組織の規模・業種を問わずセキュリティインシデントが発生―調査でわかった企業のインシデント対応状況と適切な対処方法

2023年7月配信（2023年8月30日公開） Column

GSXでは、2023年3月に中堅企業におけるサイバーセキュリティ対策の状況・課題に関するアンケートを行いました。その結果から、45％がセキュリティインシデントを経験しており、投資額が多く、専任者がいる組織でもインシデントが発生していることなどがわかりました。今回は、アンケート結果の紹介から企業のセキュリティ対策の実情をとらえ、適切なインシデント対応ができる組織を目指す方法についてご案内します。

1. 実態調査からわかったセキュリティインシデント状況

今回のアンケートは、　2023年3月15日から3月17日の間に、インターネットを通じて、さまざまな業界における、従業員数500名から5,000名までの情報システム従事者に対して実施しました（有効回答数は500件）。以下に、セキュリティインシデントに関連したアンケート結果を紹介します。

1-1. 45％がセキュリティインシデントを経験

セキュリティインシデント経験の有無について回答した338件のうち、経験有りと答えたのは45％（149件）でした。それらを従業員数で分類すると、500名〜1000名が27％（40件）、1001名〜3000名が53％（79件）、3001〜4999名が20％（30件）となっています。上位の業種は、情報・通信（31件）、金融・保険（21件）、エネルギー・素材。産業機器（14件）でした。

組織の規模・業種を問わずセキュリティインシデントが発生―調査でわかった企業のインシデント対応状況と適切な対処方法 - GSX｜グローバルセキュリティエキスパート株式会社

セキュリティインシデントはどの企業規模、業種においても発生しているため、全ての企業が自身のセキュリティ体制を見直し、必要な対策を講じることが求められます。

1-2. 投資が大きく、専任者がいてもインシデントは起きる

セキュリティインシデント経験のある企業のIT投資予算と、セキュリティ担当者の有無で見てみると、1億円以上の投資予算を持つ企業が45％、専任担当者が2名以上いる企業が58％となりました。

この結果から、経済的な投資や人材配置だけでは十分でないことがわかります。セキュリティ対策が進んでいる企業ほど、インシデントを早期に検出しそれに対応する能力を高められるでしょう。一方で投資が十分でない組織は、インシデントに気付かないだけで、侵入されていたり漏洩が生じているかもしれないのです。

どんな企業でもセキュリティインシデントは起こり得るという現実を認識することが重要です。資金や人材を投入しても、リスクは0にはなりません。企業はセキュリティリスクを下げるだけでなく適切に管理し、事前に予防策を講じ、インシデントに備えて迅速かつ効果的に対応できる体制を整えることが求められます。

1-3. インシデントに対する従業員の意識が重要

インシデント経験のある企業にそれを防げなかった原因を聞き、「関係がある」「やや関係がある」と回答した結果で最も多かったのは「従業員のサイバーセキュリティに対する意識」の125件でした。続いて「ツールによる防衛施策」109件、「インシデント対応体制」107件となっています。

「従業員のサイバーセキュリティに対する意識」の不足がセキュリティインシデントを防げなかった最大の原因として挙げられていることから、組織全体のサイバーセキュリティへの意識向上が重要であることが再確認されます。そのためには経営者自身がサイバーセキュリティの重要性を認識し、それを社内外に明確に示すことが求められます。その上で、従業員一人ひとりがサイバーリスクを理解し、防衛策を当事者として捉え、行動に移せるような教育や訓練が必要です。

「ツールによる防衛施策」や「インシデント対応体制」に関しても、多くの企業でインシデント発生の原因として挙げられていることから、意識を高めるだけでなく、対応プロセスの整備やセキュリティ対策の導入も重要です。これには、最新のサイバー攻撃動向に基づく教育や、ツールを用いた防衛策、インシデント発生後の対応方法の確立などが含まれます。

また、知識の習得だけでなく、シミュレーション等を通じて具体的な対応能力を身につける訓練も有効です。「知っている」だけではなく、「できる」ことが重要なのです。

1-4. サイバーセキュリティ保険加入の実態

サイバーセキュリティ保険の加入実態に関する回答285件のうち、「加入あり」と答えたのは45％の129件でした。サイバーセキュリティインシデントのリスクを認識し、財務的な影響を最小限に抑えるための保険の重要性を理解していることを示しています。

また、セキュリティインシデントを経験した企業127件のうち76％（96件）が「加入あり」と答えました。インシデント経験企業がその重大性を直接経験し、その結果として保険に加入した可能性が考えられます。一方、インシデント経験のない147件のうち「加入あり」と答えたのは18％（27件）でした。

サイバーセキュリティ保険は、企業がサイバー攻撃やデータ侵害などのサイバーインシデントに対する経済的な損失（調査・復旧コストや事業中断損失、法的責任など）を補償するための保険です。直接的な損失だけでなく、事業の継続性や企業の評判を保護するためにも重視されるようになっています。

2. セキュリティインシデントに対応するには

セキュリティインシデントに対する組織的な備えは、日常の「事前準備」「品質向上」とインシデント検知の「事項対応」により、改善のサイクルを継続的に回すことが重要です。セキュリティ意識の醸成や組織全体のコミットメントが欠かせず、経営層によるリーダーシップの重要性も高まっています。

