セキュリティインシデントとは？種類や管理方法を解説

セキュリティインシデントとは、企業や組織の情報セキュリティに対して脅威となる事象のことです。マルウェアへの感染、アカウントの乗っ取りやなりすまし、不正アクセスなどが代表例として挙げられます。

近年は、テレワークの普及により会社以外の場所から会社のネットワークにアクセスしたり、ペーパーレス化によりオンラインで業務を行ったりする機会が増えました。これにともない、セキュリティインシデントの脅威も増大しておりさまざまな被害事例が報告されています。

セキュリティインシデントの種類は、サイバー攻撃をはじめ外部からの攻撃（外的要因）によるものと、社内の人物の故意、あるいは不注意による情報流出（内的要因）で発生するものに分けられます。

次章以降では、セキュリティインシデントの具体的な種類について、外的要因によるものと内的要因によるものの2種類に分けて解説します。

外的要因によって引き起こされるセキュリティインシデントは、主に以下の9種類があります。

マルウェア（malware）とは、攻撃対象となるPC等のデバイスやネットワークに、有害かつ不正な動作を起こさせるようなプログラムやソフトウェアのことです。マルウェアは、英語で「悪意のある」という意味のmaliciousと、ソフトウェア（software）を掛け合わせた造語です。

マルウェアに感染したデバイスやネットワークは、データの消失や破損、漏洩、個人情報・機密情報の窃取といった被害を受けます。また、感染したデバイス・ネットワークから勝手に外部と通信が行われ、機密データを送信されたり、操作ができなくなったりする被害が生じる可能性もあります。

マルウェアの具体例としては、プログラムの一部を書き換えて自己増殖を繰り返す「コンピュータウィルス」、プログラムを必要とせず自己増殖する「ワーム」、一見無害に見えるファイルなどを通じてデバイスに侵入する「トロイの木馬」などがあります。

また、最近は「ランサムウェア」と呼ばれるマルウェアの被害が増えています。ランサムウェアとは、コンピュータに保存したファイルやハードディスクを暗号化し、複号鍵と引き換えに金銭（身代金）を要求するマルウェアの一種です。
支払い要求に応じたとしても複号鍵を手に入れられる保証はなく、非常に悪質なことで知られています。日本でも、大手自動車メーカーや大手ゲームソフトメーカー、大学法人など、多くの企業や組織で被害が確認されています。

不正アクセスとは、本来権限を持たないユーザーがシステムやネットワークに不正に侵入し、機密情報へとアクセスする行為のことです。フィッシング行為によりパスワードを入力させたり、あらゆるパターンのパスワードを入力して解読したり（ブルートフォース攻撃）、さらにシステムの脆弱性を突いたりするなどの手口があります。

不正アクセスが発生すると、企業の機密情報の漏洩やデータの改ざん、消去、暗号化などの損害が発生する恐れがあるほか、マルウェア感染が引き起こされる可能性も高まります。

なりすましとは、悪意を持つ者が他者になりすまし、不正な行動を起こす事象です。
例えば、パスワード漏洩やマルウェア感染などを通じてネットワーク管理者のアカウントを入手し、管理者になりすまして機密情報を盗み出すケースや、実在する会社を名乗ってメールを送り、情報を窃取するケースなどがあります。また、社内の情報システム部門の担当者になりすまして情報を不正に入手する手口もあります。

迷惑メールとは、ユーザーにとって有害な情報や望ましくない内容が記載・添付されたメールのことです。添付ファイルを開くとマルウェアに感染したり、記載されたURLの遷移先のサイトでIDやパスワードを入力させようとしたりするなどの手口があります。

迷惑メールと疑われるメールは基本的に開かず、開いてしまったとしても添付ファイルのダウンロードや記載されているURLのクリックは絶対にしないなど、基本的な対策を徹底する必要があります。

DoS攻撃とは、Webサイトやサーバーに意図的に膨大なデータを送り込み、大きな負荷を与えるサイバー攻撃を指します。過大な負荷をかけることで、攻撃対象のサーバーやシステムをダウンさせることが目的です。

DoS攻撃は単一のコンピュータから攻撃を仕掛ける古典的な手口ですが、このほかにも、複数のコンピュータから同時に攻撃する「DDoS攻撃」と呼ばれる手法もあります。
DDoS攻撃は最近増加しているセキュリティインシデントの一つであり、DoS攻撃よりも大規模なダメージを与えることができる手法であることから、より深刻なセキュリティ脅威となっています。

地震や落雷、水害といった自然災害によりコンピュータやサーバーなどが被害を受けるケースもあります。データを一つの場所にまとめて管理している場合は、災害によって一度にすべてのデータが失われる危険性があります。

自然災害はいつ、どこで発生し、どれくらいの被害が生じるかが不確かです。しかし、起こり得るリスクを可能な限り想定し、重要なデータは複数のバックアップを作成するなど、被害の発生前に適切な対策を講じておくことが重要です。

標的型攻撃とは、特定の個人や組織を狙い、機密情報の窃取などを目的として行われるサイバー攻撃のことです。具体的には、取引先企業などを装い、業務に関連するような件名や文面のウイルス付きメール（標的型攻撃メール）を組織の担当者に送りつける手法が広く知られています。

また、ターゲットが普段利用しているWebサイトに不正なプログラムを仕込み、ターゲットがアクセスすることでマルウェアを感染させる「水飲み場攻撃」と呼ばれる手法もあります。水飲み場攻撃は検知が難しいものもあり、不正が仕込まれているか見分けるのは簡単ではありません。
標的型攻撃は、これまでは主に大手企業が標的とされてきましたが、近年では中小企業も攻撃の対象となっています。

