IT用語集 2022/06/16

セキュリティインシデントとは？原因と対策や事例など

企業においてITは、いまや経営戦略に欠かせない基盤になりました。その一方で、ITシステムのセキュリティ重要性は増し続けており、ひとたびセキュリティインシデントが発生すると、事業継続や信用に大きな影響が及ぶ可能性があります。

「セキュリティインシデント」という言葉は聞いたことがあっても、具体的に何を指すのか、どんな原因で起こり、どう備えるべきかまでは整理できていない方も多いのではないでしょうか。この記事では、セキュリティインシデントの概要、原因、種類、対策方法に加え、代表的な事例も交えて解説します。読み終える頃には、「自社では何を優先すべきか」「どこまで備えればよいか」を判断できる状態を目指します。

セキュリティインシデントとは

この章では、「セキュリティインシデント」が何を指すのかを定義し、混同しやすい用語の整理も行います。

セキュリティインシデントとは、情報セキュリティ上の事故や攻撃、または脅威となる事象を指します。例えば、不正アクセスやマルウェア感染などのサイバー攻撃を受けた場合や、情報漏えい事故が発生した場合に「セキュリティインシデントが発生した」と表現します。

なお、ITサービスマネジメントの文脈でも「インシデント」という言葉は使われますが、こちらはサービスの停止や品質低下など、正常な運用状態から外れた事象を指すことが一般的です。セキュリティインシデントは、その中でも情報セキュリティに関わる事象を扱うものだと整理すると理解しやすいでしょう。

「事故」だけでなく「兆候」もインシデントとして扱う

実務では、被害が確定してから動き出すと遅れがちです。そのため、例えば「不審なログインが急増した」「マルウェアの検知が出た」「管理者権限で不自然な操作が行われた」など、被害の確定前でも脅威となり得る事象をインシデントとして扱い、調査・封じ込めを開始するのが一般的です。インシデント対応は、起きた後の対処だけでなく、早期発見と初動の速さが被害を左右します。

2022年6月に実施した「企業ネットワーク及び関連システムに関する調査」の結果からも、多くの企業でインシデントが発生していたことが確認できました。

情報システム部門には、こうした事象を未然に防ぐことに加え、発生時に被害を最小化するための備えも求められます。

セキュリティインシデントが発生する原因

この章では、インシデントの原因を「技術」「運用」「人」の観点で整理し、どこに手を付けるべきかの見取り図を作ります。

セキュリティインシデントの原因は多種多様です。その中でも代表的なものとして、次の3点が挙げられます。

脆弱性への対策不足
社内システム、体制、環境のアップデート不足
社員のITリテラシー不足

サイバー攻撃は、OSやソフトウェアのセキュリティ上の弱点である脆弱性が狙われることから始まるケースが少なくありません。脆弱性が悪用されると、不正アクセスやマルウェア感染につながり、深刻なセキュリティインシデントへ発展する恐れがあります。

ITは常に進化しており、社内システムや運用体制、利用環境がその変化に追随できていない場合、結果として脆弱性対策の遅れや運用上の穴を生みやすくなります。旧来の前提で設計された仕組みを放置すると、攻撃の成立条件を満たしてしまうことがあるため注意が必要です。

また、社員のITリテラシーが不足していると、許可されていないクラウドサービスの利用による情報漏えい、マルウェアに汚染された不適切なソフトウェアのインストールによる感染拡大などを招く恐れがあります。

このように、セキュリティインシデントは外部からの攻撃だけでなく、内部の運用や行動を起点としても発生します。

「原因の連鎖」で起きるのが現実

インシデントは、単一要因で起きるよりも「複数の弱点が重なって成立する」ことが多いのが現実です。例えば、未更新の脆弱性が残っている、権限が過剰、ログ監視が弱い、教育が浸透していない、といった状態が重なると、侵入から被害拡大までが一気に進みます。対策も同様に、1つの施策で完結させず、層で支える設計が重要になります。

セキュリティインシデントの種類

この章では、インシデントを「外部要因」「内部要因」に分けて整理し、想定すべきリスク範囲を明確にします。

セキュリティインシデントの発生要因は、大きく外部要因と内部要因の2つに分けて考えることができます。

外部要因

外部要因は、サイバー攻撃をはじめとする外部からの攻撃です。不正アクセス、マルウェア感染、標的型メール攻撃などが代表例として挙げられます。特に近年は、特定の企業や人物を狙い、実在する人物やサービスになりすましてメールを送り付ける標的型メール攻撃にも注意が必要です。

内部要因

内部要因は、社員の不注意による人的ミスや、悪意を持った社員による情報の持ち出しなどです。人的ミスは珍しいものではなく、誤ってデータを削除するオペレーションミスや、業務用パソコンを移動中に紛失するといった事例も報告されています。

残念ながら、社員が悪意を持って情報を流出させる事例も存在します。ミスか故意かにかかわらず、情報を守るための仕組みづくりが欠かせません。

「外部×内部」の境界が曖昧なケースもある

例えば、外部攻撃がきっかけでも、被害拡大は内部要因（権限設計や運用）で決まることがあります。また、内部の誤操作が外部への情報流出につながるケースもあります。分類は理解のために有効ですが、対策は「入口」「権限」「監視」「教育」「復旧」を一体で設計する必要があります。

