セキュリティインシデントとは“情報”セキュリティのインシデント、つまり企業や組織における情報の安全性が事故や攻撃やヒューマンエラーなどによって脅威にさらされている状況を指します。また、より広くはこうした脅威を発生させる事象全般を指すこともあります。

呼び方として、「セキュリティインシデント」「サイバーセキュリティインシデント」「情報セキュリティインシデント」あるいは略して「インシデント」などと称されることが多いですが、この記事では「セキュリティインシデント」に統一して表記します

セキュリティインシデントの歴史は、人々が日常的にPCやインターネットを使うことのできるようになった1990年代から本格的に始まったとされています。セキュリティインシデントは、時期によって流行する発生方法やケースが変わり、また情報セキュリティの事情を取り巻く様々な要素、たとえばIT技術の進歩や人々がネットを使う方法などからも影響を受けています。PCやインターネットが普及し始めたばかりの初期には、社会に対して広範囲のリスクを生じるセキュリティインシデントは多くありませんでしたが、ウイルスやランサムウェアの多様化などにより、今日セキュリティインシデントの問題は昔より複雑で深刻なものとなっています。

セキュリティインシデントは、企業や組織の外部からの悪意ある攻撃や元来の脆弱性によって発生する脅威、企業や組織と関わる人によっていわば人災・事故的に発生する脅威など多岐にわたります。ここでは、代表的な10のセキュリティインシデントをご紹介します。

情報漏えい

情報漏えいとは、企業や組織、あるいはそこに属する社員や顧客などの個人情報が外部へと流出してしまうことです。企業内の重要なデータや機密事項、個人の名前や住所、電話番号など様々なものがその対象となっています。また、これにより、不正アクセス、迷惑メールなどのリスクも高まる可能性があります。

マルウェア感染

マルウェア感染とは、文字通りコンピュータがマルウェアに感染することです。マルウェアとは、不正で有害な動作によって悪意的な影響をおよぼすソフトウェアやコードを指しており、ウイルス、ワーム、トロイの木馬、スパイウェア、キーロガー、バックドア、ボットなど様々な種類があります。

不正アクセス

不正アクセスとは、本来サーバーや情報システムへのアクセス権限を持たないユーザーが、その内部へと侵入（アクセス）する行為を指します。これにより、情報漏えいやマルウェア感染などのリスクも高まる可能性があります。

DoS/DDoS攻撃

DoS（Denial of Service attack）攻撃とは、意図を持ってサーバーに大量のデータを送りつけることによりアクセスを集中させ、サーバーのパンクを目的とした攻撃です。大量のマシンから1つのサービスに向けて一斉にDoS攻撃を仕掛ける累計をDDoS（Distributed Denial of Service attack）攻撃と呼びます。

迷惑メール/スパムメール

迷惑メール/スパムメールとは、受信者が望んでいないメールが一方的に送信されてくることです。これにより、マルウェア感染やフィッシングなどの発生リスクも高まる可能性があります。

フィッシング

フィッシングとは、英語名ではphishingと表記され、魚釣り（fishing）と洗練（sophisticated）とを合わせて作られた造語とされ、送信者を偽ったメールを送りつけたり、偽のメールアドレスから偽のホームページへとアクセスさせたりする手法により、クレジットカード番号やアカウントに基づく個人情報（ID、パスワードなど）の重要なデータを盗み出すことです。

Webサイト改ざん

Webサイト改ざんとは、サイトの管理者以外の何者かが悪意を持って不正にWebサイトを改編し、別の情報へと書き換えを行うことを指します。サイトの脆弱性により直接起こる場合もありますが、マルウェア感染などの他のセキュリティインシデントから派生的に起こる場合もあります。

PCなどデバイスの置き忘れ・盗難

その名の通りですが、社外でPCなどを使用してそのまま置き忘れたり、盗難に遭ったりすることを指しています。これにより、情報漏えいを始めとしたさまざまなセキュリティインシデントの発生リスクが高まったり、外部者から内部のセキュリティモラルが低いことを知られたりすることで、企業にとってのマイナスイメージを増長させる場合もあります。

社用IDなどデータの紛失・盗難

その名の通りですが、社外に持ち出したIDなどの企業情報・個人情載が含まれた物品を紛失したり、盗難に遭ったりすることを指しています。

ショルダーハック

ショルダーハックとは、公共の場所などでPCを使用する場面において、使用者以外から肩越しに画面を見られることを指しています。一般に覗き見とされる行為です。

内部不正

内部不正とは、企業や組織の内部の人間が、意図的またはミスによって、自らの権限を行使して不正アクセスを行ったり、情報漏えいを発生させたりすることを指しています。企業や組織内で発生するセキュリティインシデントとしては大きな割合を占めており、深刻ながら軽視されがちといった特徴もあります。

最近では、テレワークが進むことにより、自宅以外の場所で個人が仕事をする機会も増えています。PCなどデバイスの置き忘れ・盗難、社用IDなどデータの紛失・盗難、ショルダーハック、無料Wi-Fiを使用することによる情報漏えい、不正アクセス等、企業や組織がこれまで着手していなかったセキュリティ対策の穴をつくような、社外活動におけるセキュリティインシデントリスクが高まってきています。

