情報セキュリティのインシデントとはどのようなものなのか?
- セキュリティインシデントとは、組織の情報セキュリティ上好ましくない事象のこと
- セキュリティインシデントには、外部攻撃に起因するものだけでなく、組織内部に起因するものがある
ISO27001の要求事項では、セキュリティインシデントという言葉が出てきます。セキュリティインシデントとは、どういった意味のものなのでしょうか? 今回は、情報セキュリティインシデントについて解説していきたいと思います。
目次
セキュリティインシデントとは?
セキュリティインシデントとは、一般的に組織の情報セキュリティ体制を脅かすセキュリティ上好ましくない事象や事故のことを指します。セキュリティインシデントにはDoS攻撃や不正アクセス、マルウェアへの感染といった外部攻撃によるものや、記憶媒体(USBメモリなど)の紛失やCPUの破損、情報の盗難といった組織内部の人間に起因する事象も含まれます。
このように内部・外部に関わらず情報資産が流出や紛失の危機に晒されることを総括してセキュリティインシデントと呼ぶのです。
なお、情報セキュリティマネジメントシステムの認証規格であるISO27001を日本語訳したJIS Q 27000では、セキュリティインシデントについて以下のように定義されています。
望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
【出典】JIS Q27000:2014(2.36 情報セキュリティインシデント)
情報セキュリティインシデントの例
以下では、先程挙げた情報セキュリティインシデントの具体的な例について説明していきましょう。
マルウェア感染
マルウェアとは、有名なものだとトロイの木馬のようなコンピューターウイルスのことを言います。世の中に出回っている多くのソフトウェアは、コンピューターを動かすことができるコード(プログラム)によって構成されていますが、マルウェアはソフトウェアの中でも不正かつ有害にコンピューターを動作させる目的で作成されたもの のことです。
例えば「△△ができるツール」と装って構築されたプログラムが実はユーザーが意図しない別なソースコードを持っていて、情報を盗み取られるということも日常的に発生しています。中にはネットワークの内部に入り込み、直接ウイルスを仕込まれるケースも存在します。
不正アクセス
社内サーバーやネットワークの脆弱性を突き、不正にアクセスをしようとする攻撃がこれです。ソフトウェアを古い状態のまま利用していたり、あまりにも推測されやすいパスワードを利用したりしていると不正アクセスを受けることがあります。
また、WEBサービスの場合は
SQLインジェクションなどの対策をしておかなければ、外部から顧客情報やパスワードを盗み取られてしまい、そこから不正アクセスにつながることもあります。情報漏えい
情報漏えいとは、望まない人や場所に情報が流れてしまうことを指します。上述の不正アクセスやマルウェアの感染によって情報漏えいをすることもありますが、メールの誤送信や内部人員の不注意によって顧客情報や企業の情報資産が漏えいすることもあります。
情報改ざん
情報改ざんとは、データの内容を変えてしまうことを指します。情報が盗み出されるのではなく、情報が改ざんされるケースもあります。
Dos攻撃
Dos攻撃とは、サーバーやネットワークに意図的に過剰な不可をかけることを言います。例えば複数のコンピューターでWEBサイトに短期間で何度もアクセスしたり、サーバーに不正なリクエストを送信することによって脆弱性を突いたりする攻撃がこれです。
記憶媒体の紛失や盗難
記憶媒体とはコンピューターそのものやUSBメモリなどのデータを記録するメディアのことを指します。こういった記録媒体に重要な顧客情報や情報資産が記録されていた場合、紛失や盗難は甚大なセキュリティリスクになります。
セキュリティインシデントにはどのように対応するのか
ISO27001の認証を取得する段階では、全てのセキュリティインシデントに対応することはほとんどの場合不可能でしょう。それほどまでにITの技術は進歩しており、複雑な技術が用いられており、「完璧なセキュリティ」はむしろ存在しないと考えておくほうが良いです。
では、情報セキュリティマネジメントシステムとしてセキュリティインシデントにはどのように対応すれば良いのでしょうか?
セキュリティ体制の構築
リスクアセスメントの結果重大であると考えられるリスクに対応するのはもちろんですが、予期しないセキュリティインシデントが発生した場合に被害を最小限に抑える仕組みを構築しておきましょう。
ここで言うセキュリティ体制とは、「有効なセキュリティソフトを導入する」といった体制だけでなく、「緊急時マニュアルの準備」や「緊急対応チームの編成」などといった体制の整備も含まれます。
情報システムの保守
定期的にバックアップをとったり、システムチェックを行ったりといったシステムの保守はシステマチックに行うようにしましょう。
例えば、「2週間に1度はシステムの点検を行う」とか、「パスワードは大文字小文字と数字を組み合わせた13桁以上で設定する」というルールづくりはマネジメントシステムとして持っておくべき役割といえるでしょう。
情報収集
海外ではセキュリティ上のリスクについては企業間で共有し合う体制が整っていることがありますが、日本ではまだまだその体制が整っていません。しかし、システムの脆弱性や新たなリスクというのは日々発見されています。
常にセキュリティ上のリスクについてはアンテナを貼っておき、脆弱性が見つかったら対策を行うようにする仕組みはマネジメントシステムとして組み込んでおくべきでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい