• ビジネス
  • 最終更新日:2023.12.13

インシデント発生前にすべき対策と発生後の対応フローまとめ

インシデントの発生は企業に大きな損害を与えるだけでなく、今後の事業運営に関わる大きな問題です。日常的な対策だけでなく、インシデントが発生した場合の対応策を想定したセキュリティ整備を行う必要があります。

インシデントの対策は発覚以前の事前準備・体制整備と、発覚後に迅速に対応できる環境整備が重要です。

本記事では、インシデント対策の基本ポイントを解説した上で、インシデントの事前対策と事後対策について詳しく解説していきます。


インシデント対策の基本ポイント

インシデントの対策で重要なポイントは「事前対策」と「事後対策」です。

2つの対策に注力すべき理由は、インシデントを発生させないことも大切ですが、発生後の対応を迅速に行い、被害を最小限に抑えることが重要だからです。

セキュリティを脅かすハッカーは事前の対策でセキュリティを強固にしたとしても、ありとあらゆるサイバー攻撃を仕掛けてきます。

万が一セキュリティを突破されてしまった場合に、情報漏洩やシステムダウンの被害を最小限に抑えることで、事業の早期立て直しにつながります。


インシデントの発生原因

インシデントの発生原因は大きく分けると外的要因・内的要因の2つに分けられます。

外的要因:サイバー攻撃による情報漏洩、自然災害によるシステム障害など
内的要因:ヒューマンエラー、セキュリティ体制の不備

外的要因と内部要因の2つの対策しておかないと企業の安全性に対するイメージが低下する恐れがあります。


インシデント発生前に事前整備すべき項目

セキュリティインシデント発生後に迅速な対応ができるよう「事前整備」を行う必要があります。

整備しておきたいポイントは以下の通りです。

  • セキュリティ体制の整備
  • 従業員のセキュリティ意識の向上
  • 外部委託業者の責任範囲の確認

セキュリティ体制の整備

まずは、インシデントの発生に対応するために、対策チームの編成やセキュリティに関するルール作りといった、セキュリティ体制の整備を行いましょう。

             

整備項目概要
対策チームの編成インシデントに対応できる専門的な人材でチームを作成する
ルール作り・有事の際に対応を行う優先順位を決めておく
・復旧作業を行う際にどの範囲の行動まで許されるのか、何を優先するのか決めておく
例:◯:ネットワークの遮断、マルウェアの駆除
  ✕:漏洩の可能性がある情報の安易な削除、機密情報の取り扱い禁止
指揮系統の選定インシデント対策のリーダーを決めておく
招集体制の確立・インシデント発生時にすぐに対応できるよう招集体制を構築しておく
・シフト制で24時間システムを監視する
・対策チームは休日でも連絡がつながるようにしておく

インシデントが発生してもスムーズに対処できるように自社のシステムに精通している担当者とともにセキュリティ体制を整備しておきましょう。

従業員のセキュリティ意識の向上

内的要因によるインシデントを防止するためには、従業員のセキュリティ意識を向上させることも重要です。

サイバー攻撃には従業員のデバイスを標的にした攻撃もあります。例えば、マルウェアを仕込んだメールを送付したり、従業員のパソコンやSNSアカウントを乗っ取って情報を抜き取るなどの行為です。

従業員のセキュリティ意識が低いと、マルウェアが仕込まれた不審なメールをうっかり開いてしまうなどのリスクがあります。

こうした問題を防ぐために、セキュリティ対策に向けたルールの制定や訓練を実施し、従業員のセキュリティ意識向上を目指しましょう。

例えば、「会社の情報が入ったデバイスは社外に持ち出さない」「不審なメールは開かず、届いた時点で上司に相談する」というようにルールを決めましょう。

インシデントの脅威を肌で感じてもらうために、「従業員がマルウェアの入ったメールをうっかり開いてしまった」と想定した訓練を実施し、事後の対処をしてもらった上で、スムーズに対応できなかった箇所を改善するなどの施策も効果的です。

