Cisco Japan Blog
Share

情報セキュリティ インシデント発生のリスクと対応(1)


2016年10月14日


情報セキュリティインシデントのリスクとは?

「情報セキュリティインシデント」とはいったい何なのでしょうか。また、なぜ「情報セキュリティインシデント」が発生した場合に当事者はどのように対応しなくてはいけないのでしょうか。これから 3回にわたって、考えていきたいと思います。第1回では、「情報セキュリティインシデントのリスク」についてまとめます。

中国の世界遺産「九寨溝」の光と影

九寨溝の湖底に沈む苔むした倒木

図1. 九寨溝の湖底に沈む苔むした倒木

右の写真の風景をどこかで見たことはありますか?中国四川省にある世界遺産「九寨溝」です。カルスト地形から流れ出るカルシウム分を豊富に含む水がたたえる湖が、水墨画のような景色と、コバルトブルーの水面を作り出しています。

標高 2,000メートル以上の高地にあり、中国人に最も人気のある国内旅行先の一つとなっています。以前は成都からバスで 10 時間以上かかる秘境でしたが、2003年に四川九寨黄龍空港が完成して飛行機が利用できるようになってからは、観光客が爆発的に増えています。

筆者は 2014年9月に九寨溝を旅行で行きました。その際に驚いたことが二つあります。一つ目は、場所によっては標高 4,000メートル近くの高地だというのに(富士山より高い!)、浦安のテーマパークのような入場ゲートが整備され、その先の道路も舗装されていて、山道どころかきれいに整備された遊歩道が延々と続いていること。サンダル履きで撮影ポイントにたどりついて記念撮影する観光客もいるほどです。

整備された歩道から記念撮影する観光客

図2. 整備された歩道から記念撮影する観光客

二つ目は、湖に沈む倒木が美しく苔むしている様子が透明なコバルトブルーの湖底に見えるのが九寨溝の景色の美しさを演出しているのですが、倒木の切り口が明らかに直線的でチェーンソーによるものと思われるものが多数あること。この世とは思えない美しい景色を見ながら、この景色が未来永劫続いて欲しいと願う一方で、美しい景色を見せるという名目で自然破壊が行われているのではないかという思いが交錯しました。

このように、一つの風景も他の切り口でとらえると全く違った側面を見せることがあります。「情報セキュリティインシデント」にも、同様に違った側面があります。

情報セキュリティインシデントと言えば、記憶に新しいのは2015年6月、日本年金機構が公表した約125万件の個人情報流出事案です。これは、日本の公的機関では過去に類を見ない規模の情報流出でした。かねてからの年金に対する国民の不信・不安もあり、マスコミにより大々的に報道されました。また 2015年12月には、ウクライナでサイバー攻撃が発端とされる停電が発生し、約8万の顧客への送電に影響が出たと報道されました。

今や、私たちの生活はシステムの上に成り立っており、それなしでは成り立ちません。マスコミでは、ほぼ連日のように「情報セキュリティ インシデント」発生の報道がされています。おそらく、報道されていない「標的型メールの開封」「PC のウイルス感染」といったケースを含めると、身の回りでも情報セキュリティ インシデントは日常茶飯事と言っても過言ではありません。

「情報セキュリティインシデント」とは

サイバーセキュリティ戦略本部による「日本年金機構における個人情報流出事案に関する原因究明調査結果」

図3. サイバーセキュリティ戦略本部による「日本年金機構における個人情報流出事案に関する原因究明調査結果」

「情報セキュリティインシデント」とは、一般的にはサイバー攻撃によって発生する事象を連想させる用語となっていますが、実際には異なります。その定義は JIS(日本工業規格)Q27000:2014 で以下のように規定されています。

「望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。」

また、同規格では情報セキュリティとは「情報の機密性、完全性及び可用性を維持すること」とされています。

つまり、インシデントがどのような経緯で発生したかに関係なく、結果として、事業運営が危うくなったり(言い換えると、業務の継続に支障を及ぼす事態になったり)、情報が漏えいされるといった問題が発生したかどうかが、「情報セキュリティインシデント」と判断される基準となります。したがって、サイバー攻撃による情報漏えい事案は当然のこと、それ以外にもシステムの不具合による停止、個人の過失による USB メモリなどの紛失、さらには誤って机から PC に飲み物をこぼしたことによる端末故障さえも、正確には「情報セキュリティ インシデント」の範疇となり得ます。

