セキュリティインシデントへの備えを進めたいものの、何から手をつければ良いか迷っていないでしょうか。原因や種類は幅広く、対応を誤れば情報漏えいや業務停止といった深刻な事態にもつながります。

この記事では、セキュリティインシデントとは何かをはじめ、発生する原因や具体的な種類、実際に企業で起きた被害事例を紹介します。合わせて、発生時の対応ステップや予防のための対策も分かりやすく解説しますので、自社のセキュリティ体制を見直す際の参考にしてください。

セキュリティインシデントとは?

セキュリティインシデントとは、一般的に組織の情報セキュリティ体制を脅かすセキュリティ上好ましくない事象や事故のことを指します。セキュリティインシデントにはDoS攻撃や不正アクセス、マルウェアへの感染といった外部攻撃によるものや、記憶媒体(USBメモリなど)の紛失やCPUの破損、情報の盗難といった組織内部の人間に起因する事象も含まれます。

このように内部・外部に関わらず情報資産が流出や紛失の危機に晒されることを総括してセキュリティインシデントと呼びます。

なお、情報セキュリティマネジメントシステム認証規格であるISO27001 を日本語訳したJIS Q 27000では、セキュリティインシデントについて以下のように定義されています。

望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
出典:JIS Q27000:2019「3.31 情報セキュリティインシデント」

セキュリティインシデントが発生する原因

セキュリティインシデントが起こる原因は、大きく外的要因・内的要因・災害やサービス障害の3つに分けられます。原因のパターンを知っておくと、自社のどこに弱点があるのかを考えるきっかけになります。

外的要因は、外部の第三者による意図的な攻撃です。マルウェアの送り込みや不正アクセス、システムの脆弱性を突いた侵入などが代表例にあたります。近年は手口が巧妙化しており、特定の企業を狙った標的型攻撃や、取引先を踏み台にする攻撃も増えました。自社だけが気をつければ防げるとは限らない点に注意が必要です。

内的要因は、組織の内部から発生するものです。従業員のメール誤送信や設定ミス、端末の紛失といったうっかりミスのほか、悪意を持った関係者による情報の持ち出しも含まれます。内部はチェックが甘くなりがちで、被害が長期間気づかれないケースも少なくありません。

災害やサービス障害も、見落とせない原因の1つです。地震や火災、停電によって機器が損傷したり、利用しているクラウドサービスの障害でデータにアクセスできなくなったりすることがあります。このように、セキュリティインシデントの原因は決して1つではありません。外部からの攻撃への対策に加えて、内部の運用ルールや災害への備えまで含めて考えるべきだと言えます。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

情報セキュリティインシデントの例

以下では、先程挙げた情報セキュリティインシデントの具体的な例について説明しましょう。

マルウェア感染

マルウェアとは、有名なものだとトロイの木馬のようなコンピューターウイルスのことを言います。世の中に出回っている多くのソフトウェアは、コンピューターを動かすことができるコード(プログラム)によって構成されていますが、マルウェアはソフトウェアの中でも不正かつ有害にコンピューターを動作させる目的で作成されたもののことです。

例えば「△△ができるツール」と装って構築されたプログラムが実はユーザーが意図しない別なソースコードを持っていて、情報を盗み取られるということも日常的に発生しています。中にはネットワークの内部に入り込み、直接ウイルスを仕込まれるケースも存在します。

不正アクセス

社内サーバーやネットワークの脆弱性を突き、不正にアクセスをしようとする攻撃がこれです。ソフトウェアを古い状態のまま利用していたり、あまりにも推測されやすいパスワードを利用したりしていると不正アクセスを受けることがあります。

また、WEBサービスの場合はSQLインジェクションなどの対策をしておかなければ、外部から顧客情報やパスワードを盗み取られてしまい、そこから不正アクセスにつながることもあります。

情報漏えい

情報漏えいとは、望まない人や場所に情報が流れてしまうことを指します。上述の不正アクセスやマルウェアの感染によって情報漏えいをすることもありますが、メールの誤送信や内部人員の不注意によって顧客情報や企業の情報資産が漏えいすることもあります。

