情報セキュリティインシデントの対策としてのISMS認証
テクノロジーの発展とともに高度化するサイバー攻撃の脅威。その脅威から身を守るために組織にも対策が求められています。ここでは、情報セキュリティインシデントを防止する対策としてのISMS認証について解説します。
情報セキュリティインシデントとは?
情報セキュリティインシデントとは、組織の情報セキュリティ上の脅威となる事象を指します。具体な例としては、ランサムウェア攻撃やマルウェア感染、地震・台風といった物理的損壊による外部要因があります。その他の原因として、多くの割合を占めているのが、組織の内的要因を発端とする情報セキュリティインシデントです。
インターネット接続によるサービスを利用することが当たり前となった現在、スマートフォンのような私物端末なども、サイバー攻撃の的となる事故が懸念されています。こうしたサイバー攻撃は常に進化しながら今後も続くことが予想されているため、常にトレンドを追い求め、外部要因・内部要因どちらにも対策できるよう適切な対策が求められます。
情報セキュリティインシデントが発生する理由
情報セキュリティインシデントの原因には、ランサムウェアやマルウェアのような外部からの攻撃があります。また、内部での人為的ミスや悪意のある操作、事故や災害による物理的な損壊なども考えられるでしょう。
しかし、こうした情報セキュリティインシデントの発生に共通する大きな理由は、インシデントを排除するための適切な対策が整備されていないことです。組織や企業にとって情報セキュリティに対するリスクマネジメントは、今や重要な経営課題のひとつであり、これを保護することは組織や企業にとっての社会的責務だといえるでしょう。
情報セキュリティインシデントにはどんな種類がある?
情報セキュリティインシデントを大まかに分けると内的要因、外的要因のほか、外部環境による要因があります。そんな情報セキュリティインシデントの中から、社会的影響の大きいセキュリティ攻撃や事故をピックアップして紹介します。
マルウェア感染(迷惑メール)
マルウェア感染は、迷惑メールを通じてしばしば発生するインシデントです。不審なメールに添付されたファイルを開くことで、ウイルスやスパイウェアがシステムに侵入し、情報の窃取やシステムの乗っ取りが行われる場合があります。このタイプのインシデントは、ユーザーの注意喚起とセキュリティソフトウェアの更新により、ある程度予防が可能です。
不正アクセス(データ改ざん・消去など)
不正アクセスによるインシデントは、外部からの攻撃者によるデータの改ざんや消去が行われます。システムの脆弱性を突いた攻撃や、利用者のアカウント情報が漏洩することにより発生。リスト攻撃のように、同じIDやパスワードを使い回すことが原因となり、不正アクセスを許してしまうケースもあるでしょう。また、内的要因に起因する不正アクセスには、アクセス権限者の不注意によるデータ改ざんや消去などもあります。
定期的なシステムの監視と脆弱性の早期発見・修正が、このタイプのインシデント対策の鍵を握ります。
情報漏えい(無意識・故意)
転職の際に顧客情報を不正に持ち出し、逮捕者を出すような事例もありますが、不注意やミスなど、無意識による情報漏えいの事例も多く発生しています。これらは、組織の信用や大きな損失につながるものですが、残念ながらヒューマンエラーは一定の割合で発生してしまうものです。完全に無くすことはできませんが、従業員への定期的なセキュリティ教育と情報管理の徹底によりインシデントを減らすことは可能です。
記憶媒体の紛失や盗難
携帯可能な記憶媒体の紛失や盗難も、情報セキュリティインシデントの一種です。重要な情報が保存されたUSBメモリやノートパソコンがなくなることで、外部に情報が漏れるリスクが生じます。物理的なセキュリティ対策と、重要情報の暗号化が対策として挙げられます。
自然災害によるセキュリティ設備の破損
地震や台風、落雷などによるセキュリティ設備の破損も、情報セキュリティインシデントのひとつです。災害はあまり起きないだろうと対策を怠ると、何かあった時に組織や企業は事業を継続できません。例えば東日本大震災の発生後、多くの組織や企業が復旧に時間とコストを要しましたが、存続できず廃業した組織や企業も少なくありませんでした。災害対策としてのバックアップとリカバリプランの準備が必要です。
利用している社外サービスの障害
利用している社外サービスの故障やサイバー攻撃など、障害によりサービスの利用ができなくなるインシデントです。自社の事業活動が停止してしまうだけでなく、社外サービスの管理システムに障害が起きた場合は、顧客情報の流出などの深刻なセキュリティインシデントに発展する恐れもあります。
情報セキュリティインシデントの対策方法
未然に防げることがベターですが、万が一情報セキュリティインシデントには迅速な対応が必要です。ここではインシデントが発生した際に何をするべきなのか対策方法をまとめました。
保護対象となる情報資産を把握する
組織で保有する情報資産の中から、保護対象となる情報資産を把握します。情報資産を管理する意識が低く「何が」「どこ」に保存されているのか把握されていなければ、対策を行うことはできません。
例えば、個人情報がUSBに保存されていたとします。しかし、どのUSBに保存されているのかわからないことを想像してみれば、その危険性が理解できるでしょう。また、情報資産は、HDDやUSB、紙などさまざまな形で保存されているため、管理されていない私物のパソコンやファイル、スマートフォンなどにも注意が必要です。
情報セキュリティ体制を整える
情報セキュリティインシデントが発生した際には迅速な対応が必要になるため、ネットワークやシステムをすぐに復旧させることができる人員の確保は不可欠です。さらに、いつ発生するかわからないため、緊急時、夜間や休日でも速やかに対応できるよう、セキュリティ対策の責任者の連絡方法、指揮系統など、事前に体制を整えておく必要があります。
加えて、情報セキュリティ体制を整える際に大切なポイントは、情報資産を共有するすべての人がセキュリティ意識を持つことです。担当者だけが情報セキュリティ対策を行っていればよいという意識では、インシデントを防止することは困難です。
従業員に情報の取り扱いについて教育する
悪意を持った犯行でなくとも、組織の対策の不備や従業員に対する情報リテラシー教育の不足やミスによって情報が漏えいする事例も少なくありません。そのため、システムの強化だけでなく、機密情報の管理の徹底など、従業員の情報リテラシー向上のための教育も、事前対策として必要不可欠です。まずは、組織としてあらかじめ情報セキュリティポリシーを定め、それに沿った行動が確実に実行されるよう、従業員の意識向上を促すことが必要です。
情報セキュリティ対策としてのISMSの導入もあり
ISMSを導入することは、組織の情報セキュリティレベルを向上させることにつながります。その効果として、情報セキュリティインシデントの発生確率や発生時の影響を小さくすることにも繋がるでしょう。しかしその一方で、組織の情報システム部では人材不足などの課題があるため対策が追いつかず、情報セキュリティ体制を整備することは難しい課題です。情報セキュリティ対策の強化につながるISMS取得ですが、自社の知識やノウハウでは難しいと判断した際には、コンサルを利用したほうが良いでしょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。