セキュリティインシデントへの対策

この章では、予防（起こさない）と対応（起きても広げない）をセットで準備する考え方を整理します。

セキュリティインシデントへの対策は、外部要因と内部要因の両面から進める必要があります。予防策に加え、発生時の対応までを含めて準備することで、被害を抑えやすくなります。

外部要因への対策

外部要因への対策としては、セキュリティ対策製品の導入、ネットワークへの不正侵入対策、デバイスの定期的なアップデートが挙げられます。導入する製品の例としては、ファイアウォール、IDS/IPS、WAFなどが代表的です。

ファイアウォール

ファイアウォールは、ネットワークの入口で通信を制御し、不審な通信や不要なポートへのアクセスを遮断するための基本的な対策です。公開範囲の見直しやルールの最小化が不十分だと、想定外の経路が残ることがあるため、定期的な棚卸しが重要です。

IDS/IPS

IDS/IPSは、ネットワーク上の不審な通信や攻撃パターンを検知し（IDS）、必要に応じて遮断する（IPS）仕組みです。侵入の兆候を早期に捉える助けになりますが、検知ルールの更新やアラートの運用設計がないと「鳴るだけ」で終わりやすいため、監視・対応の流れとセットで整備することが重要です。

WAF

WAFは、Webアプリケーションを狙う攻撃（例：不正なリクエストの送信）を検知・遮断するための対策です。WebサイトやWebシステムを公開している場合、ネットワーク機器だけでは防ぎにくい攻撃を扱える点が特徴です。適用対象（どのWebサービスに導入するか）と運用（例外ルールの扱い）を明確にしておくと効果が出やすくなります。

また、不正侵入対策には「認証」の強化が不可欠です。従来のパスワードだけに依存するのではなく、二段階認証や電子証明書などを利用した、より強固な認証の導入を検討するとよいでしょう。加えて、OSやソフトウェアの脆弱性に備えるため、業務用パソコンやサーバーは定期的にアップデートを行い、常に最新の状態を保つことが重要です。

アップデート運用を「仕組み」にする

アップデートは重要ですが、「忙しいから後回し」にされやすいのも現実です。対象機器の把握、適用状況の可視化、例外対応（止められないシステム）の扱いなど、運用を属人化させず仕組み化することが、継続性を左右します。

内部要因への対策

内部要因への対策としては、社員教育とセキュリティ人材の確保が有効です。社内のセキュリティルールを整備し、遵守してもらうことに加えて、ITリテラシー向上を目的とした教育を継続的に実施します。セキュリティの知識やスキルを持つ人材を採用・育成し、外部・内部要因に対する抵抗力を高めることも欠かせません。

教育は「年1回」では足りない

教育は実施しただけでは効果が出にくく、日々の業務の中で忘れられます。例えば、短時間の注意喚起を定期的に行う、実例に沿った演習を組み込む、ルール違反が起きたときに原因を振り返るなど、習慣化に近い設計が重要です。

内部不正に備える基本は「権限と記録」

内部不正をゼロにするのは困難ですが、権限を必要最小限にし、重要操作が追跡できる状態にしておくことで抑止と早期発見につながります。特に、共有アカウントや過剰権限は、事故時の原因特定を難しくしやすいため注意が必要です。

発生時対応の準備

未然に防ぐ対策だけでなく、発生してしまった場合の対応も事前に準備しておきましょう。セキュリティインシデント発生時の連絡手順、調査・封じ込めの進め方、復旧の優先順位などを整理しておくことで、対応の初動が早まり、被害拡大を抑えやすくなります。

初動で迷わないための最低限の型

実際の現場では、最初の数時間で被害が広がることがあります。最低限として「誰が判断するか」「どこに連絡するか」「どのシステムを優先して止めるか」「ログや証跡をどう確保するか」を決めておくと、初動で迷いにくくなります。

セキュリティインシデント事例

この章では、代表的な事例を通じて、インシデントが「損害」と「信用」の両面に影響する点を確認します。

セキュリティインシデントは企業規模の大小に関わらず、多くの企業で発生しています。ここでは、2つの事例を紹介します。

1つ目は、スマートフォン決済サービスを運営する企業の事例です。同社が運営するサーバーが不正アクセスを受け、加盟店に関する情報（名称・住所・代表者名など）が大量に流出したとされています。一般ユーザーの情報流出はないとされる一方で、サービスの信頼性に大きな影響を及ぼしました。

2つ目は、米国の大手パイプライン事業者の事例です。同社はランサムウェアを含むサイバー攻撃を受け、一時的に業務停止状態となりました。ランサムウェアはデータを暗号化して利用できなくし、解除のために身代金を要求するマルウェアです。社会インフラに関わる事業では、停止の影響が広範囲に及びやすく、業務停止が多大な損害につながる可能性があることが示されました。

事例は「自社の前提」に置き換えて考える

同じ攻撃でも、業種や運用によって被害の出方は変わります。例えば、顧客情報を多く扱うサービスでは信用面の影響が大きくなりやすく、社会インフラや基幹業務を担う企業では停止の影響が直接的な損害につながりやすくなります。自社にとって「止められないもの」「漏らせないもの」を先に定義しておくと、対策の優先順位が付けやすくなります。

ここで紹介した事例はあくまでも一例です。セキュリティインシデントは日常的に発生しており、発生すれば直接的な損害だけでなく、社会的信用にも大きな影響が及ぶことを覚えておきましょう。