情報改ざん

情報改ざんとは、データの内容を変えてしまうことを指します。情報が盗み出されるのではなく、情報が改ざんされるケースもあります。

DoS攻撃

DoS攻撃とは、サーバーやネットワークに意図的に過剰な負荷をかけることを言います。例えば複数のコンピューターでWEBサイトに短期間で何度もアクセスしたり、サーバーに不正なリクエストを送信することによって脆弱性を突いたりする攻撃がDoS攻撃にあたります。

記憶媒体の紛失や盗難

記憶媒体とはコンピューターそのものやUSBメモリなどのデータを記録するメディアのことを指します。こういった記録媒体に重要な顧客情報や情報資産が記録されていた場合、紛失や盗難は甚大なセキュリティリスクになります。

セキュリティインシデントの被害事例

セキュリティインシデントは、規模や業種を問わずどの企業にも起こりえます。ここでは、実際に国内の大手企業で起きた被害事例を2つ紹介します。自社で対策を考えるときの参考にしてみてください。

アサヒグループホールディングスのランサムウェア被害事例

アサヒグループホールディングスは、2025年9月に発生したサイバー攻撃の被害を公表しました。同社によると、拠点のネットワーク機器を経由して外部の攻撃者が侵入し、ランサムウェアによって複数のサーバーや一部のパソコン端末が暗号化されたとのことです。

攻撃者は管理者権限を奪い、内部を探索しながら被害を広げていきました。受注や出荷に関わるシステムが停止し、一時は手作業での対応を迫られています。個人情報については、漏えいのおそれがある件数が多数にのぼり、その一部で漏えいが確認されたと報告されました。

同社はネットワークの遮断やデータセンターの隔離といった初動対応を行い、外部の専門機関と協力して復旧を進めています。1社が受けた被害が事業全体に及ぶことを示す事例だと言えます。

出典:アサヒグループホールディングス株式会社「サイバー攻撃被害の再発防止策とガバナンス体制の強化について」

NTT西日本グループにおける不正な情報持ち出しの事例

NTT西日本グループでは、子会社のシステム運用保守を担っていた元派遣社員が、顧客情報を不正に持ち出していた事例が明らかになりました。報告によると、システムの管理者権限を悪用し、約10年間にわたって情報がダウンロードされ、外部へ流出していたとされています。

流出した顧客情報は約928万件にのぼり、氏名や住所などが含まれていました。長期間にわたって発覚しなかった背景には、内部の管理体制やチェックの仕組みに課題があったと指摘されています。

この事例は、外部からの攻撃だけでなく、内部の人間による不正も大きなリスクになることを示しています。権限管理やログの監視といった、内部に向けた対策の重要性が分かる事例です。

出典:西日本電信電話株式会社「調査報告書」
累計ダウンロード10,000件突破!ISO27001丸わかり説明資料

セキュリティインシデントが発生したときの対応ステップ

実際にセキュリティインシデントが起きてしまったとき、慌てず順序立てて動けるかどうかで被害の大きさは変わります。ここでは、IPA(情報処理推進機構)の資料などをもとに、対応の流れを3つのステップに分けて紹介します。

検知・初動対応

最初のステップは、異常の検知と初動対応です。インシデントは、システムの監視や従業員からの報告、外部からの指摘などによって発覚します。早く気づくほど、被害を小さく抑えられます。

異常を確認したら、まずは被害の拡大を止めることが優先です。感染した端末をネットワークから切り離す、不正に使われたアカウントを停止するなど、影響範囲を広げない措置をとります。アサヒグループの事例でも、早い段階でネットワークを遮断し、データセンターを隔離する対応がとられました。

同時に、いつ・何が・どこで起きたのかという事実を記録しておくことも大切になります。後の調査や報告の土台になるためです。

報告・公表

次のステップは、関係者への報告と公表です。社内では、責任者や経営層へ速やかに状況を伝え、対応方針を判断できるようにします。報告のルートをあらかじめ決めておくと、初動が遅れません。

