対策の実施を意識しなければ、セキュリティインシデントの危険性は高まってしまいます。

セキュリティマネジメントシステムの「JIS Q 27000:2019」で定義されている通り、セキュリティインシデントは企業経営を危機に陥れる可能性があるため、発生原因を理解して適切な対策を実施する必要があります。

セキュリティインシデントの発生原因

セキュリティインシデントが発生する原因には、以下の3つがあります。

• 外的要因
• 内的要因
• 災害・外部環境要因

発生原因を知ることで実施すべき対策が見えてくるため、しっかりと確認しておきましょう。

外的要因

外的要因とは、企業外部からの攻撃・脅威を指します。発生すると経営活動の停止に追い込まれることもあるため、外的要因によるセキュリティインシデントを防止する対策は欠かせません。

外的要因による具体的なセキュリティインシデントには、以下のような攻撃・脅威があります。

• ランサムウェア攻撃による身代金の要求
• 標的型攻撃による機密情報の盗取
• SQLインジェクション攻撃による情報漏えい
• 不正アクセスによるデータの改ざん・消去
• DDoS攻撃によるサーバダウン

内的要因

内的要因とは従業員のヒューマンエラーや不正など、企業内部から発生する攻撃・脅威を指します。独立行政法人 情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2024[組織]」^※1によると、「内部不正による情報漏えい等の被害」は第3位、「不注意による情報漏えい等の被害」は第6位にランクインしています。特に、内的要因によるセキュリティインシデントの発生件数が多いため、社内のセキュリティ体制を見直すことが大切です。

内的要因による具体的なセキュリティインシデントには、以下のようなものがあります。

• 記録媒体の紛失・盗難による情報漏えい
• メールの誤送信による情報漏えい
• シャドーITのマルウェア感染
• 推測されやすいID・パスワードが原因の不正アクセス
• 不適切なアクセス管理が原因のデータ改ざん・消去

災害・外部環境要因

停電・火災・地震などの災害や、外部サービスのシステム障害が原因でセキュリティインシデントが発生するケースもあります。これらは復旧までに時間がかかるケースも少なくないため、迅速に復旧できるよう事前に計画を練っておくことが重要です。

災害・外部環境要因による具体的なセキュリティインシデントには、以下のようなものがあります。

• 地震や火事が原因の設備崩壊
• 外部サービスのシステム障害に伴うサービスの停止
• 外部サーバの障害に伴うデータの損失

セキュリティインシデントによるリスク

また、個人情報や顧客情報の漏えいが発生すると、ユーザや取引先からの信用を失うことにつながります。また、近年は大規模なサプライチェーン攻撃が発生しているため、サプライチェーンでつながっている他社への攻撃によって、情報漏えいや工場の操業停止といったインシデントが発生するリスクが高まっています。

結果として、売り上げが減るだけでなく、損害賠償責任を負う恐れもあります。

一度失った信用を取り戻すのは時間がかかるため、インシデントを引き起こさないためにも、セキュリティ対策を万全にすることが重要です。

セキュリティインシデントの発生パターン

不正アクセスなどのセキュリティインシデントが発生するパターンには、主に以下の5つがあります。

• 不正アクセス
• マルウェア感染
• DoS攻撃
• 脆弱性の悪用
• ヒューマンエラーに起因するもの

被害に遭うきっかけや起こりうる具体例について解説します。

不正アクセス

不正アクセスとは、アクセス権限を持たない第三者がサーバやシステムの内部に侵入する行為です。OSやソフトウェアの脆弱性を狙ったり、ログインID・パスワードを不正に入手したりすることで起こり得ます。簡単すぎるパスワードを管理者が設定していたようなケースに発生することもあります。

不正アクセスされると、情報漏えいやWebサイトの改ざん、マルウェア感染などさまざまなセキュリティインシデントが発生します。

マルウェア感染

マルウェアとはワーム・スパイウェア・トロイの木馬など、コンピュータに悪影響を及ぼすウイルスの総称です。不正なサイトへアクセスしたり、メールでマルウェアが添付されたファイルを開封したりすることで感染します。USBメモリを経由した感染も問題視されています。

マルウェア感染による主な被害は、データの破壊・情報の抜き取り・スパムメールの発信などです。また近年は特にデータを暗号化し、復旧と引き換えに身代金を要求する「ランサムウェア」が増加しています。直接的な被害のほかに、マルウェア感染端末が別の組織を攻撃するために使用される「踏み台」や「Bot化」なども問題に上がります。

