目次





   はじめに

あなたの企業では、サイバーセキュリティを『事業継続リスク』として位置づけて対策を検討していますか?

事業継続を脅かすリスクとして、災害、労務、法務、財務上のリスク等がありますが、ITが経営に欠かせない現代においては「サイバーセキュリティ」や「情報セキュリティ」は、事業継続上のリスクとして対策を考えておく必要があります。インシデントの発生を防ぐ予防対策は当然必要ですが、インシデント発生時に被害を最小化して、いかに早く復旧させるかを考えておくことが重要です。

2022年2月に自動車部品のサプライヤーがサイバー攻撃によるマルウェア感染の被害を受け、自動車の生産にも大きな影響を及ぼすという事件がありましたが、サプライチェーン全体においてサイバーリスク対策の重要性を改めて認識された企業も多かったのではないでしょうか。


   サイバー攻撃はどの企業でも被害にあう可能性がある

前述のようなサイバー被害は、ITを活用していれば規模や業種に関わらずどんな企業にとっても対岸の火事ではありません。

日本情報システムユーザ協会(JUAS)の報告資料「企業IT動向調査報告書2022」によると、標的型攻撃メールによる被害は、回答のあった企業1,121社の 14.4%(2021年度)で発生しており、ランサムウェア感染による脅迫等の被害も9.6%(2021年度)で発生ありとなっています。

10社に1~2社は被害にあっていると考えると、どの企業も被害にあってもおかしくない状況です。

セキュリティ対策の啓発も盛んに実施されているので、予防対策は進んでいるはずですが、例えば警察庁発表のマルウェア感染被害件数の過去3半期の件数増加を見ても、サイバー被害は増加傾向にあると思って間違いなさそうです。

図表1:企業・団体等におけるランサムウェア被害の報告件数の推移

出典:令和3年におけるサイバー空間をめぐる脅威の情勢等について(令和4年4月7日発表)


   サイバーセキュリティ被害発生を前提に対策を検討する

セキュリティインシデントを事業継続リスクとして、サイバー被害の発生を前提に対策を考えていく必要がありますが、未だに予防対策(発生前の対策)を重視している企業が多いのが実態です。

JUASの「企業IT動向調査報告書2022」の報告では、比重を置く施策として「防御」35.9%「検知」35.8%と合わせて7割以上になる一方で、インシデントが検知された後の「対応」9.8%、「復旧」4.6%と合わせても1割程度となっています。

防御(予防対策)に注力してきた企業も、インシデント発生後の対策に取り組み、サイバーセキュリティ・情報セキュリティにおける事業継続力を高めていくことが求められています。



   サイバーインシデント対応プロセス整備のすすめ

インシデント対応策として、インシデント対応プロセスの整備は、現在の環境を前提として直ぐにでも取り組むことは可能です。ここでは、中堅・中小企業がインシデント対応体制や対応手順を整備する上で、明らかにしておくべきポイントについて見ていきます。

■インシデント対応体制の明確化

インシデント発生時の対応チームとして、「CSIRT」(シーサート:Computer Security Incident Response Team)が必要とされていますが、専任チームを構成するのは、予算や人的リソースの面から容易ではありません。まずは、現行のIT部門を中心にして、平時と有事の体制・役割を明確にしておくことをおすすめします。

平時の対策を検討する役割(セキュリティ対策検討の延長線)とは別に、有事の時に対応できる役割を定義しておくことが重要です。以下の表に示す役割が遂行できる体制を予め決めておきましょう。



■インシデント対応マニュアルの整備



インシデント体制がきちんと機能するように対応手順をマニュアル化して整備しておくことが必要です。

インシデント対応で必要なプロセスは、上の図で示したものがあります。

各フェーズにおいて、手順として検討しておくポイントを紹介します。


  1. 検知・連絡受付
    組織として、インシデントの発見者から早く的確に情報を収集して対処しなければなりません。
    発見者が迷うことがないようにインシデント受付窓口は単一窓口にして、連絡手段(電子メールアドレス、電話番号、チャット宛先など)と共に社内に周知しておくことが重要です。
    インシデント受付窓口は、インシデント対応部門(IT部門やCSIRT)にエスカレーションされるように社内連絡先も明確にしておきます。
    事象によっては、外部機関に相談することになるので、監督官庁、警察、情報処理推進機構(IPA) 、JPCERTコーディネーションセンター(JPCERT/CC)など外部連絡先一覧も整備しておきます。