個人情報の漏えいが疑われる場合は、個人情報保護委員会への報告が必要になります。法令では、漏えいを知ったときから速やかに報告し、本人へも通知することが求められています。対象となる相手が多いときほど、早めの準備が欠かせません。

被害が顧客や取引先に及ぶ可能性があるなら、状況に応じて公表も検討します。隠そうとすると、かえって信頼を失うことにつながりかねません。分かっている事実を正確に伝える姿勢が、二次被害の防止にも役立ちます。

復旧・再発防止

最後のステップは、システムの復旧と再発防止です。原因を特定するために、外部の専門機関によるフォレンジック調査を行うケースもあります。安全が確認できたバックアップからシステムを戻し、健全性を確かめてから業務を再開します。復旧を急ぐあまり、原因を残したまま再開すると、再び被害に遭うおそれがあります。攻撃の入り口になった部分を確実にふさぐことが大切です。

そして、同じインシデントを繰り返さないための見直しも欠かせません。アサヒグループは、攻撃経路となった機器の廃止や監視の自動化、権限管理の強化などを再発防止策として挙げています。一連の対応を振り返り、ルールや体制を改善していく姿勢が、次の備えにつながります。

セキュリティインシデントを防ぐための対策方法

ISO27001の認証を取得する段階では、すべてのセキュリティインシデントに対応することはほとんどの場合不可能でしょう。それほどまでにITの技術は進歩しており、複雑な技術が用いられており、「完璧なセキュリティ」はむしろ存在しないと考えておくほうが良いです。

では、情報セキュリティマネジメントシステムとしてセキュリティインシデントにはどのように対応すれば良いのでしょうか?

セキュリティポリシーの策定

対策の土台になるのが、組織としての方針を定めたセキュリティポリシーの策定です。情報をどのように扱い、誰がどこまでアクセスできるのかといったルールを文書にまとめておきます。判断に迷う場面でも、全社で共通の基準があれば、対応のばらつきを防げます。

ポリシーは一度作って終わりではありません。事業内容や脅威の変化に合わせて定期的に見直し、現場で守られているかを確認することが大切です。

セキュリティ体制の構築

次に必要なのが、ポリシーを実際に動かすための体制づくりです。インシデントに対応する専門チームであるCSIRTを設けると、発生時に誰が何をするのかがはっきりします。検知から報告、復旧までの役割を事前に決めておくことで、いざというときに動きが早くなります。

社内だけで対応が難しい場合に備え、外部の専門機関やセキュリティベンダーと連携できる窓口を用意しておくと安心です。責任の所在を明確にしておく姿勢が、迅速な対応につながります。

関連記事:情報セキュリティにおける4つのリスク対応

情報システムの保守

定期的にバックアップをとったり、システムチェックを行ったりといったシステムの保守はシステマチックに行うようにしましょう。

例えば、「2週間に1度はシステムの点検を行う」「パスワードは大文字小文字と数字を組み合わせた13桁以上で設定する」というルールづくりはマネジメントシステムとして持っておくべき役割と言えるでしょう。

情報収集

海外ではセキュリティ上のリスクについては企業間で共有し合う体制が整っていることがありますが、日本ではまだまだその体制が整っていません。しかし、システムの脆弱性や新たなリスクというのは日々発見されています。

常にセキュリティ上のリスクについてはアンテナを張っておき、脆弱性が見つかったら対策を行うようにする仕組みはマネジメントシステムとして組み込んでおくべきでしょう。

従業員のセキュリティリテラシー向上

最後に欠かせないのが、従業員一人ひとりの意識を高める取り組みです。インシデントの多くは、不審なメールを開いてしまうなど、人のちょっとした行動がきっかけになります。どれほど仕組みを整えても、使う人の意識が低ければ穴ができてしまいます。

定期的な研修や、実際の攻撃を模した訓練を通じて、危険を見分ける力を身につけてもらうことが効果的です。一人ひとりが当事者として考えられるようになると、組織全体の守りが強化されます。

累計ダウンロード10,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