ベンダーや外部委託業者の責任範囲の確認

クラウドサービスの利用やシステム管理の一部を外部委託業者に依頼している場合は、責任範囲を確認しておきましょう。

万が一情報漏洩やマルウェアによる情報の改ざんといったセキュリティ事故が発生した場合、どちらが責任をとるのかを確認しておかなければ、クラウドサービスや外部委託業者に問題がある場合でも自社が責任を取らなければならない場合があります。

顧客管理のクラウドサービスを利用しているケースを例にあげると、顧客情報の保存をしているクラウドサービスの責任は「アプリを正常に動作させること」であり、データの保護については利用企業の責任になります。

クラウドサービスのベンダーがセキュリティ事故により顧客情報が漏洩した場合は、利用企業の責任になってしまうのです。

このようなトラブルに巻き込まれないためには、責任範囲を明確にし、バックアップの取得、データの暗号化など、セキュリティを強化する必要があります。


インシデント発生を防ぐ対策方法

セキュリティインシデントを防ぐための事前対策は以下の通りです。

  • 情報資産の把握
  • セキュリティチェックの実施
  • セキュリティツールの導入

参考:セキュリティインシデントとは? 種類や対策について詳しく解説 | 大塚商会

情報資産の把握

会社で保有している顧客情報や事業の運営に関わる機密情報やIT資産などの情報資産の把握から始めましょう。

HDDやSSD、クラウドストレージや社内サーバーなど、すべての情報資産を把握しておくことで、紛失による情報漏洩やサイバー攻撃を受けた場合に原因究明が容易になります。

特に注意して確認したいのは従業員の私物のパソコンや利用するネットワークです。持ち帰り仕事を行う際に社内の機密情報を私物のパソコンやUSBに移して持ち運ぶなどのリスクが発生します。また、暗号化されていないフリーWi-Fiを利用すると、パソコンを盗み見られたり、情報を抜き取られる可能性があります。

情報資産が複数の装置やサーバーに点在している場合は、HDDやSSDといった記憶媒体やクラウドストレージにまとめるなど、いくつかの媒体に絞り込んで保管することをおすすめします。

情報資産の保管場所を理解しておけば、管理がしやすくなるだけでなくセキュリティソフトでファイルをロックすることでセキュリティ向上につながります。

セキュリティチェックの実施

インシデントを発生させないためには、定期的にセキュリティチェックを行いましょう。

日常的なシステムチェックを習慣づけておくことで、異常な動きが発生した時にシステムを遮断したり、迅速な対応が取れるようになります。

日常的に実施したいセキュリティチェックは以下の通りです。

  • バックアップの実施:システム障害やデータ破損が起きた場合でもサービスやシステムを迅速に復旧できる
  • ログの収集・監視:個人情報や機密情報のPC操作のログを保存・監視を行い、インシデントの発生を防ぐ
  • セキュリティの脆弱性チェック:ベンダーや脆弱性情報データベースからセキュリティの脆弱性に関する最新の情報を定期的に取得し、チェックする

セキュリティソフトの導入

インシデント対策のためには、セキュリティソフトを必ず導入しましょう。

セキュリティソフトを導入すれば、外部からのサイバー攻撃を防ぐだけでなく、不審なプログラムを発見・排除してくれるため、セキュリティ向上につながります。

インシデント対策となるセキュリティソフトは以下の通りです。

種類特徴
情報漏洩対策ソフト情報漏洩対策ソフト ・使用ネットワークの制御
・データの外部持ち出し制限
不正アクセス監視サービス・ログのリアルタイム収集
・不正アクセスの検知・監視
サイバー攻撃可視化ツール・不正アクセスの監視
・マルウェアの防止
・ファイアーウォールの設置
・Webフィルタリング
エンドポイントセキュリティ・ネットワーク接続機器のセキュリティ対策
メールセキュリティシステムメール送受信におけるアンチウイルス