  2. 検査・分析
    CSIRTとしてのリソースを効率的に配分するために、発生事象の重要度について優先順位付け「トリアージ」の基準を明確にしておきます。
    発見者や当事者から得られた情報から、マルウェア感染があるのか? 感染の範囲は? 情報漏洩の有無は? などを整理して、CSIRTとして対処が必要なインシデントなのかを迅速に判断することが必要です。
    ここでは、スピードが大事なので、ログやデータをもとに詳細な証拠集め(デジタルフォレンジック)に先立って、発見者の報告内容や目視確認等でわかることから判断することを優先すべきです。重大なインシデントの可能性がある場合には、事業継続体制(例えば、緊急対策本部)の発動とすることがありますので、発動の基準、影響レベルの判断基準(例えば、重大、通常、軽微…)を決めておくことも必要となります。

  3. 初動対応
    検査・分析の結果から、対応方針を決めて、本格的な調査と対応を実施するフェーズです。
    対応方針を決めるのは、重大なインシデントの場合は、経営層や緊急時の対策本部体制になるでしょうし、範囲が局所的で軽微なものであればCSIRTの責任者が決定することも考えられます。対応方針のような重要な意思決定者は混乱しないように明記しておくことです。
    本格的な調査にあたっては、通信ログやマルウェアが動作した痕跡など証拠となるデータが消失しないように証拠保全を図る必要があります。クライアントPCでマルウェア感染がおこると一般のPC利用者は慌てて電源を落としてメモリの内容が消えることがあるので、電源ONのままネットワーク遮断することは明記して、利用者にも周知するようにします。
    サイバー被害の調査は、外部の専門業者に委託する必要も出てきます。平時のときに相談できる専門業者の情報を収集して、外部連絡先一覧に記載しておくと有事の対応に活かせます。

  4. 復旧措置
    まず実施すべきは、インシデントの直接原因を取り除くことです。直接原因には、パッチの適用漏れや設定ミス、既知・未知の脆弱性の悪用等、様々なものがあります。外部の専門業者の協力を得て原因を究明し、その原因を取り除くまでは、システムを運用に移すことがないように準備を進めます。運用開始までには以下のような作業が必要になることを想定しておきましょう。
    ・システム/ネットワーク環境の再構成(脆弱性対策含む)
    ・システム/ネットワーク稼働テスト
    ・システム/ネットワークの脆弱性診断
    ・クライアント環境(マルウェア感染の確認)
    復旧作業は、初動対応の結果、原因や被害範囲によって様々な復旧作業のケースは考えられますので、復旧計画の策定と承認のプロセスは手順に盛り込んでおくことです。
    事業継続の観点からネットワーク環境や重要なシステムについては、個別に復旧マニュアルを整備しておくことが求められます。平時の時から整備状況を把握して、ない場合は整備を進めておきましょう。

  5. 再発防止策
    再発防止に必要なことは、直接的な原因(一次原因)にとどまらず根本原因を究明することです。
    根本原因とその対策を記入できる様式を準備しておきます。また、再発防止策の実施後の有効性をレビューできるよう、是正計画だけではなく実績も報告できるルールや様式にしておくと良いでしょう。

  6. 事後対応
    実際にインシデント対応を実施したら、その経験を次に活かせるよう知見を蓄積しておくことが望まれます。関係者によるレビュー会が実施されるよう、手順を盛り込んでおきましょう。
    インシデント検知時と同様に事後対応についても外部機関に報告や相談(場合によっては刑事告訴や、損害賠償請求など)することがあります。外部機関とのコミュニケーション内容は振り返りの重要なインプットです。記録の保全は確実に実施します。

  7. 報告・公表
    検査・分析段階から、インシデント対応と並行して、利害関係者に向けた情報発信や関係省庁への報告を検討・実施しなければなりません。事象によってその発信の必要性や内容は異なりますが、誰が判断するのか、タイミングや手段は…等予め定めておくことが望まれます。また、インシデントは組織内部へも大きな混乱をもたらすことがあります。組織内部への情報展開なども手順に盛り込んでおきましょう。

■訓練で実効性向上

リスク対策全般に言えることですが、インシデント発生時に的確に情報収集をしたり、冷静に判断をしたりするためには、知識だけではなく、演習や訓練を通じた経験が重要になります。インシデント対応プロセス全てのフェーズを一度に訓練することは難しいので、以下のような目的を設定して、継続的に訓練を企画・実施することによって、事業継続力を向上していきましょう。

<訓練の目的>

  • インシデントの発見・検知の習熟度・精度向上
  • インシデント発生時の初期対応の習熟度・精度向上
  • システム復旧作業の習熟度・精度向上

   まとめ

これまで、セキュリティ対策は、サイバー攻撃からの被害を防御したり、検知したりするところに力点が置かれてきましたが、これからはインシデント発生を前提として、いかにインシデント対応~復旧を迅速に実施できるか…というインシデント対応力を含めた事業継続力の向上に進化してきています。サイバーセキュリティへの取り組みのベースラインとも言うべき「サイバーセキュリティ経営ガイドライン」などでもインシデント対応は重視されています。インシデント対応を含めて、自社の取り組みレベルを可視化するツールがIPAから提供されていますので、一度、自社現状を把握することから取り組んではいかがでしょうか?

