情報セキュリティのインシデントとはどのようなものなのか?

投稿日:

ISOプロ担当者

最終更新日: 2019年12月06日

mistake-876597_960_720 (1)

ISO27001の要求事項では、セキュリティインシデントという言葉が出てきます。セキュリティインシデントとは、どういった意味のものなのでしょうか? 今回は、情報セキュリティインシデントについて解説していきたいと思います。

セキュリティインシデントとは?

セキュリティインシデントとは、事業運営を危うくする確率の高い情報セキュリティ事象のことを言います。英語では、information security incidentと言いますが、incidentはもともと事件や事故という意味を持つ単語です。

もう少し噛み砕いて説明すると、セキュリティインシデントとは、情報セキュリティ上の好ましくない事態のことで、具体的にはコンピューターウイルスなどのマルウェア感染、不正アクセス、情報改ざん、情報漏えい、Dos攻撃、記憶媒体の紛失や盗難などが含まれます。

こういった内部・外部に関わらず情報セキュリティ上好ましくないもののことを総括してセキュリティインシデントと呼ぶのです。

ISO27001を日本語訳したJIS Q 27000では、セキュリティインシデントについて以下のように定義されています。

望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
【出典】JIS Q27000:2014(2.36 情報セキュリティインシデント)

情報セキュリティインシデントの例

以下では、先程挙げた情報セキュリティインシデントの具体的な例について説明していきましょう。

マルウェア感染

マルウェアとは、有名なものだとトロイの木馬のようなコンピューターウイルスのことを言います。世の中に出回っている多くのソフトウェアは、コンピューターを動かすことができるコード(プログラム)によって構成されていますが、マルウェアはソフトウェアの中でも不正かつ有害にコンピューターを動作させる目的で作成されたもののことです。

例えば「△△ができるツール」と装って構築されたプログラムが実はユーザーが意図しない別なソースコードを持っていて、情報を盗み取られるということも日常的に発生しています。中にはネットワークの内部に入り込み、直接ウイルスを仕込まれるケースも存在します。

不正アクセス

社内サーバーやネットワークの脆弱性を突き、不正にアクセスをしようとする攻撃がこれです。ソフトウェアを古い状態のまま利用していたり、定期的にパスワードを変更したりしないでいると不正アクセスを受けることがあります。

情報漏えい

情報漏えいとは、望まない人や場所に情報が流れてしまうことを指します。上述の不正アクセスやマルウェアの感染によって情報漏えいをすることもありますが、メールの誤送信や内部人員の不注意によって顧客情報や企業の情報資産が漏えいすることもあります。

情報改ざん

情報改ざんとは、データの内容を変えてしまうことを指します。情報が盗み出されるのではなく、情報が改ざんされるケースもあります。

Dos攻撃

Dos攻撃とは、サーバーやネットワークに意図的に過剰な不可をかけることを言います。例えば複数のコンピューターでWEBサイトに短期間で何度もアクセスしたり、サーバーに不正なリクエストを送信することによって脆弱性を突いたりすることを指します。

記憶媒体の紛失や盗難

記憶媒体とはコンピューターそのものやUSBメモリなどのデータを記録するメディアのことを指します。こういった記録媒体に重要な顧客情報や情報資産が記録されていた場合、紛失や盗難は甚大なセキュリティリスクになります。

セキュリティインシデントにはどのように対応するのか

ISO27001の認証を取得する段階では、全てのセキュリティインシデントに対応することはほとんどの場合不可能でしょう。それほどまでにITの技術は進歩しており、複雑な技術が用いられており、「完璧なセキュリティ」はむしろ存在しないと考えておくほうが良いです。

では、情報セキュリティマネジメントシステムとしてセキュリティインシデントにはどのように対応すれば良いのでしょうか?

セキュリティ体制の構築

リスクアセスメントの結果重大であると考えられるリスクに対応するのはもちろんですが、予期しないセキュリティインシデントが発生した場合に被害を最小限に抑える仕組みを構築しておきましょう。

情報システムの保守

例えば定期的にバックアップをとったり、システムチェックを行ったりといったシステムの保守はシステマチックに行うようにしましょう。例えば、「2週間
に1度は点検を行う」とか、「パスワードは3ヶ月に1度変更する」というルールづくりはマネジメントシステムとして持っておくべき役割といえるでしょう。

情報収集

海外ではセキュリティ上のリスクについては企業間で共有し合う体制が整っていることがありますが、日本ではまだまだその体制が整っていません。しかし、システムの脆弱性や新たなリスクというのは日々発見されています。

常にセキュリティ上のリスクについてはアンテナを貼っておき、脆弱性が見つかったら対策を行うようにする仕組みはマネジメントシステムとして組み込んでおくべきでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1 text_contents05
2 ssl
3 EYE-1
4 checklist-2470307_960_720 (1)
5 無題5
6 photo-1509803874385-db7c23652552 (1)
7 03296b0dc8f905069a76056b80a28c26_s
8 00000

関連するおすすめ記事