DoS攻撃

DoS攻撃とは、標的が提供するサービスの妨害を意図した攻撃です。妨害の方法は、標的サーバで使用しているソフトウェアの脆弱性を悪用した方法や、大量のリクエストやデータを送信しサーバのリソースやインターネット回線を逼迫（ひっぱく）させる方法が存在します。

特に後者の場合は、ウイルス等を使用して複数の端末から一斉にリクエストを送信する手法が使用され、このような手口をDDoS攻撃と呼びます。

DoS・DDoS攻撃の目的は競合サイトへの妨害や金銭目的の脅迫、コンテンツに対する抗議などです。攻撃を受けるとWebサイトにアクセスできなくなるため機会損失につながり、ユーザからの信用も低下します。

脆弱性の悪用

SQLインジェクション攻撃

SQLインジェクション攻撃とは、不正なSQLクエリをWebアプリケーションの入力フォームなどに注入し、データベースにアクセスして情報を盗んだり、データベースを改ざんしたりするサイバー攻撃の一種です。

SQLとはデータベースを操作するための命令文で、脆弱性のあるアプリケーションなどに不正なコードを注入することで個人情報を盗んだり、Webサイトの予約システムや通販システムなどの幅広いシステムを改ざんしたりします。

ヒューマンエラーに起因するもの

メールの誤送信

誤った宛先にメールを送信してしまうと、メールの文章や添付ファイルから個人情報や機密情報が漏えいするリスクがあります。重要な情報が漏れれば、総じて言えばリスクマネジメントができていない企業だとみなされ、社会からの信用が低下するでしょう。

誤送信の主な原因は、宛先の入力ミスや添付ファイルの誤りなどのヒューマンエラーが多くを占めます。ヒューマンエラーを完全に防ぐのは困難ですが、不注意による情報漏えいの被害は非常に多いため、企業全体で合理的にミスを減らすための機械的な対策が求められます。

記録媒体の持ち出し・紛失

USBメモリや外付けHDDなど社内の記録媒体を持ち出した際、外出先で紛失したり盗難の被害に遭ったりするセキュリティインシデントも少なくありません。記録媒体を第三者に閲覧されれば、情報漏えい事故につながります。

従業員が誰でも自由に記録媒体を持ち出せる状態を放置すれば、インシデントが発生する危険性が高まります。持ち出す際は管理者の許可を得る、個人が所有する記録媒体は使用しないといったルールの設定が求められます。また、パスワードつきの記録媒体を使用する、データを暗号化する、管理外の媒体を持ち込ませない、端末で利用できなくするという対策も有効です。

一方で、クラウドサービスを利用することで、物理媒体への保存自体を避けるべきであるという考え方が強まっているのが実情です。

セキュリティインシデントの事例

セキュリティインシデントは大企業・中小企業問わず、さまざまな事例が報告されています。最近の事例を踏まえて、同様の被害に遭わないように対策しましょう。

大手メーカーへの不正アクセス

大手メーカーが管理しているサーバの一部が、不正アクセスを受けるという被害が発生しました。顧客情報の流出は確認されなかったものの、同社やグループ会社の従業員1万5,000人以上の氏名、メールアドレスなどが外部に流出したと言われています。

同社はサーバの停止・隔離を行って不正アクセスに対処しましたが、その間、国内外の拠点で生産や出荷に影響が出ました。また同社従業員の個人情報が、一部サイトで公開されていたとの報告もあります。

ソフトウェア開発会社へのランサムウェア攻撃

あるソフトウェア開発会社は、同社が管理しているサーバがランサムウェア攻撃を受けたと発表しました。調査の結果、情報流出は確認されませんでしたが、データが第三者に盗まれた可能性を完全には否定できないとしています。

ランサムウェア攻撃の影響で専門家向けのクラウドサービスが1カ月近く停止し、約3,000ユーザ以上に影響が出ました。サービス停止に伴い、売り上げが減少し、さらに、調査費用やクラウド基盤の再構築にコストがかかるなど、経済面で大きな悪影響を受けました。