●独立行政法人 情報処理推進機構(IPA)
 『サイバーセキュリティ経営可視化ツール』 https://www.ipa.go.jp/security/economics/checktool/index.html

【関連情報】

  • 本コラム「サイバーセキュリティ インシデントの被害を最小化する」 ≫資料ダウンロードはこちら

  • 自社のセキュリティリスク分析及びポリシーの見直しが必要とお考えの方へ
    本コラムでは、インシデント対応体制の必要性を解説しましたが、自社のリスク状況を踏まえたセキュリティポリシーが整備されていないとインシデント対応をうまく機能させることは難しいのが実態です。リスク分析・ポリシー見直し支援サービスもぜひご覧ください。

  • 「そもそも当社には情報セキュリティポリシーがない…」という方へ
    情報セキュリティポリシーの必要性を解説した動画をご案内します。 ≫動画ご視聴はこちら

>TOPへ戻る

個人情報保護 |  匿名・仮名加工情報 |  クッキーポリシー |  お問い合わせ

Copyright © NEC Nexsolutions, Ltd. 2020-2024. All rights reserved.

最後までスクロールさせて送信前に必ずお読みいただき、[上記内容に同意する] にチェックを入れてください。  

ビズサプリチャンネル利用規約

1. 規約の適用

  1. 本規約は、NECネクサソリューションズ株式会社(以下「当社」といいます)が運営するサイト"ビズサプリチャンネル"(https://stream.nec-nexs.com)(以下「本サイト」といいます。)において提供するサービス(以下、「本サービス」といいます。)の利用に関し適用されます。
  2. 本サービスを利用する方は、本サービスを利用するにあたり、本規約の内容に同意し遵守するものとします。
  3. 本規約は必要に応じて、事前の通知なく変更されることがあります。規約の変更時には、本サイトへの掲載または利用する方への電子メール送付により連絡します。

2. 登録手続

  1. 本サービスの利用を希望する方は、本サイト上で本規約を承諾することにより、第3項第1号(1)に定めるサービスを利用することができます。本規約を承諾した方を以下、「利用者」といいます。
  2. 利用者は、第3項第1号に定める本サービスの全ての利用を希望する場合は、本サイト上から当社所定の登録情報(以下、「登録情報」といいます。)を入力することにより、本サービスを利用するためのID(以下「ID」といいます。)の登録(以下「ID登録」といいます。)を行うものとします。
  3. 前項のID登録後当社にて登録情報を確認し不備が無いと判断した場合、当社から利用者へ電子メールによりIDおよびパスワードを送付いたします。本送付をもってID登録が完了したものとします。なお、ID登録を行った利用者を以下「登録者」といいます。
  4. 登録者は、登録情報に変更が生じた場合、速やかに当社所定の変更手続(本サイト上から情報変更等)を行うものとします。
  5. ID登録時の電子メールアドレスに不備があった場合、ID登録は完了しないことがあります。
  6. 登録情報に虚偽の事項が含まれていることが判明した場合、ID登録が完了しないことがあります。またID登録完了後であっても、登録情報に虚偽の事項が含まれていることが判明した場合、当社は、直ちに当該ID登録者の資格を取消すことができるものとします。

3. サービスの内容

  1. 当社が提供する本サービスは下記の通りとします。
    (1) 本サイトに掲載されたコンテンツの閲覧
    (2) メールマガジンの受信
  2. 利用者が利用できるサービスは、前項のうちの(1)のみとなります。
  3. 登録者が利用できるサービスは、前項の全てのサービスとなります。なお、コンテンツ利用の際には、当社から送付したIDおよびパスワードを使用するものとします。
  4. 当社は、本サービスにおいて、複数のメールマガジン(以下「メールマガジン」といいます。)を登録者に提供します。
  5. 登録者は、当社所定の手続を行うことにより、メールマガジンの受信可否を選択できます。
  6. 当社は、登録者に対し、必要に応じて前項のメールマガジン以外の電子メールを送信することができるものとします。
  7. 登録者は、当社が配信する電子メールに商品・サービスの広告等が含まれることがあることを予め了解するものとします。
  8. メールマガジンの配信において、複数回に渡り電子メールが届かなかった場合には、当社は、当該登録者への配信を予告無く停止し、登録者の資格を取消すことができるものとします。

