公式メディア
Conoris Labo

  1. トップ
  2. コラム
  3. 【まとめ】セキュリティインシデントの種類一覧|発生原因も解説

【まとめ】セキュリティインシデントの種類一覧|発生原因も解説

コラム
セキュリティインシデント
Posted on:
January 19, 2024

近年、企業の従業員規模・業種を問わずセキュリティインシデントの発生件数が増加傾向にあり、すべての企業や組織でセキュリティインシデントに直面する可能性があります。あらかじめセキュリティインシデントにはどのような種類があるのか把握しておくことで、事前に対策を講じたり、万一、セキュリティインシデントが発生した場合でも冷静に対処することができます。この記事では、セキュリティインシデントの種類一覧とそれぞれの発生原因をわかりやすく解説します。

セキュリティインシデントの種類 -定義・重大度レベルでの切り分け-

セキュリティインシデントという言葉を聞いて、情報漏洩やサイバー攻撃といったキーワードを思い浮かべる方も多いのではないでしょうか。確かに、それらも「セキュリティインシデント」に関連するものですが、セキュリティインシデントにはそれら以外にも非常に多くの種類のものがあります。ここでは、そもそも「セキュリティインシデント」が何を指すのかという点に触れながら、実務上役立つ、セキュリティインシデントの種類の切り分け/分類方法についてご紹介します。

セキュリティインシデントとは?

セキュリティインシデントとは、情報セキュリティを脅かす事故・事件のことを指します。近年、情報セキュリティは企業の社会的責任であるとの認識が広まっており、セキュリティインシデントが発生した場合、企業は顧客や取引先、株主といったステークホルダーに対して説明責任を果たす必要があります。また、セキュリティインシデントが発生することにより社会的信用が喪失する、損害賠償金を請求される等、事業の存続が脅かされるリスクが高いため、セキュリティインシデントへの対応が重要視されています。

【発生要因別】セキュリティインシデントの3つの定義

セキュリティインシデントの代表的な要因を「内的要因」「外的要因」「環境要因」の3つで定義することができます。セキュリティインシデントを3つの要因に分類することで、それぞれの要因が情報セキュリティにどのような影響を与えるかを明確にし、セキュリティインシデントの種類ごとの特徴や発生原因をより詳細に理解することができます(この点については後述します)。各要因の定義は次のとおりです。

・内的要因 = 従業員等の組織内部からの脅威に起因する要因

・外的要因 = サイバー攻撃等の組織外部からの脅威に起因する要因

・環境要因 = 自然災害や外部サービスの停止等に起因する要因

セキュリティインシデント対策の優先度を決める重大度レベル

企業や組織においてセキュリティインシデント対策に費やすことができる費用や人員には限界があります。そこで、セキュリティインシデントを重大度レベルで分類することによって、どの種類のセキュリティインシデントを優先して対策するべきか考えることができます。また、重大度レベルによって、セキュリティインシデント発生後の対応が異なるため、その点についても解説します。重大度レベルの決め方は様々ですが、ここでは重大度レベルを1〜3で分類して紹介します。

重大度レベル3(重大度:高)

非常に大きな影響がある重大なインシデント」は重大度レベル3に分類します。重大度レベル3のセキュリティインシデントは、顧客等のステークホルダー全体に影響があり、事態の収束に1日以上かかるもの等が該当します。重大度レベル3のセキュリティインシデントには、機密情報の漏洩や長時間の顧客向けシステム停止等があります。重大度レベル3のセキュリティインシデントが発生した場合、管理者は経営層や関係各所へ直ちに報告し、公共機関や顧客への報告・情報提供に関する指示を仰ぎます。それと同時に、影響を最小限にするための措置を講じます。重大度レベル3のセキュリティインシデントは、企業や組織の存続に関わるため、最優先で事前対策が必要です。

重大度レベル2(重大度:中)