セキュリティインシデントがなぜ起こるか。その原因は、大きく分けて主に以下の2つが考えられます。

セキュリティシステム・体制・設備等の不備

前提として、企業や組織でセキュリティを維持していくためには、企業や組織内でのセキュリティシステムや整備された体制・外部からのサービス導入などによる対策が必要です。これらの導入が、時代と共に進化するIT技術や働き方の変化などの社会情勢に追いついていなかったり、何らかのミスマッチを起こしていたり、十分に機能していない場合、セキュリティインシデントの発生リスクは高くなります。またシステムを導入しているものの担当者が決められていないなど、セキュリティ対策が不完全なまま放置されている状態も、セキュリティインシデントリスクを高めていると言えるでしょう。

こうした問題を企業や組織内で一つ一つ解決していくのは非常に骨の折れることですが、総合的にセキュリティ対策を提供してくれるサービスを活用するという手もあります。例えば統合セキュリティサービス s-WorkProtectorでは、24時間フルタイムでセキュリティを監視・保護してくれ、上に挙げたような基本的なセキュリティインシデント対策はもちろん、Webアクセスログの解析や脆弱性診断サービスとの併用で、セキュリティインシデント発生時にも適切に対処してくれます。

NTTコムウェア「統合セキュリティサービス s-WorkProtector」
https://www.nttcom.co.jp/dscb/sworkprotector/index.html

セキュリティモラルの欠如・低下

もう一つ企業や組織内でのセキュリティインシデントにとって重要な原因として、企業や組織内でのセキュリティモラル、すなわちセキュリティに対する意識や理解が低いことが挙げられます。社員がそもそも社内の情報規定を十分に理解していなかったり、セキュリティインシデントを軽視していたり、理解していても失念していたりする場合などがこれにあたります。これにより、セキュリティインシデントリスクを高めるような「人的な過失に鈍感になるといった行動」が発生することがあります。そしてその先で、例えば個人で使用するデバイスにセキュリティ対策が施されていなかったり、USBメモリやIDなどを社外に置き忘れてしまったり、重要な機密情報を外部の人間に話してしまうといったことが起こり得ます。

セキュリティインシデントが発生することで、以下のような影響や損害が発生すると考えられています。

莫大な対処費用

まず、セキュリティインシデントへの対処にともなう莫大な費用が発生します。セキュリティインシデントによる年間の平均被害総額は、調査に応じた企業のみの合計で近年は毎年2億円を超えていると言われています。(※1)

※1 総務省「令和2年版 情報通信白書｜セキュリティ事案による影響」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134120.html

直接発生する被害

直後に発生することとして、ネットワークやメール、Webページの停止による業務ストップが考えられます。また、情報漏えいや改ざんによる業務の停滞、関係者による謝罪や連絡、その後の対応も必要です。セキュリティインシデント発生後は、セキュリティインシデント発生の原因究明に始まり今後の改善などにかかるセキュリティ関連費用の増加も予測されます。(※2)

※2 NPO日本ネットワークセキュリティ協会「情報セキュリティ事故が与える企業への影響」
https://www.jnsa.org/ikusei/01/01-03.html

波及的に発生する被害

セキュリティインシデント発生により、波及的あるいは間接的に発生する被害も深刻です。まず、社員や顧客の情報漏えいによる損害賠償が発生する場合があります。また、セキュリティインシデントの種類によっては事業免許や取り扱い資格の取り消し、撤回、行政による指導を受けることが考えられ、深刻な場合、業務停止もあり得ます。
また、企業のセキュリティモラルの低さが社会に知られることで、企業のブランドイメージが棄損するなどの社会的信用の低下をもたらします。加えて、その先での取引や契約、営業機会や新規顧客の獲得が難しくなることで、企業の事業継続性（Business continuity plan、BCP）にも影響を及ぼすと考えられています。

更に、セキュリティインシデントは企業や組織にとどまらず、より広いコミュニティや自治体、社会全体へと影響を及ぼし、円滑なサービス運営や流通を滞らせてしまうことも考えられます。このように、セキュリティインシデントは、IT空間だけでなく人々の生活にも影響を与えることのあるものです。

セキュリティインシデントとして近年に発生したケースのうち、大規模で深刻なものを2つご紹介します。

「東京証券取引所でのシステム障害（2020年10月）」(※3)

世界第３位の証券プラットフォームで、大規模なシステム障害が発生したケースです。複数のサブシステムが共通で使用する株の銘柄情報やユーザー情報等を格納するNAS（Network Attached Storage）へのアクセス異常から、一時的に相場情報の一部がダウンする状態に。被害の深刻さから、システムの全面見直しや行政の介入が検討されました。

※3 日経クロステック（xTECH）「システム障害で終日売買停止　マニュアル不備を5年見過ごす」
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04750/

「バーコード決済サービス「7pay」への不正アクセス（2019年7月）」(※4)

株式会社セブン&アイ・ホールディングス傘下の株式会社セブン・ペイが運営するバーコード決済サービス「7pay」において、一部アカウントへの不正アクセスが確認されたケースです。これにより不正チャージや不正利用が発生し、同サービスは開始からわずか3ヶ月足らずで廃止に至りました。

※4 ScanNetSecurity「「7pay」への不正アクセス、システム上の認証レベルが不十分なことが原因（セブン&アイ・ホールディングス）」
https://scan.netsecurity.ne.jp/article/2019/08/05/42737.html

セキュリティインシデントの問題は、IT技術の進歩によって日々複雑化し、テレワークなど働き方の変化によって多様化してきています。ぜひ、企業や組織内のセキュリティ対策を今一度見直し、内部のセキュリティモラルを整えていきましょう。そうすることで、セキュリティインシデント発生による大規模で深刻な影響や損害を防ぐことができるでしょう。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。