上記で解説したセキュリティソフトやツール、サービスはできれば全て導入したいところです。

とはいえ、コストの問題や一度にたくさんのセキュリティソフトを導入しても使いこなせません。

そこで、セキュリティソフトを選ぶ基準として「守るべきデータ」を軸に考えましょう。

例えば、顧客情報をパソコンやシステムで管理している場合は情報漏洩に気をつけなければなりません。

その場合は、情報漏洩対策ソフトや不正アクセス監視サービスなどを導入するなど、目的にあわせて導入するセキュリティソフトを選ぶ必要があります。

セキュリティソフトやサイバー攻撃を対策するソフトの選び方についてより詳しく知りたい方は以下の記事を参考にしてください。

参考:【2022年最新】サイバー攻撃対策ソフト11個を厳選比較!目的にあったセキュリティソフトの選び方も解説│LISKUL
   【2022年最新】セキュリティソフト10選を比較!選ぶ際のポイントも解説│LISKUL 


インシデント発覚時の対策フロー

インシデントが発覚してしまった後は、いかに被害を最小限に抑えるかがカギとなりますので、迅速に行動できるよう対策フローを整備しておくことが大切です。

インシデント発覚後の行動フローは以下となります。

  1. 検知・確認
  2. 応急処置
  3. 調査
  4. 通知・公表
  5. 抑制処置
  6. 復旧
  7. 再発防止・事後対応

1.検知・確認

まずはインシデントを検知・報告する仕組みづくりです。

報告が遅れると被害は拡大してしまうため、素早い検知と対策方法の確認を行う体制を整えましょう。

取り決めておくことは以下の通りです。

  • インシデント対策のリーダーを決めておく
  • インシデント発生時にすぐに対応できるよう招集体制を構築しておく
  • 対策チームは休日でも連絡がつながるようにしておく

インシデントに迅速に対処できるように、問題を検知してから対策チームに共有する仕組みを構築しておきましょう。

応急処置

インシデントの発生が確認できたら速やかに応急処置を行います。不正アクセスやマルウェアの侵入による被害を最小限に抑えるためです。

外的要因に対する応急処置

外部から攻撃を受けた場合は、以下のような応急処置を取ります。

  • ネットワーク遮断
  • ログの収集
  • 情報流出の有無

外的要因によるインシデントの発生は被害を拡大させないために、ネットワークの遮断を最優先で行います。

次にログの収集や情報流出の有無など、インシデントが発生した原因や被害範囲を調べます。

参考:不正アクセスの対策方法とは?主な手口と防止策について解説│LISKUL

内的要因に対する応急処置

内部によるインシデントが発生した場合は、以下のような応急処置を取ります。

  • 当事者への事実確認
  • 情報流出先の特定
  • 二次被害を防ぐ対応

内的要因によるインシデントの発生には従業員への聞き取りが重要です。

一人一人の情報を正確にまとめるために情報漏洩事故の共有シートなどを作成し、回答をまとめておくことで事実確認の一元管理が可能です。

共有シートには「いつなにをしていたか」などの質問項目を設け、エクセルやスプレッドシートといった社内で共有可能なツールを使いましょう。

参考:企業が対策すべきヒューマンエラーとは?起きる原因や防止方法を紹介

調査

応急処置ができたら、「何が原因でインシデントが発生したか」についてより詳細な調査を行います。

不正アクセスやマルウェアの被害を受けた場合は、攻撃の糸口となるバックドアが設置されている可能性があり、駆除しなければ再び攻撃対象となるだけでなく、根本的な解決には至りません。

まずは、インシデントの発生源を特定し、セキュリティツールを活用してバックドアの駆除を行うか、コンピューターを初期化するなどの対応を取ります。

通知・公表

インシデントが発生した場合は、二次被害を受ける可能性のある以下の関係各所に通知・公表しましょう。

  • 取引先
  • 監督官庁
  • 警察
  • 個人情報保護委員会への報告及び本人への通知

通知・公表をせずに後から不正アクセスやマルウェアを受けた事実が流出してしまうと、企業としての信頼を失ってしまう危険性があるからです。

ただし、インシデントの発生原因を詳しく通知・公表してしまうとシステムやサーバー、セキュリティの脆弱性を特定され、更なる被害に遭う可能性もあります。

そうならないためにもホームページや記者会見を行う際は具体的な内容を控えつつも、「インシデント発生」と「二次被害の可能性がある被害者に向けた謝罪」、「調査・対策ができた段階で情報を公開する旨」を伝えましょう。