重大な影響のある深刻なインシデント」は重大度レベル2に分類します。重大度レベル2のセキュリティインシデントは、顧客等のステークホルダーに影響がありますが、影響範囲が限定的または一時的なものが該当します。重大度レベル2のセキュリティインシデントには、一部の顧客における短時間のシステム停止等があります。重大度レベル2のセキュリティインシデントが発生した場合、影響範囲を評価し、事態の進行を調査します。それと同時に、影響を最小限に抑えるための措置を講じます。重大度レベル2のセキュリティインシデントは、組織や企業の存続を脅かすほどのリスクはありませんが、事前対策をすることが望ましいものです。

重大度レベル1(重大度:小)

影響の少ない軽微なインシデント」は重大度レベル1に分類します。重大度レベル1のセキュリティインシデントは、影響範囲が極めて限定的で、発生しても別の回避方法や代替手段があるものが該当します。重大度レベル1のセキュリティインシデントには、一時的な社内システムの停止やパフォーマンスの低下等があります。重大度レベル1のセキュリティインシデントが発生した場合、適切な手順で修復を行います。重大度レベルの中で最も影響が少ないため、企業や組織の判断でリスクを許容し、事前対策をしない場合もあります。

セキュリティインシデントの種類一覧とそれぞれの発生原因例

ここでは、近年被害件数が多い代表的なセキュリティインシデントの種類一覧とその発生原因、どの重大度レベルに該当するかを紹介します。特に、重大度レベル3に該当するセキュリティインシデントの種類については、事前対策ができているかチェックを行い、もしできていない場合は対応が必要です。セキュリティインシデントの種類ごとの対応フローの記事は別にありますので、具体的な対策手順についてはこちらを参照してください。

内的要因

まず、内的要因に分類されるセキュリティインシデントの種類と発生原因例を紹介します。内的要因には、従業員の不注意で発生する情報漏洩や悪意を持って行われる内部不正等のセキュリティインシデントの種類が含まれます。内的要因は、管理者の目が届きにくく、技術的な対策だけでは防ぐことが難しいといった特徴があります。

メールの誤送信、添付送信ミスによる情報漏洩

メールの宛先や添付するファイルを誤って送信してしまい、機密情報が漏洩してしまうことがあります。メールを送る作業は数クリックで簡単にできてしまうため、その特性が原因となり、ヒューマンエラーを助長させていると考えられます。添付ファイルを送付する際、アクセス制限付きのクラウドストレージを利用する等の対策を実施している場合は重要度レベル1またはレベル2に該当しますが、実施していない場合は重大度レベル3に該当します。

デバイスの紛失・盗難

社用PCやスマートフォン、USBメモリ等のデバイスを紛失・盗難にあってしまい、機密情報が漏洩してしまうことがあります。近年のデバイスは軽量で持ち運びできるものが多いため、外出先での置き忘れによる紛失や盗難にあうリスクが必然的に高くなってしまいます。デバイスの紛失や盗難にあってしまうと、デバイスの正確な位置情報を追跡することが難しく、事後の対応が困難な状況に陥る可能性が高いため、重大度レベル3に該当します。

従業員の内部不正

内部不正とは、企業や組織の関係者または元関係者が犯す情報セキュリティ上の不正行為を指します。内部不正の例として、不正な重要情報の持ち出し、漏洩、消去等の行為があります。内部不正が発生する原因は、個人的な金銭を得る目的や処遇に対する復讐心等が挙げられます。また、USBメモリやPCの持ち出し、持ち込みの制限が緩い等の内部不正を行える管理状況が揃っていることも原因と考えられます。内部不正により、情報漏洩等の様々な種類のセキュリティインシデントを引き起こす可能性が高いため、重大度レベル3に該当します。

外的要因

続けて、外的要因に分類されるセキュリティインシデントの種類と発生原因例を紹介します。外的要因には、悪意のある攻撃者が、金銭の要求や事業停止を目的に、企業や組織に対してサイバー攻撃を行うセキュリティインシデントの種類が含まれます。外的要因は、技術的な対策で対処することができますが、次々と新しい攻撃手法が出てきているため、その都度適切なセキュリティ対策が求められるといった特徴があります。