大手メーカーの設定ミスによる情報漏えい

大手メーカーの子会社で管理していた製品に関する番号や位置情報など大量の個人情報が漏えいしていることが発覚しました。データを取り扱っていた子会社の従業員がシステムの設定を誤り、外部から個人情報を閲覧できる状態が10年も続いていたとのことです。

同社ではデータ取り扱いのルール化や社員教育の徹底、クラウド設定を監視するシステムの導入により、再発を防止するとしています。

セキュリティインシデントを防ぐための5つの対策

セキュリティを維持する体制の構築

セキュリティインシデントの発生リスクを低減させるには、セキュリティインシデントに対応するインシデントレスポンスの仕組みを構築しておくことが重要です。

経済産業省は、以下の3ステップでのセキュリティ体制の構築を推進しています。^※2

1. セキュリティリスクを把握し、リスクを低減させるためのタスクを明確化する
2. セキュリティの専門的な知見・経験をもつ「セキュリティ統括機能」を設置し、経営層の意思決定をサポートする
3. タスクをどの部署が担当するか割り当てを行い、セキュリティ統括機能と連携してタスクを実施する

セキュリティを維持する体制を構築することに加えて、実際の事象を想定しながら訓練と教育を繰り返し実施することが、各自の役割を果たす上で重要です。そうした取り組みにより、万が一セキュリティインシデントが発生した場合も迅速に対応できます。

IT資産を適切に管理する

セキュリティインシデント対策を行うには、まず自社が保有するIT資産を把握し適切に管理することが大切です。企業が保有するIT資産の数や種類が増加したことで、管理に手が回らず脆弱性を含む機器やソフトウェアが放置されるケースも少なくありません。

手間をかけずに管理するには、ASMやIT資産管理ツールを導入するのがおすすめです。ASMはサイバー攻撃の対象になり得るIT資産を把握してリスクを早期発見し、IT資産管理ツールは端末・ソフトウェアを一元管理し、パッチの配布やログの取得などを行います。

ここで重要なのは、発見された問題に適切に対応する仕組みの構築です。

脆弱性は常に新たに発見され、開発者に報告されており、そのたびに開発者は修正しています。そのため、最新バージョンに速やかにアップデートするために、ソフトウェアの最新バージョンや脆弱性報告状況を確認すべきです。

OS・ソフトウェアを最新状態に保つ

OSやソフトウェアは、常に最新状態に保つよう心がけましょう。アップデートしないまま放置しておくと、脆弱性を突いたサイバー攻撃を受けるリスクが高まります。

各ベンダーは定期的にプログラムの追加や脆弱性の修正を行っているため、新しいパッチが配信されたら速やかにアップデートを行うことが大切です。また時間の経過とともに、新たな脆弱性が発見されることもあります。即座に対応できるよう、ベンダーからの通知を見逃さないようにしましょう。

セキュリティツールを導入する

安全性を高めるには、セキュリティツールの導入も有効です。主なセキュリティツールには、以下のようなものがあります。

セキュリティツール	概要
ウイルス対策ソフト	コンピュータウイルスの検知・排除を行う
脆弱性診断ツール	システムやアプリケーションに潜む脆弱性を発見する
ファイアウォール	どの送信元と送信先の通信許可をするかの制御を行う
IDS/IPS	ネットワークやサーバの異常な通信を検知・防御する
WAF	Webアプリケーションの脆弱性を狙った攻撃を防ぐ

セキュリティツールを導入しておくと異常を早期発見できるため、被害の拡大を防げます。

定期的にセキュリティ研修を行う

セキュリティインシデントは、従業員によるヒューマンエラーや内部不正が原因であることが多いため、定期的にセキュリティ研修を実施するのが重要です。どれだけ外部の脅威に対するセキュリティ対策を実施しても、従業員のセキュリティ意識が低ければせっかくの防止策が機能しません。

セキュリティインシデントの発生リスクを低減させるために、社内ルールを明確にして、従業員一人一人にルールを順守させましょう。

また、ルールが維持できる環境であるかを聞き出せる仕組みも必要です。例えば、それを守ると業務を遂行できないようなルールが存在していたら、従業員はそのルールを破らざるを得ません。ルールを定める側が状況を正しく把握し、環境を改善しなくてはならないでしょう。