2-1. 事前準備

組織内でのインシデント対応を含むセキュリティポリシーの策定と定期的な周知が必要です。従業員や関係者に対して、インシデントの発生を想定した訓練や教育を行い、セキュリティ意識の向上を図ることが重要です。
また、組織は定期的にリスクアセスメントと脆弱性評価を実施し、セキュリティ脅威に対する弱点を特定します。特に重要な情報資産やシステムに対しては重点的に対策を行い、インシデントを予防すると共に、発生時の適切な対応を可能とします。例えば、ファイアウォールや侵入検知システムなどのセキュリティソリューションの導入などが、インシデントの予防となります。
また、セキュリティインシデントが発生した際の迅速で適切な対応を行うために、インシデント対応手順を策定します。これにはCSIRT等適任な対応チームの編成や連絡手順、報告体制などを含みます。深刻なインシデントが発生した場合、内部の要員だけで対応することが難しい場合があるため、外部の支援を受けることも想定する企業が多いです。

2-2. 事後対応

セキュリティインシデントが発生した場合の対応は次のようなステップに分けられ、これらの手順化や、IT環境を備えておくことが重要です。
① インシデントの検知と報告：
異常なアクティビティの検知とインシデントの早期報告が重要です。セキュリティツールやログのモニタリング、SOC（セキュリティオペレーションセンター）の活用などが含まれます。報告を受けた対応チームにおいてインシデントの発生を判断した場合、迅速に影響を封じ込めるための通信の切断等、指示をします。影響が社外に及ぶと見込まれる場合、対外報告を対応チームが提案し、経営層がリーダーシップを発揮して判断、指示します。
② インシデントの分析：
インシデントに関するデータを保全し、発生した原因や影響を詳細に分析、類似のインシデントが再発しないための対策を対応チームが立案します。フォレンジック調査やログ分析などを手分けして進め、原因を分析します。
③ 対策の実施と復旧：
分析の結果を受けて対応チームが立案したインシデントの再発や影響拡大を防ぐ対策を、経営層がリーダーシップを発揮し、関係者への迅速な実施を指示します。通常業務より優先しての謝罪対応や、侵入者の排除、システム及び業務の復旧などが含まれます。
④ 再発防止策の立案と実施：
インシデント発生について、技術面だけでなく組織的な原因含めて根本的に分析し、再発防止策を立案します。経営層がリーダーシップを発揮し、関係者への再発防止策の実施を指示し、推進することが重要です。なお、再発防止策の経営承認や対外的な説明・了承をもって、インシデントの収束が宣言されるケースが一般的です。

2-3. 品質向上

インシデントに関する情報収集や訓練、発生したインシデントへの対応を通じて得られた知見や経験を活かし、セキュリティ品質を向上する活動も重要です。
特にインシデントが発生した場合、収束後に対応プロセスをレビューし、改善点を特定します。定期的な監査や自己評価も重要です。また、セキュリティインシデントに関して日頃から情報共有やベンチマーキングを行い、他の組織の事例から学びます。セキュリティコミュニティへの参加も有益です。

以上の方法を踏まえることで、より効果的な対応体制を構築し、セキュリティインシデントに組織的に備えることができます。インシデントのみならずセキュリティに関する総合的な視点を持ち、常に効果的な改善を意識することが重要です。

3. GSXのインシデント対応サービス

GSXでは、お客様のセキュリティインシデントの対応力を高めるためのさまざまなサービスを提供しています。

緊急対応サービス

セキュリティインシデントや異常が発生した際の初動対応を支援します。データの保全や脅威の特定・把握、対応計画の早期立案などを迅速に行います。また、マルウェア感染が疑われる場合、GSXの調査用ツールを使用して感染経路、マルウェアの挙動、影響範囲などを調査・解析して報告書を提出する「デジタルフォレンジック」や、Webサイトが改ざんされた場合、対象サーバーや関連機器のログの調査報告書を提出、技術的な調査から経営層への報告、公表内容の策定、再発防止策のアドバイスなど、ニーズに応じた対応を提供します。インシデントが生じた場合はすぐにGSXにご連絡ください。

緊急対応サービス

https://www.gsx.co.jp/services/emergency.html

レッドチーム評価サービス

サイバーセキュリティ対策の評価と改善策の提供を目指すサービスです。実際の攻撃と同様の手段でお客様のネットワーク環境に疑似的なサイバー攻撃を行い、ネットワークや機器のログなど評価の証跡を分析し、報告書を作成し、防御、検知、記録の能力を評価します。定期的に実施することで、セキュリティ対策の有効性を評価・改善していくことを目指すものです。セキュリティ対策強化にお悩みの場合はぜひご相談ください。

レッドチーム評価サービス

https://www.gsx.co.jp/services/findrisk/redteam.html

インシデント対応訓練サービス

お客様のセキュリティ対策の弱点を明らかにし、それを改善するための手段を提供します。ヒアリングに基づく訓練目標と訓練計画の策定を行い、インシデントを仮定したシミュレーション演習の実施と各部署の対応を確認します。そしてGSXの専門家が第三者視点からの評価と分析を行い、改善案を提案します。組織内でインシデント対応の経験が少ない場合や、対策の効果を検証したい場合などに有用です。特に、第三者の視点からの評価は、自社だけでは見落としやすい問題点を発見するのに役立ちます。