ランサムウェアによる身代金要求

ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」の2つの言葉を組み合わせて作られた言葉です。デバイスがランサムウェアに感染すると、攻撃者は、デバイスに保存されているファイルを暗号化し、元の状態に戻すことと引き換えに金銭を要求します。ランサムウェアへの感染経路は「VPN機器からの侵入」と「リモートデスクトップからの侵入」が約80%を占めており、VPN機器やクライアントPC等のデバイスにおける脆弱性対策漏れ、ログイン認証のセキュリティ対策が不十分であることが原因として挙げられます。デバイスがランサムウェアに感染してしまうと、金銭の支払いに加え、不正アクセスや情報漏洩等の様々な種類のセキュリティインシデントを引き起こす可能性が高いため、重要度レベル3に該当します。

マルウェアへの感染

マルウェアとは、「Malicious(悪意のある)」と「Software(ソフトウェア)」の2つの言葉を組み合わせて作られた言葉です。デバイスがマルウェアに感染すると、攻撃者は、感染したデバイスを利用して社内ネットワークに侵入し、その他のデバイス、システムに対して危害を加えます。マルウェアの感染経路として、マルウェアを仕込まれたメールの開封や不審なWebサイトへのアクセス等がありますが、メールの文章が自然である等手口が年々巧妙になっているため、被害を助長させていると考えられます。ランサムウェアと同様に、デバイスがマルウェアに感染してしまうと不正アクセスや情報漏洩等の様々な種類のセキュリティインシデントを引き起こす可能性が高いため、重要度レベル3に該当します。

DoS・DDoS攻撃

DoS・DDoS攻撃はそれぞれ「Denial of Service Attack(サービス拒否攻撃)」「Distributed Denial of Service Attack(分散型サービス拒否攻撃)」の略称です。攻撃者は、企業や組織への嫌がらせ・妨害を目的として、特定のサーバに大量のデータを送り付けて負荷をかけます。サーバに負荷がかかるとユーザーはシステムにアクセスしづらくなり、企業にとって機会損失になります。特に、社会的認知度が高い、競合他社が多い、外部からの抗議活動が活発といった特徴が原因となり、DoS ・DDoS攻撃を受けることがあります。DoS ・DDoS攻撃は、情報漏洩等の直接的な被害がないセキュリティインシデントの種類ですが、WAFやIDS/IPS等のツールを導入することで効果的な対策ができるため、重要度レベル2に該当します。

不正アクセス

不正アクセスとは、攻撃者が個人情報の取得や詐欺を目的として、IDやパスワードを悪用したり、不正にコンピュータに侵入する行為を指します。攻撃者が不正アクセスに成功すると、機密情報を取得されたり、重要ファイルの暗号化・消去等の被害を受けることがあります。不正アクセスの原因として、ログインID・パスワードの管理が不十分なことや脆弱性対策が漏れている等のセキュリティホールがあることが挙げられます。不正アクセスをされてしまうと、機密情報の漏洩・消去の恐れがあるため、重要度レベル3に該当します。

環境要因

最後に、環境要因に分類されるセキュリティインシデントの種類と発生原因例を紹介します。外的要因には、台風、地震等の自然災害やクラウドサービス、インターネット回線等の外部サービスが起因して発生するセキュリティインシデントの種類が含まれています。環境要因は、セキュリティインシデントの発生を予期することができないため、避けることが難しい特徴があり、BCP(事業継続計画)を策定する際に考慮する必要があります。

停電によるシステムの停止

落雷や台風による停電が原因で、サーバに電源が供給できなくなりシステムが停止することがあります。サーバの電源が落ちてしまいシステムが停止すると、サービスが利用できなくなるだけでなく、機器故障の原因にもなるため、UPS(無停電電源装置)を利用して安全にシャットダウンできるように事前対策をしておくことが望ましいです。近年、顧客向けシステムをAWSやMicrosoft Azure等のクラウドサービスで構築して提供している企業が多く、数年前と比較すると停電によってシステムが停止するケースは少ないです。そのため、重大度レベル1またはレベル2に該当します。