ゼロデイ攻撃とは、製品提供者がまだ把握していない脆弱性や、脆弱性を改善・修正するプログラムが提供される前に、その不具合を狙って実行される攻撃のことです。製品の脆弱性が一般的に知られておらず、修正パッチがリリースされ適用可能となる当日よりも前の日、すなわち「0日」の状態で攻撃されるため、ゼロデイ攻撃と呼ばれています。

攻撃者は、OSやWebアプリに存在する脆弱性を見つけ出し、それに対する攻撃手法を開発してゼロデイ攻撃を実行します。脆弱性情報が一般に公開される前に攻撃が実行され、その時点では開発元も対策を完了していないため、攻撃を察知しにくく、被害が拡大しやすい特徴があります。

修正パッチを適用する前のセキュリティレベルが低くなっている状態を「セキュリティホール」と言いますが、この状態を放置しているとゼロデイ攻撃を受けやすくなります。そのため、修正パッチやアップデートの公表後にすぐに適用することが重要です。

改ざんは、Webサイトのコンテンツや組織内のファイル、システムなどが無断で変更・操作されることです。一般的には、金銭及び知的財産を狙った第三者によって行われるケースが多く見られます。
攻撃者は、ソフトウェア・OSの脆弱性を突いて攻撃対象となるWebサイトやシステムなどに侵入し、参照先URLやプログラムファイルを直接書き換えます。この他にも、メールやネットワークを介して管理者のコンピュータにマルウェアを感染させ、アカウントを乗っ取って改ざんを行う手口もあります。

改ざんを対策するには、定期的なプログラム・OS・ネットワーク診断、OSのアップデートに加え、Webサイト開発時に脆弱性へのリスクヘッジを行うといった対策が不可欠です。

なお、組織内でアカウント権限の管理が不十分なことで、組織内の関係者によって改ざん（書き換え）が行われてしまう場合もあります。そのため、内部の権限管理についても、見落とさずに徹底しましょう。

内的要因によって引き起こされるセキュリティインシデントには、主に以下の2種類があります。

情報漏洩は、企業・組織が保有する機密情報や、ネットワーク上でやりとりされるデータが外部に漏洩することを指します。情報漏洩は、マルウェアや不正アクセスといった外的要因だけでなく、データを取り扱う従業員の故意、あるいは不注意などの内的要因によるものもあります。

故意に情報漏洩を行う理由としては、競合他社に情報を渡すことで利益を得ようとするケース、転職先で前職の情報を活用しようとするケース、個人的な恨みや不満から組織に損害を与えようとするケースなどが考えられます。また、不注意によって情報漏洩する原因としては、間違った宛先にメールを送信するケースや、後述のようなデータ記憶媒体を不用意に持ち出すケースなどがあります。

USBメモリーをはじめとするデータ記憶媒体を持ち出して紛失したり、盗難に遭ったりすることで、データが漏洩するケースもよくみられます。
これらが起こる背景としては、従業員のセキュリティ意識の低さや、情報セキュリティに関するマニュアルやルール整備の不徹底などが挙げられます。

社外でデータが流出するケースに加え、オフィスに出入りする業者や他社の従業員がデータを持ち出し、機密情報を販売する事例も報告されています。

この場合も、社内における情報管理の甘さが原因となっていることがよくあります。

次章では、多岐にわたるセキュリティインシデントを適切に管理する方法をご紹介します。

セキュリティインシデントにはさまざまな種類がありますが、適切に管理し対応するためには、ITIL（Information Technology Infrastructure Library）に基づいたインシデント管理を行うことが重要です。

ITILは、ITサービスを提供する際に参照すべき事例をまとめたベストプラクティス集のことです。世界中のITシステム運用や、情報セキュリティの現場で活用されており、自社に合った運用を行うことでセキュリティインシデントの防止やインシデントによる悪影響を抑える効果が期待できます。

ITILに基づくインシデント管理については、以下の記事で詳しく解説していますのでぜひご覧ください。

インシデント管理とは？ITILに基づいた適切な運用方法、早期解決や再発防止のポイント

ITサービスを提供する際に参照すべきベストプラクティスとしてITILがあり、その一つとしてインシデント発生時に適切な対応を行うための「インシデント管理」というプロセスがあります。インシデントによる影響を抑えるため、ITシステム・サービスを運用する情報システム部門においてインシデント管理は非常に重要です。そこで本記事では、ITILインシデント管理のプロセスや課題、適切な運用方法をご紹介します。

セキュリティインシデントに対しては、同じ被害に遭わないようにインシデント事例を蓄積・分析し、適切に管理することが不可欠です。これにより、過去の知見を踏まえてインシデントの対応・解決を迅速に行うことができます。

しかし、自社でこれらを実施する体制を構築しようとすると、多大な工数がかかってしまいます。そこでおすすめなのが、インシデント対応のアウトソーシングです。

NTTデータ ウェーブが提供するWave PC Mateでは、PCの調達から導入、運用管理、撤去までのライフサイクルをワンスポットでサポートします。
セキュリティインシデントについても、情報の蓄積・分析から、インシデントへのサポートまで対応可能ですので、セキュリティを強化しながら業務効率を高めることができます。

詳しくは以下のページをご覧ください。

以下の資料では、法人PC運用の外部委託先の選定ポイントを解説していますので、ぜひご覧ください。