4. IDおよびパスワード

  1. IDおよびパスワードは他人に知られることのないよう、登録者本人が責任をもって管理および使用するものとします。
  2. 登録者は、IDおよびパスワードを他人に使用させ、または、貸与、譲渡、売買等してはならないものとします。
  3. 当社は、IDおよびパスワードの管理上ならびに使用上の過誤、ならびに第三者の使用に伴う損害等について、当社の故意または重大な過失に起因する場合を除き、一切その責を負わないものとします。

5. IDの削除

  1. 登録者は、IDの削除を希望する場合、当社所定の手続(本サイト上からの退会手続等)を行うことによりIDを削除することができます。

6.本サービスの利用の停止

  1. 当社は、利用者および登録者が次の各号に該当する場合は、当該利用者および登録者による本サービスの利用を停止することがあります。
    ① IDおよびパスワードを不正に使用した場合
    ② 本規約に違反しまたは違反するおそれがある場合
  2. 当社は、相当の期間を定めて催告を行ったにもかかわらず、前項の規定により本サービスの利用停止をされた登録者がなおその事実を解消しない場合は、IDのリストより削除することがあります。ただし、緊急やむを得ない場合は、本サービスの利用停止をしないで、IDのリストより削除することがあります。

7. 個人情報の取り扱い

  1. 組織の名称
    NECネクサソリューションズ株式会社(以下、「当社」)
  2. 個人情報保護管理者
    NECネクサソリューションズ株式会社 経営企画本部長
    連絡先:
    〒105-8540 東京都港区芝3-23-1 セレスティン芝三井ビル
    メールアドレス privacy@nexs.nec.co.jp
  3. 個人情報の利用目的 取得した個人情報について、以下の目的のために利用いたします。
    お問い合わせに対するご回答、今後当社が主催或いは協賛するセミナーやイベントのご案内、当社が提供する商品情報のご案内、当社が提供する商品に関する調査、当社サイトの閲覧履歴分析・サイト改善、ページ閲覧履歴や購買情報等を分析したうえで実施する、広告配信・メール配信、お客様の基本情報の確認、その他、取得時に都度告知して同意いただいた目的
  4. 取得する個人情報の項目
    お名前、社名・団体名、部署名、役職名、メールアドレス、電話番号、郵便番号、ご連絡先住所、その他取得時に都度告知して同意いただいた情報
  5. 第三者提供
    お客様への回答のために、NEC、NECグループ会社およびお問い合わせに関連する第三者企業(以下あわせて第三者企業等といいます)にて対応させていただくことが適切と判断される場合に、下記の要領で個人情報を第三者企業等に提供し、第三者企業等から回答されることがあります。
    a) 提供する目的:お問い合わせに対するご回答
    b) 提供する個人情報の項目:フォームに記載の項目
    c) 提供の手段または方法:メール・ストレージにて提供
    d) 個人情報の提供を受ける者または提供を受ける者の組織の種類および属性:NEC、NECグループ会社およびお問い合わせに関連する第三者企業
  6. 個人情報の委託
    当社では、業務の一部或いは全部を委託するに伴って、個人情報を業務委託先に提供することがあります。 その場合には、当該委託先との間で必要な秘密保持契約等を締結し、必要な措置を講じます。
  7. 個人情報のお問い合わせ窓口
    個人情報は、ご本人或いはその代理人と認められる場合に限り、当社に対して開示、訂正等を求めることができます。 開示、訂正等をご希望される場合は、下記窓口にご連絡をお願い致します。
    尚、お問い合わせの際、ご本人或いはその代理人であることを確認させていただく場合がありますので、ご了承願います。