地震、火災、水害による設備故障

地震、火災、水害が原因で、サーバ等の設備が故障してしまいシステムが利用できなくなることがあります。サーバが故障してしまうと、システムに保管されたデータが消失し、復旧が困難になることがあります。そのため、定期的にバックアップを取る必要があります。また、サーバを保護するために、データセンター等の耐障害性が高い場所に機器を設置することでリスクを低減することができます。サーバをデータセンター等の耐障害性が高い場所に設置できる場合、重大度レベル1またはレベル2に該当しますが、難しい場合は重大度レベル3に該当します。

外部サービスやインターネット回線の障害、停止

クラウドサービス、SaaS等の外部サービスやインターネット回線事業者やプロバイダ等の障害が原因で、システムが利用できなくなることがあります。クラウドサービスやSaaSでは、オンプレミスと比較して運用・管理の負担が少ない、メンテナンス不要といったメリットがありますが、思いがけない障害が発生することを想定しておく必要があります。SLA(サービス品質保証)の数値が十分に高いサービスを利用することで、障害が発生する可能性は少なくなりますが、障害が発生すると数時間以上業務が停止してしまうことがあるため、重大度レベル2またはレベル3に該当します。

まとめ:セキュリティインシデントの種類を再認識して適切な対策を

この記事では、セキュリティインシデントの種類一覧と発生原因の例を紹介しました。近年、セキュリティインシデントに関するニュースを耳にする機会が増えたため、今回紹介したセキュリティインシデントの種類について既に知っていた読者の方も多いと思います。しかし、日々の生活や仕事が忙しいとセキュリティを意識することが減ってしまい、気の緩みからセキュリティインシデントが発生してしまうことがあります。そのため、今回紹介したセキュリティインシデントの種類について、定期的に再認識し、安全に仕事をできるように意識しましょう。また、セキュリティインシデントを発生させないように、セキュリティインシデントの種類ごとに適切な対策を取るようにしましょう。

日本の商習慣に合う形でVRM(ベンダーリスクマネジメント)領域のサービスを提供し、ITサービスや委託先企業のセキュリティチェック業務を改善しようとしています。
ご興味のある方は、ぜひお問い合わせください。
お問い合わせはこちら
Conoris logo
Webサービスリスク
評価・運用管理サービス
詳しくみる →
Conoris Answer logo
委託先調査・セキュリティチェック回答支援・管理サービス
詳しくみる →
Conoris BP logo
外部委託先管理の支援サービス
詳しくみる →
無料テンプレート。クラウドサービスセキュリティチェックシートセキュリティチェックの救世主…!?委託先管理の手間とリスクを大幅カット!
よく読まれている記事
委託先監査とは?チェックリストを活用して委託先監査を効率化する
委託先監査とは?チェックリストを活用して委託先監査を効率化する
セキュリティチェックシート_テンプレート
セキュリティチェックシート徹底分析!テンプレートから読み解くその目的と利用方法
委託先管理とは?
委託先管理とは?目的、必要性、効果的な実施のポイントを解説
セキュリティインシデント_報告義務
セキュリティインシデントに報告義務はある?報告先は?ポイント総まとめ
スタートアップが2ヶ月でISMS認証を取得
【実録】スタートアップが2ヶ月でISMS認証を取得
カテゴリ
特集コラムセキュリティインシデント脆弱性CASBセキュリティチェックシート委託先

関連記事

March 14, 2024

Lhaplusの脆弱性とは?起こり得るインシデントと解決方法を解説

コラム
セキュリティインシデント
March 7, 2024

セキュリティインシデントへの対応ガイド|事前準備から事後分析まで

コラム
セキュリティインシデント
February 22, 2024

セキュリティインシデントに報告義務はある?報告先は?ポイント総まとめ

コラム
セキュリティインシデント
運営会社採用情報利用規約生成AI利用特約プライバシーポリシー情報セキュリティ基本方針特定商取引法に基づく表記お問い合わせ
ISMSCSA
販売パートナー
Conorisをご紹介いただける企業様を募集しております。
Copyright 2022 Conoris Technologies Co., Ltd. All Rights Reserved.