ゲイトウェイ・コンピュータ株式会社

Security

中小企業におけるセキュリティ対策とは?インシデントが発生したらどうする?

2024.05.24更新

近年ではサプライチェーンを構成する中小企業においてもサイバー攻撃の脅威にさらされています。もし被害にあった場合、多額の損害賠償が発生する恐れや、企業としての信頼失墜、最悪のケースでは操業停止といった可能性もあるでしょう。

IPA(独立行政法人情報処理推進機構)が発表している10大脅威2024でもサプライチェーンの弱点を悪用した攻撃は2位となっており、2019年以降6年連続でランクインしています。

サプライチェーン攻撃については以前のコラムでもご紹介していますので、ぜひそちらもご覧になってください。

参考:中小企業におけるサイバー攻撃の脅威とは?


<中小企業向けのガイドライン>

IPAとは独立行政法人情報処理推進機構(Information-Technology Promotion Agency, Japan)のことであり、経済産業省のIT政策実施機関です。

IPAでは中小企業向けに情報セキュリティガイドラインを公開しており、「できることから始める」と段階的に取り組むことを提唱したうえで、経営者編と実践編の2部構成で公開しています。
「何から始めれば良いのかわからない・・」や「思いつくことは取り組んでいるけどしっかり対策が取れているのか不安だ・・」など、現在の取り組みに不安がある場合や、改めて専門機関によるガイドラインを参照したい場合はぜひご一読されることをおすすめします。

本編:中小企業の情報セキュリティ対策ガイドライン第3.1版(全70ページ)(PDF:11.9 MB)


<セキュリティインシデントの対応>

今回のコラムでは“中小企業の情報セキュリティガイドライン第3.1版”実践編の“より強固にするための方策”から「(5)セキュリティインシデント対応」について注目してみたいと思います。

以前のコラムでは第2部実践編「できることから始める」にある“情報セキュリティ5か条”について紹介していますので、まだご覧になっていない方はこちらもチェックしてください。

参考:ご存知ですか?「情報セキュリティ5か条」


さて本題に移りましょう。
サイバー攻撃が高度化、巧妙化していることに伴い、情報セキュリティインシデント=情報漏えい、改ざん、破壊、消失、機能停止またはそれにつながる可能性が増加しています。
そのため大企業のみならず中小企業や小規模事業者であっても重要情報を有する場合や取引先に大手企業を含む場合などは標的になる可能性があり、自然災害やパンデミックによるBCP対策同様に情報セキュリティにおいてもインシデントを想定した備えを行う必要があります。

インシデント発生時の対応としては以下の3つの段階に分けて検討します。

➣検知・初動対応

   ◉インシデントの兆候や発生を検知したり、外部からの通報を受けた場合は
      速やかに情報セキュリティ責任者へ報告する。
 ◉情報セキュリティ責任者はインシデントの緊急度、優先度などの判断を
      行い、対応すべきインシデントであった場合は速やかに経営者へ報告する。
 ◉経営者はインシデントが顧客や事業に与える影響を踏まえ、速やかに
     インシデント対応の体制をつくり、対応方針の指示をする。

     初動対応においては被害の拡大防止を意識して、被害対象の隔離、
     ネットワークの遮断、システム・サービスの停止、などの防止策を
     必要に応じて実施する。

➣報告・公表

   ◉もし二次的な被害が想定される場合は本人にその事実を報告する。
 ◉インシデントの影響が広く一般に及ぶ場合は、状況をウェブサイトや
      メディアを通じて公表する。
 ◉但し、公表によって被害の拡大を招かないように時期、内容、対象などは
      考慮する。
 ◉被害の規模などによっては必要に応じて専用受付お問い合わせ窓口を
      開設して動向・状況を把握して対応する。

 ◉インシデント対応完了後は影響を与えた関係者に対して対応状況や
      再発防止策などを報告する。
 ◉個人情報の漏えいなどの場合は個人情報保護委員会、業法により
      求められる場合は所管の省庁、犯罪性がある場合は警察、サイバー攻撃の
      場合はIPAに届け出る。

➣復旧・再発防止

   ◉復旧にあたってはまず原因の調査・解析をする。
 ◉その際にインシデントが発覚または発生から現時点までの時系列を
      表面化している事象、被害、影響を含めて現時点で想定される原因などの
      情報をまとめておく。
 ◉原因に応じて被害対象の機器などに修正パッチ適用、設定変更、機器入替、
      データ復元などの対応をおこなう。
 ◉自社での対応が困難な場合は外部ITベンダーや公的機関の専門窓口に
      相談する。
 ◉訴訟対応が見込まれる場合は調査段階で事実関係を裏付ける情報、
      証拠を保全し、必要に応じてフォレンジック調査を行う。

※フォレンジック調査:HDD・SSD/メモリ/USBメモリやSDカードなどの記憶媒体/ スマートフォンやクラウド内にあるデータ、およびサーバー/ネットワーク機器などのログを調査して被害に関する証拠を収集すること

 ◉インシデント対応後は停止したシステム・サービスを復旧し、経営者へ
      対応結果を報告する。
 ◉再発防止のため根本原因を分析し、必要に応じて新たなサービス・
      ソリューションの導入、ルール策定、社員教育の徹底、体制の整備、
      運用の改善などの抜本的な再発防止策を実施する。


いかがでしたでしょうか。
今回はIPAの情報セキュリティガイドラインから、“セキュリティインシデント対応”についてご紹介しました。
もし情報セキュリティインシデントが発生した場合の対応は多岐に及ぶことがご理解いただけたかと思います。
また、自社で対応を行うにあたってはSOCやCSIRTの体制をつくり、いざという時の対応に備えた検討もしましょう。

しかし、すべての企業がそれらのリソース、体制を整えることは難しいというのも現状です。
そういった場合はEDR/MDR/XDRの導入や外部SOCサービスなどの導入も検討してみましょう。

<Acronis Cyber Protect Cloud>

統合型セキュリティソリューションのAcronis Cyber Protect CloudではEDR(侵害の検出~調査/分析の対応)の機能に加え、侵入防御(シグネイチャーベースのアンチマルウェア、AI/機械学習による行動パターン、振る舞い検知)、復旧(不変ストレージによるクラウドバックアップ→復元~ディザスタリカバリー)までを1つのソリューションで包括的に保護します。
さらにデバイス管理、アップデートパッチ管理、脆弱性診断、URLフィルタリングなどの機能を提供し、情報セキュリティ対策を強固にしながらも、情報セキュリティ担当者、責任者、経営者の時間と労力を削減します。

ゲイトウェイ・コンピュータでは無償の評価版提供や各種キャンペーンもございますので、ぜひお気軽にご相談ください。

お問い合わせはこちらから

カテゴリー

最近の投稿

アーカイブ