情報セキュリティインシデントの対策としてのISMS認証
テクノロジーの発展とともに高度化するサイバー攻撃の脅威。その脅威から身を守るために組織にも対策が求められています。ここでは、情報セキュリティインシデントを防止する対策としてのISMS認証について解説します。
情報セキュリティインシデントとは?
情報セキュリティインシデントとは、組織の情報セキュリティ上の脅威となる事象を指します。具体な例としては、ランサムウェア攻撃やマルウェア感染、地震・台風といった物理的損壊による外部要因があります。その他の原因として、多くの割合を占めているのが、組織の内的要因を発端とする情報セキュリティインシデントです。
インターネット接続によるサービスを利用することが当たり前となった現在、スマートフォンのような私物端末なども、サイバー攻撃の的となる事故が懸念されています。こうしたサイバー攻撃は常に進化しながら今後も続くことが予想されているため、常にトレンドを追い求め、外部要因・内部要因どちらにも対策できるよう適切な対策が求められます。
情報セキュリティインシデントが発生する理由
情報セキュリティインシデントの原因には、ランサムウェアやマルウェアのような外部からの攻撃があります。また、内部での人為的ミスや悪意のある操作、事故や災害による物理的な損壊なども考えられるでしょう。
しかし、こうした情報セキュリティインシデントの発生に共通する大きな理由は、インシデントを排除するための適切な対策が整備されていないことです。組織や企業にとって情報セキュリティに対するリスクマネジメントは、今や重要な経営課題のひとつであり、これを保護することは組織や企業にとっての社会的責務だといえるでしょう。
情報セキュリティインシデントにはどんな種類がある?
情報セキュリティインシデントを大まかに分けると内的要因、外的要因のほか、外部環境による要因があります。そんな情報セキュリティインシデントの中から、社会的影響の大きいセキュリティ攻撃や事故をピックアップして紹介します。
マルウェア感染(迷惑メール)
マルウェア感染は、迷惑メールを通じてしばしば発生するインシデントです。不審なメールに添付されたファイルを開くことで、ウイルスやスパイウェアがシステムに侵入し、情報の窃取やシステムの乗っ取りが行われる場合があります。このタイプのインシデントは、ユーザーの注意喚起とセキュリティソフトウェアの更新により、ある程度予防が可能です。
不正アクセス(データ改ざん・消去など)
不正アクセスによるインシデントは、外部からの攻撃者によるデータの改ざんや消去が行われます。システムの脆弱性を突いた攻撃や、利用者のアカウント情報が漏洩することにより発生。リスト攻撃のように、同じIDやパスワードを使い回すことが原因となり、不正アクセスを許してしまうケースもあるでしょう。また、内的要因に起因する不正アクセスには、アクセス権限者の不注意によるデータ改ざんや消去などもあります。
定期的なシステムの監視と脆弱性の早期発見・修正が、このタイプのインシデント対策の鍵を握ります。
情報漏えい(無意識・故意)
転職の際に顧客情報を不正に持ち出し、逮捕者を出すような事例もありますが、不注意やミスなど、無意識による情報漏えいの事例も多く発生しています。これらは、組織の信用や大きな損失につながるものですが、残念ながらヒューマンエラーは一定の割合で発生してしまうものです。完全に無くすことはできませんが、従業員への定期的なセキュリティ教育と情報管理の徹底によりインシデントを減らすことは可能です。
記憶媒体の紛失や盗難
携帯可能な記憶媒体の紛失や盗難も、情報セキュリティインシデントの一種です。重要な情報が保存されたUSBメモリやノートパソコンがなくなることで、外部に情報が漏れるリスクが生じます。物理的なセキュリティ対策と、重要情報の暗号化が対策として挙げられます。
自然災害によるセキュリティ設備の破損
地震や台風、落雷などによるセキュリティ設備の破損も、情報セキュリティインシデントのひとつです。災害はあまり起きないだろうと対策を怠ると、何かあった時に組織や企業は事業を継続できません。例えば東日本大震災の発生後、多くの組織や企業が復旧に時間とコストを要しましたが、存続できず廃業した組織や企業も少なくありませんでした。災害対策としてのバックアップとリカバリプランの準備が必要です。
利用している社外サービスの障害
利用している社外サービスの故障やサイバー攻撃など、障害によりサービスの利用ができなくなるインシデントです。自社の事業活動が停止してしまうだけでなく、社外サービスの管理システムに障害が起きた場合は、顧客情報の流出などの深刻なセキュリティインシデントに発展する恐れもあります。
情報セキュリティインシデントの対策方法
未然に防げることがベターですが、万が一情報セキュリティインシデントには迅速な対応が必要です。ここではインシデントが発生した際に何をするべきなのか対策方法をまとめました。
保護対象となる情報資産を把握する
組織で保有する情報資産の中から、保護対象となる情報資産を把握します。情報資産を管理する意識が低く「何が」「どこ」に保存されているのか把握されていなければ、対策を行うことはできません。
例えば、個人情報がUSBに保存されていたとします。しかし、どのUSBに保存されているのかわからないことを想像してみれば、その危険性が理解できるでしょう。また、情報資産は、HDDやUSB、紙などさまざまな形で保存されているため、管理されていない私物のパソコンやファイル、スマートフォンなどにも注意が必要です。
情報セキュリティ体制を整える
情報セキュリティインシデントが発生した際には迅速な対応が必要になるため、ネットワークやシステムをすぐに復旧させることができる人員の確保は不可欠です。さらに、いつ発生するかわからないため、緊急時、夜間や休日でも速やかに対応できるよう、セキュリティ対策の責任者の連絡方法、指揮系統など、事前に体制を整えておく必要があります。
加えて、情報セキュリティ体制を整える際に大切なポイントは、情報資産を共有するすべての人がセキュリティ意識を持つことです。担当者だけが情報セキュリティ対策を行っていればよいという意識では、インシデントを防止することは困難です。
従業員に情報の取り扱いについて教育する
悪意を持った犯行でなくとも、組織の対策の不備や従業員に対する情報リテラシー教育の不足やミスによって情報が漏えいする事例も少なくありません。そのため、システムの強化だけでなく、機密情報の管理の徹底など、従業員の情報リテラシー向上のための教育も、事前対策として必要不可欠です。まずは、組織としてあらかじめ情報セキュリティポリシーを定め、それに沿った行動が確実に実行されるよう、従業員の意識向上を促すことが必要です。
情報セキュリティ対策としてのISMSの導入もあり
ISMSを導入することは、組織の情報セキュリティレベルを向上させることにつながります。その効果として、情報セキュリティインシデントの発生確率や発生時の影響を小さくすることにも繋がるでしょう。しかしその一方で、組織の情報システム部では人材不足などの課題があるため対策が追いつかず、情報セキュリティ体制を整備することは難しい課題です。情報セキュリティ対策の強化につながるISMS取得ですが、自社の知識やノウハウでは難しいと判断した際には、コンサルを利用したほうが良いでしょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。