セキュリティインシデントが発生した際の対応方法

万が一セキュリティインシデントが発生した場合は、被害を拡大させないために適切な対応を実施する必要があります。

「インシデントレスポンス」の最初のステップは「検知」です。従業員の多くが「おかしい」と思った際に、それを速やかに報告する、できる体制を持っておく必要があります。そのために報告窓口の設置が不可欠という指摘もあります。

ここでは、基本的な対応手順を紹介します。内容を押さえて、迅速に対応できる体制を整えておきましょう。

①インシデントを発見したら速やかに報告する

セキュリティインシデントが発生したら、速やかに責任者に報告しましょう。中途半端な対応をすると、情報が外部に漏れたり、セキュリティインシデントの証拠が消えたりなど、かえってリスクが高まるため注意が必要です。

また、外部から通報があった場合は、相手の連絡先を控えるのを忘れないようにしましょう。社内研修では、事実を発見した際の報告経路を確認しておくと、いざというときに対処しやすいです。

②被害拡大を防ぐための初動対応をする

被害の拡大や二次被害を防ぐために、速やかに応急処置を実施しましょう。端末をネットワークから切り離す、Webサイトの公開を停止する、ウイルスを駆除するなどが応急処置に当たります。

特に重要なのは「誰が」この判断を下すかです。セキュリティに関して、組織におけるセキュリティ対策の責任者を明確にし、責任と権限の所在を明らかにしておかなければ、「決められない組織」になってしまいます。

またヒューマンエラーが原因の場合は、当事者に事実確認を行って二次被害を防ぐ対応を実施しましょう。

③発生した事象について詳細な調査を行う

初動対応が完了したら、5W1H（いつ・誰が・どこで・何を・なぜ・どうしたのか）に沿って、セキュリティインシデントの具体的な調査を行いましょう。調査結果にはセキュリティインシデントの被害状況や初動対応、事後対策を記載します。

またシステムログを確認し、被害に関する情報や証拠を確保しておきましょう。さらに言えば、端末ログは改ざんされる可能性があるため、EDR（Endpoint Detection and Response）やSyslogなどで外部にログを保存できるとより良いと言えます。

④社外へ通知・報告・公表などを行う

調査結果がまとまったら、被害者や二次被害の恐れのある関係各所へ通知・報告・公表しましょう。

2022年4月の「個人情報保護法」改正により、情報漏えいによって個人の権利利益を害する恐れがある際は、本人ならびに個人情報保護委員会への報告が義務化されました。本人へ直接通知が難しいときは、自社のWebサイトで公表したり、問い合わせ窓口を設置したりといった代替措置も可能です。

内部不正や脅迫など犯罪性がある場合は、被害状況について警察や監督官庁に届け出ます。ただし、公表することで被害が拡大する恐れがある場合は、公表する対象や時期を考慮するのが重要です。

⑤被害の拡大を抑制する措置と、事態の復旧に向けた対策をとる

セキュリティインシデントによる被害の拡大防止と、復旧のための措置を行います。被害の相談窓口を設け、被害が発生した際に素早く対応できる環境を整備しておきましょう。

また再発防止の具体的な対策を実施し、停止していたシステムやサービスの復旧を進めます。

⑥再発防止策の実施や調査報告書の作成などを行う

セキュリティインシデントに対する抜本的な再発防止策を検討し、実施します。セキュリティツールの導入や従業員の教育などが主な対策例です。また調査報告書を経営層に提示し、必要に応じて情報漏えいの被害者に対する補償・賠償を行いましょう。

セキュリティインシデント対策をして被害を防ごう

セキュリティインシデントの原因は、サイバー攻撃・ヒューマンエラー・災害などさまざまで、年々発生件数が増加傾向にあります。セキュリティインシデントによって業務が停止したり情報が漏えいしたりすると、ユーザや取引先からの信用が損なわれる恐れがあります。また原因調査や事後対応のコストなどもかかるでしょう。

セキュリティインシデントを防止するには、不正アクセスやマルウェア感染などの発生パターンを押さえて、適切なセキュリティ体制を整えることが大切です。事象が起きた後の流れについても、社内でルールを作り、周知しておくことが求められます。

本記事で紹介した対策を実施し、デジタル化を進めつつ企業の情報セキュリティを強化しましょう。

参考情報

※1 情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

※2 経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver2.0 付録F サイバーセキュリティ体制構築・人材確保の手引き 第2.0版」（令和4年6月15日公開）