もし実際に情報セキュリティ被害にあってしまったら

2021年8月26日

情報漏洩や、ハッキング・ランサムウェア等を用いたサイバー攻撃について、ニュースで目にすることが日常化した昨今、サイバーセキュリティ対策は、企業活動において欠かせない経営課題の一つかと存じます。
情報セキュリティポリシーの策定から現場における実施まで、サイバーセキュリティ対策と一口にいっても幅広く要対応事項がございますが、本日は、実際に情報セキュリティ事故や、これに関連するトラブルが発生した際の対応について簡単にご紹介致します。

情報セキュリティ事故やトラブルが発生した場合、迅速に情報セキュリティポリシーに則り対応することが重要となります。
今回は、悪意を持った第三者によるネットワークへの不正侵入を例とし、対応手順をご紹介致します。

（1）事故の検知
情報セキュリティ事故やトラブルが発生した場合、ユーザーがこれにすぐに気が付く場合と、ユーザーが気が付かないまま社内ネットワークに侵入されている場合があります。
後者の場合は、定期的なログチェックや障害検知ツールの利用によって、不審な状況の発生を検知することが可能となります。

（2）事故の初動処理
初動処理として、関連部署や上長、担当者、ITパートナー等へ迅速に連絡を行っていただくことが必要です。
IT関連業務担当者以外のユーザーが一次発見者となった場合は、状況保全を優先し、誤って証拠隠滅や被害の拡大を起こさないことが重要となります。
情報セキュリティポリシーに則り、あらかじめ設定した優先順位によって手続きを行い、情報が漏洩などの可能性があれば、この段階でホームページを一時停止する、ネットワークの遮断、データをインターネットに接続されていないパソコンに退避する等の処置が必要となります。また、ユーザーや顧客に被害が及ぶ可能性がある場合には、速やかに対象者に連絡を行う必要があります。

（3）事故の分析
ウイルススキャナーなどのツールを利用したり、ファイアウォール等のネットワーク上の各機器のログ情報や、アンチウィルスソフト等のエンドポイントのデータを基に、被害内容や事故の規模、攻撃経路を整理して、事故が発生した原因を分析し、対応策を決定します。

（4）復旧作業
マルウェアによってシステム自体が遮断してしまったり、被害を拡大させない為に、上記の事故分析期間はシステムを遮断させるなど、サイバー攻撃被害にあった多くの場合は、業務に多大なる影響が発生します。
事故の規模や対策が完了後、安全が確認でき次第、速やかにシステムを復旧し、正常動作確認を行います。
復旧完了後、関係者や利用者への連絡を実施します。

（5）再発防止策の実施
原因を究明の上、同様の事故が発生しないように対策を講じる必要があります。事故に対する処理や対策で更新が必要な項目については、情報セキュリティポリシーに反映します。
標的型攻撃をはじめとするサイバー攻撃の手口は、日々複雑に巧妙化する一方である現状、情報セキュリティポリシー及びサイバーセキュリティ対策を日々アップデートしていくことが重要となります。

関連部署への情報伝達が遅れたり、正確な情報が伝達できなかった故に、最も重要な初動処理に不備が発生し、事故の被害をさらに拡大させてしまっているケースが数多くございます。
常に状況を判断できるような情報伝達の手順やルールを確立し、情報セキュリティポリシーに組み込んでおくことが重要となります。

弊社では、情報セキュリティポリシー策定のお手伝いや、サイバー攻撃を検知する仕組みの構築など、ご希望に合わせた対策の策定・構築が可能です。
ご相談、ご質問等があれば、お気軽にお問合せ下さい。