通知・公表を一般公開する際には事故の経緯や今後の対策など、以下の項目をまとめて報告しましょう。

  • 事件内容
  • 経緯
  • 原因
  • 今後の対策
  • 被害に遭われた方への謝罪文

抑制処置・復旧

応急処置と被害の通知・公表が終了したらインシデントの発生源に対して本格的な抑制処置を行います。

外的要因による不正アクセスやマルウェア、その他のサイバー攻撃を防ぐセキュリティ対策ソフトを導入し、セキュリティを強化します。

すでにセキュリティ対策ソフト入れているにも関わらずサイバー攻撃を受けた場合は、サイバー攻撃の種類に合わせたセキュリティソフトを導入しましょう。

内的要因による情報漏洩等が発生した場合は、原因元を突き止めると共に、事故を起こした従業員の処分(減給◯ヶ月分、解雇など)を決めましょう。

セキュリティの安全性を確認できた上でシステムやサービスの復旧を行います。

復旧のタイミングに合わせて「インシデント発生原因」と「インシデント防止のための対策」を取引先や関係各所に通知・公表を行い、サービスの安全性が担保できたことを伝えましょう。

再発防止・事後対応

インシデント発生を防ぐ、あるいは発生後の対応を迅速に行うために再発防止策を整理します。

外的要因によるインシデントを防ぐためには、事前対策と事後対策を常にアップデートし続ける必要があります。

例えば、セキュリティソフトの導入や定期的なシステムチェック、従業員のセキュリティ教育や24時間365日の監視体制を設けるなどが挙げられます。

内的要因によるインシデントを防ぐためには、従業員のセキュリティ意識の向上やデータの暗号化、ログの取得など情報資産の管理を徹底します。

また、インシデントが発生した際に被害に遭われた顧客に対しては謝罪や補償する必要があります。事後対応によって企業の信頼度が変わるため、真摯な対応を心がけましょう。


インシデント対策に関するよくあるご質問

インシデント対策に関する役立つQ&Aをまとめています。

Q.インシデントの外的要因とは何ですか?

A.外的要因は、サイバー攻撃や自然災害による情報漏洩やシステム障害などを指します。

Q.インシデントの内的要因とは何ですか?

A.内的要因は、ヒューマンエラーやセキュリティ体制の不備が原因で起こるインシデントです。

Q.インシデント発生時に最初に行うべきことは?

A.最初にインシデントを検知し、速やかに確認と応急処置を行う体制を整えておくことが必要です。

Q.外的要因によるインシデントへの応急処置は?

A.ネットワークの遮断、ログの収集、情報流出の確認を行い、被害拡大を防ぎます。

Q.内的要因によるインシデントへの応急処置は?

A.当事者への事実確認や情報流出先の特定を行い、二次被害を防ぐ対策を取ります。


まとめ

この記事では、インシデント対策の基本ポイントや「インシデント発生前の事前整備」と「インシデント発生を防ぐ対策方法」やインシデント発覚時の対策フローについて解説しました。

インシデント対策には発生前に準備しておく事前整備とインシデント発生を防ぐ対策の2つがあります。

これら2つの対策を行うことで、インシデントを防止できるだけでなく、インシデント発生後の対応をスピーディーに行えるようになるため、セキュリティリスクの低減につなげられます。

インシデント発生前の事前整備は以下のとおりです。

  • セキュリティ体制の整備
  • 従業員のセキュリティ意識の向上
  • 外部委託業者の責任範囲の確認

次にインシデントを防ぐ対策は以下の通りです。

  • 情報資産の把握
  • セキュリティチェックの実施
  • セキュリティソフトの導入

インシデントが発生した場合は、被害を拡大させないための迅速な対応が必要です。迅速に対応するために本記事で紹介した事前に整備しておくことと対策方法を実践しましょう。