    個人情報に関するお問い合わせ窓口
    NECネクサソリューションズ株式会社 お客様センター
    〒105-8540 東京都港区芝3-23-1 セレスティン芝三井ビル
    メールアドレス nexstation@nexs.nec.co.jp
  8. 個人情報提供の任意性
    お客様の個人情報の提供を持ちまして、お問い合わせの対応やお客様へのサービス並びにソリューションの提供などをさせて頂きますが、個人情報の提供は、ご本人の任意です。
  9. 安全管理措置
    ご記入いただきましたお客様の個人情報は、漏えい、滅失、毀損を防止するための安全管理措置を施し、当社および委託先企業にて適切に管理させていただきます。
  10. 容易に認識できない方法による個人情報の取得
    クッキーの利用
    このウェブサイトには、お客様が再度このウェブサイトにアクセスされた時に一層便利にご利用していただけるよう、「クッキー」と呼ばれる技術を使用しているページがあります。
    「クッキー」とは、ウェブサーバがお客様のコンピュータを識別する業界標準の技術です。
    「クッキー」はお客様のコンピュータを識別することはできますが、お客様が個人情報を入力しない限りお客様自身を識別することはできません。なお、お使いのブラウザによっては、その設定を変更してクッキーの機能を無効にすることはできますが、その結果ウェブページ上のサービスの全部または一部がご利用になれなくなることがあります。
  11. 海外移転について
    3.に記載の利用目的の範囲内で業務を行うために、海外にある下記のクラウドサービスを利用することがあります。
    主な移転国名称および各国の法制度等
    米国:https://www.ppc.go.jp/files/pdf/USA_report.pdf
    インド:https://www.ppc.go.jp/files/pdf/india_report.pdf
    タイ:https://www.ppc.go.jp/files/pdf/thailand_report.pdf
    マレーシア:https://www.ppc.go.jp/files/pdf/malaysia_report.pdf
    なお、こちらに示している事項は一例であり、個別の事業・サービスにおいて移転先国を示しています。
    個人情報を外国で取り扱う必要がある場合は、移転先国における個人情報の保護に関する制度を調査し、移転先の事業者等と適切に契約を締結する等の安全管理措置を実施いたします。
  12. 個人情報の取り扱いの詳細について
    その他、個人情報の取り扱いの詳細については、こちらをご一読願います。
    https://www.nec-nexs.com/privacy/

8. 著作権

  1. 本サービスにおいて当社が提供するすべてのコンテンツ(コンテンツ、メールマガジンに含まれるその他情報、資料、画像、音声およびソフトウエアを含みます。以下「本コンテンツ」といいます。)の著作権は当社およびその他の権利者に帰属するものとします。利用者および登録者は、当社およびその他の権利者の許諾を得ることなく、非営利的かつ個人的に利用する以外の目的で、本コンテンツの全部または一部の複製、転載、改変、公衆送信、頒布、出版、再使用許諾などを行わないものとします。
  2. 絵柄や画像を無断でキャプチャーしたりするなど他のウェブサイトやコンピュータネットワーク環境に転載すると著作権侵害になります。ホームページは広く世間に向けて発信しているもので、世界中で見ることが可能です。個人的なページだからといって私的使用にはなりません。(無断で転載すると著作権侵害となります。)また、携帯端末等のコンピュータネットワーク環境においても同様です。
  3. 利用者および登録者は、本コンテンツの著作権その他の財産権の表示もしくは出所表示を偽り、または消去しないものとします。
  4. 当社から本サービスに関して登録者に送信される電子メールは、登録者本人宛てに送付するものであり、当該電子メールを複製・改変することは著作権侵害となる場合があります。登録者は、当社の許諾を得ることなく、当該電子メールの全部または一部を、第三者が利用可能な状態(ホームページにて公開すること、不特定多数の人に当該電子メールを転送すること等をいいます。)にしてはならないものとします。

9. 本サービスの変更、中止、廃止

  1. 当社は、利用者および登録者の承諾を得ることなく本サービスの全部または一部を変更し、中止(システムの保守または工事その他の理由で一時的に本サービスを中断する場合を含みます。)し、または廃止することができるものとします。ただし、緊急やむを得ない場合を除き、本項に基づき本サービスを中止または廃止する場合、当社はあらかじめその旨を当社所定の方法により利用者および登録者に通知するものとします。
  2. 前項に基づく、本サービスの変更、中止または廃止に伴い、利用者および登録者に不利益または損害が発生したとしても、当社は、一切その責を負わないものとします。

10. 免責

  1. 当社は、何らの予告なく随時本コンテンツの内容を変更、修正もしくは改良または削除することができるものとします。
  2. 当社は、本サービスが常時利用できること、本サービスの内容が完全、正確または有用であること、権利侵害が存在しないことなどを含め、本サービスに関し利用者および登録者に対して何ら保証しません。
  3. 本サービスに起因して利用者および登録者その他第三者に不利益または損害が発生したとしても、当社は、一切責任を負いません。
  4. 利用者および登録者は、自己の責任において本サービスを利用するものとします。
  5. 利用者および登録者は、本サービスの利用に関して他の利用者および登録者または第三者との間で紛争が発生した場合には、当該紛争を紛争当事者間で円満に解決するものとし、当社を一切免責するものとします。

附則

2024年3月19日 改訂

以上

<連絡先>
NECネクサソリューションズ株式会社
ビズサプリチャンネル事務局
お問い合わせはこちらのフォームからお願いします。