インシデントの意味に立ち返る
今回のテーマは「インシデント」です。この場合はセキュリティインシデントを指すと考えてください。基本的な用語ではありますが、この意味をもう一度考えてみたいと思います。
なぜかというと、会社などの組織はインシデントが発生してしまった場合、対応する必要がありますが、どういったケースがインシデントであり、対応が必要になるか?という点が言葉の意味を理解して、それが共有されていないとできなくなるためです。
そのため、言葉の意味をきちんと捉えておくことは大変重要なこととなります。
インシデントとは?
インシデントという言葉は少し理解しづらい言葉です。まずは定義を確認してみましょう。JPCERT/CCでは、セキュリティインシデントのことを以下のように定義しています。
コンピューターセキュリティインシデントとは、「情報システムの運用におけるセキュリティ上の問題として捉えられる事象」です。
若干わかりづらい表現が用いられていますが、簡単にいってしまうと、コンピューターのセキュリティに関する、「事件」や「事故」のことです。
一般にインシデントという言葉は、事件や事故が発生した後の事だけでではなく、それ以前に起きている事象も、実際に起こった事態も、いずれにも使います。
コンピューターに関わることがインシデントになりますが、単に個人のパソコンが故障して使えなくなった、というのはインシデントとしては扱うことはありません。インシデントは、情報システムの安全性が脅かされるような、組織にとって脅威となるものを意味します。
インシデントの発生要因
少し例を挙げないとイメージしづらいかもしれませんので、いくつか挙げてみます。インシデントが発生する原因はさまざまです。しかし、原因をざっくりと大きくわけると大きく3種類に分類できます。
外的要因
組織外からのいわゆるサイバー攻撃です。悪意をもったクラッカー(ハッカー)などの第三者によって実行される犯罪行為です。
内部要因
組織内部の人間がおこすものです。個人的な利益を得るために、組織が保有している機密情報や個人情報を不正に内部サーバーにアクセスして入手、売却するような行為があります。
また、意図的に行われるものだけではなく例えば、AWSやAzureのようなパブリッククラウドやWebサーバーの設定ミスによって意図せず公開すべきではない情報が一般にさらされてしまったり、従業員が泥酔して、持ち運んでいたPCを紛失した、といった事象もここに含まれます。
環境要因
日本は自然災害が多く発生する国です。地震や火災などの自然災害や、あるいは停電のような物理的な災害被害もインシデントの発生起因として考えます。
インシデントの具体例
マルウェア(悪意のあるソフトウェア)に感染することなどが代表例です。最近ではランサムウェアが広く犯罪行為に使われていますが、それ以外にもPCのデータを破壊するっマルウェアや、情報を搾取するマルウェアなどさまざまなものがあります。
代表的な感染経路としては、電子メールの添付ファイルや、不正なWebサイトへ誘導するためのURLを記載するようなものや、USBメモリを介した感染が多数を占めています。
それから、不正アクセスも見逃すことができないインシデントの例です。これは、本来アクセスしてはいけない、権限を持たない者がシステムに不正に侵入する行為です。IDとパスワードが盗まれたり、あるいは簡便な文字列を使用していたため、パスワードが推測されてしまうなどして不正アクセスは行われます。
会社のサーバーに侵入してデータを搾取、改ざん、削除と言った行動を行うことも不正アクセスだといえます。内部犯行であるケースも多くあります。
また、近年社会的な注目度が高まっているのは情報漏洩でしょう。これは本来秘密にしておくべき情報が意図せず、あるいは不正行為によって外部に漏洩してしまうことを意味します。よくある例が、顧客情報を含んだメールを別の宛先に誤送信してしまう事件で、後を絶ちません。
最後にサービスの停止やシステムの障害が挙げられます。これはオンラインショッピングのサイトや企業の公式サイトへのアクセスが正常にできなくなる事態です。大量のデータを悪意のある者に送りつけられて発生する(DoS攻撃)ものもありますし、ソフトウェアの重大なバグによってシステムが停止してしまうケースもあり得ます。環境起因のインシデントのところでも挙げましたが、災害によってシステムが破損してしまって起こる場合もインシデントです。
まとめ
セキュリティにおけるインシデントとは、コンピューターシステムに予期せず、望まない情報漏洩や、システム停止などの何らかの悪影響を発生する事故や事件のことです。
発生したものだけではなく、発生する可能性が高くなった時点でもインシデントとして扱うことが一般的です。
繰り返しになりますが、インシデントの定義をきちんと理解して、関係者で共有しておくことによって、どういった場合に組織としてインシデントへの対応が必要になるのかがきちんと理解が促進されます。そのため、基本的な事項ではありますが、定期的に確認し、特に新規に組織に加わったメンバーには認識を共有するための手段を用意しておくのが良いでしょう。