情報セキュリティインシデントのリスク

では、情報セキュリティ インシデント(以下「インシデント」)が発生した際、当事者にはどのようなリスクをもたらすのでしょうか。リスクの種類を 4つに分類して考えていきます。

表1. 情報セキュリティインシデント発生のリスク
リスクの種類 具体例
直接的リスク 業務停止による被害
金銭的な被害
間接的リスク 風評被害
複合的リスク 個人情報の漏えい
その他

(1) 直接的なリスク
インシデントが発生した際には、何らかの業務支障が発生することが考えられ、それを通常の状態に回復させるために、人的・金銭的リソースを費やす必要があります。例えば、空港などの発券システムでシステム障害が発生した場合、そのシステム自体を復帰させ、原状回復するためにリソースを投入します。さらに、航空機が運航できなかった間の乗客の代替移動手段の確保や、宿泊場所の提供など、本来の(航空機を運航するという)業務への影響も発生します。これらはインシデントが発生した組織に直接のダメージを与えるという意味で直接的リスクに分類されます。

また、昨今多数の被害が報告されているいわゆるランサムウェア(感染するとファイルを暗号化して金銭を要求し、払い込むと暗号化解除する「身代金要求型」のマルウェア)も、直接的なリスクの一つです。

(2) 間接的リスク
インシデントが発生した際に、その組織に間接的なダメージを与えるリスクもあります。たとえば、インシデントが発生したことで(実際にどのような問題があったかどうかには関係なく)、当事者の組織に「情報の管理が甘い」「組織体質に問題がある」というイメージを植え付けて組織の評判を下げ、業績等に影響を与えることなどです。これが組織への間接的リスクです。

(3) 複合的リスク
個人情報の流出事案においては、その流出自体による金銭的な損失(直接的リスク)はさほどクリティカルではないものの、結果的に組織の評判・イメージに多大な悪影響を与える(間接的リスク)というケースが複合的リスクにあたります。

典型的な例は、2014年7月に公表された通信教育の最大手企業ベネッセコーポレーションにおいて発生した個人情報流出事案です。この事案は、内部犯行による情報漏えいでしたが、(漏えいとは直接関係のない)子供の顧客情報の収集方法にも批判が集まり、会員の解約が相次いだことで業績に多大な影響を与えました。

(4) その他
多くのリスクが上記の 3つに分類されますが、これ以外にもインシデント発生の際のリスクは存在します。

2015年後半から2016年前半に“アノニマス”と呼ばれる匿名のハッカー集団が、反捕鯨・反イルカ漁を名目に多数の日本やアイスランドの水族館、政府機関、企業などなど様々な組織の Web サイトに DDoS 攻撃や Web 改ざんを仕掛けるキャンペーンが発生しました。

DDoS 攻撃そのものや Web 改ざんは仕掛けた組織に対する業務妨害に当たるといえますが、比較的早期に復旧することが可能であり、業務妨害自体が影響を及ぼすリスクは大きくはありません。サイバー攻撃をしかけた側はツイッター等の SNS で「犯行声明」を掲載し、注目を浴びて世界中に彼(ら)の主張を発信する。これが主目的であると考えられます。マスコミにその主張が取り上げられれば影響はより「効果的」です。彼(ら)にしてみれば、注目されることが主目的なのですから、攻撃先が怨恨の対象であるか否か、今まで攻撃者と関わり合いがあるか否かも全く関係ありません。

つまり、Web システムの脆弱性を放置することにより、結果的にサイバー攻撃を行う者に荷担することになるリスクがあることを認識する必要があるのです。

システム管理者に必要な心がけ

インシデントあるいはサイバー攻撃に関するニュースがあふれる中、各組織のシステム管理者は以上のようなリスクに十分注意して、未然にシステム、体制両面で対応できるようにする必要があります。

マスコミでは、攻撃を受けた組織へのシステム管理体制が適正だったのか(適正でなかったに違いない)、というワイドショー的な観点、つまり間接的リスクに世間のフォーカスが当たりがちですが、重要なのはむしろ、インシデントが発生した後、速やかにリスク評価・トリアージを行い、担当者にリスクに応じた裁量権を与えて対応させることです。

DDoS 攻撃でサイトが一定期間閲覧しづらくなったことと、標的型攻撃による漏えい事案は明らかにリスクが異なり、必要とされる対応が異なってくるのです。

次回は、こうしたインシデントが発生した場合の対応について考えていきます。

Tags:
コメントを書く