近年、デジタル技術の加速度な発展に伴って、サイバー攻撃の脅威も年々高度化かつ多角化していく傾向にあります。セキュリティリスクを最小化するためには、マルウェアや不正アクセスに関する理解を深め、適切な対策を整備しなくてはなりません。本記事ではセキュリティ事故の事例や情報システム部門に求められる対応について解説します。
セキュリティ事故の影響
企業の基幹系システムやファイルサーバーには、従業員の個人情報や顧客情報、未発表のプロジェクト資料や経理・会計書類といった機密度の高いデータが保管されています。万が一このような機密データが漏洩した場合、企業の社会的信用の失墜を招くと同時に、売上機会の損失や顧客からの損害賠償請求、あるいは経営層に対する株主代表訴訟の提起など、経営基盤を揺るがす事態を招きかねません。警察庁の調査によると、令和4年上半期に報告されたランサムウェアの被害件数は114件となっており、調査対象となった企業の約55%が調査・復旧費用に1000万円以上のコストを要したと回答しています。
とくに現代は社会のさまざまなシーンでデジタル化が加速しているため、企業では堅牢な情報セキュリティ体制の整備が求められています。しかし、セキュリティ事故はマルウェアや不正アクセスのような外部要因だけではなく、従業員の管理ミスやモバイルデバイスの紛失といった内部要因に起因するケースも少なくないため、情報漏洩のリスクを完全に排除することはできません。そこで、いかにしてセキュリティリスクを最小化するかが重要な経営課題となります。
モバイル端末におけるセキュリティ事故の事例
近年はデジタル技術の進歩・発展に伴い、モバイル端末を業務領域で活用する企業が増加傾向にあります。デジタル化の進展とともに機密情報や重要データを取り扱う機会が増える一方で、こうしたモバイル端末のセキュリティ対策は遅れがちになっているのが現状です。ここではモバイル端末におけるセキュリティ事故の事例について解説します。Emotetによる被害
「Emotet(エモテット)」は2014年に世界中で大流行したマルウェアの一種で、主にEメールの添付ファイルに仕込まれるサイバー攻撃です。たとえば、大手企業や金融機関などの「なりすましメール」を送付し、ユーザーが添付ファイルをクリックすることで感染します。ある公益社団法人は関係者を装って送付されたEメールを開封したところEmotetに感染し、35件のアドレス帳と3265通のEメールが漏洩した可能性があると発表しました。
Emotetは添付されたWordやExcelなどのファイルを開かせ、「コンテンツの有効化」をクリックさせることで、仕込まれたマクロを動かします。基本的にiOSやAndroid OSでファイル中のマクロは実行できないため、スマートフォンやタブレットが感染する可能性は極めて低い確率しかありません。しかし、警察庁の調査によるとGoogle Chromeに保存されたクレジットカード番号や個人情報を窃取する機能が確認されており、感染したPCとモバイル端末の同期によって機密データが漏洩する可能性は十分に考えられます。
内部からの被害
先述したように、セキュリティ事故はEmotetのような外部要因だけではなく、ヒューマンエラーに起因するケースが少なくありません。たとえば、ある地方自治体の職員が約1000件の個人情報が保管されているモバイルPCを紛失し、対策を講じないまま約2年後にその事実を発表したという事例があります。この件は大きなセキュリティ事故に至らなかったものの、機密データの取り扱いや持ち出しに関するデータガバナンスが整備されていない点に問題があるといえるでしょう。
また、内部環境に起因するセキュリティ事故として多いのが、テレワーク環境におけるモバイルデバイスの紛失・盗難です。近年は働き方の推進や新型コロナウイルスの感染拡大などの影響により、テレワーク制度を推進する企業が増加傾向にあります。テレワーク環境ではオフィス外で業務に従事するため、スマートフォンやタブレット、外付けHDD、USBメモリなどの紛失・盗難によって機密データが漏洩するという事例が少なくありません。
情報システム部門が取るべき対応のポイント
セキュリティ事故を最小限に抑えるためには情報セキュリティガバナンスを整備し、問題の早期発見や被害の拡大防止などの仕組みを構築する必要があります。その役割を担うのが情報システム部門であり、具体的な対応のポイントとして挙げられるのが以下の6つです。
体制の整備
情報セキュリティガバナンスを整備する最初のステップは組織体制の整備です。セキュリティリスクを最小化するためには、情報セキュリティの重要性を組織全体で共有し、その意識を組織文化として定着させなくてはなりません。具体的には、データガバナンスの策定やITインフラの保守・運用に関わるチームの編成、社内研修や人材教育、ペーパーレス化による情報漏洩経路の削減といった仕組みの構築です。これらを通じて、情報セキュリティに関する基本的な方針を定める必要もあります。
発見・報告
冒頭で述べたように、セキュリティ事故の完全な排除は不可能といっても過言ではありません。大切なのはマルウェアや不正アクセスといったサイバー攻撃を的確に検知し、セキュリティ事故の発生を速やかに担当者へ報告する仕組みの構築です。また、問題が社内に限定されるのか、あるいは社外の関係者にまで被害が及ぶのかによって必要な対応が異なるため、セキュリティ事故のインシデントレベルを的確に判断する仕組みも求められます。
被害拡大防止の初動対応
セキュリティ事故の被害を最小限に抑えるためには、有事の際における初動の対応が何よりも重要です。具体的にはマルウェアに感染したデバイスのネットワークを遮断する、不正アクセスの痕跡が見られるアカウントを停止する、または重要ファイルを誤送信してしまった受信者に対して迅速に連絡するといった対策が挙げられます。セキュリティ事故を検知した場合、いかにして被害の拡大や二次災害を抑えるかが重要となるため、初動対応の方針を事前に策定しておくことが大切です。
事実関係の確認と情報開示
セキュリティ事故の発生を認識したなら、事実関係を速やかに確認しなくてはなりません。基本的には、いつセキュリティ事故が発生したのか、当事者は誰か、なぜインシデントが発生したのかといった事実関係を整理し、関係者に簡易的な調査を実施します。その後、事実関係に基づいて所管官庁や警察、報道機関、顧客などへ報告するとともに、自社サイトを通じてセキュリティ事故の被害や原因などを、判明している範囲内で開示します。
本格調査
セキュリティ事故は損害賠償請求や株主代表訴訟の提起などにつながる可能性があるため、情報の漏洩や流出が発生した原因を調査し、法的な証拠を発見しなくてはなりません。この法的な証拠の発見を目的とする情報解析や鑑識調査を「フォレンジック調査」と呼びます。たとえばデバイスの通信履歴や消去済みファイル、不正プログラム、漏洩した機密データの内容、インシデント発生の経緯、被害範囲などを調査し、セキュリティ事故の原因を法的な観点から究明します。
復旧と再発防止策の立案・実施
セキュリティ事故によって停止していたITシステムやWebサービスなどを復旧し、再発防止策の立案と策定を推進します。技術面と運用面の両方における再発防止策を策定し、具体的なアクションプランに落とし込むことがこのフェーズの重要課題です。そして消費者や顧客に損害を与えてしまった場合は謝罪や損害賠償を行うとともに、Webサイトを通じてステークホルダーに一連の経緯を報告します。
まとめ
企業のデータベースには機密データが保管されており、漏洩した場合は多大な損害を被りかねません。セキュリティ事故の完全排除は困難なため、いかにしてセキュリティリスクを最小化するかが重要です。セキュリティ体制の強化を目指す方は、端末にデータを残さないリモートアクセスサービス「moconavi」の導入をご検討ください。
