サイバー攻撃や情報漏えいが増加する中、たった1つのセキュリティインシデントが企業に甚大な被害をもたらす可能性があります。特に、その原因が社内のミスや対応の甘さにあった場合、顧客や取引先の信頼を大きく損ない、事業継続すら危うくなるケースも。

企業はこうしたリスクを回避するために、インシデントの発生要因を理解し、適切な対策を講じることが不可欠です。

本記事では、セキュリティインシデントの主な発生要因別の具体的な事例、そして未然に防ぐための対策について解説します。実際の事例を知っておくことで、自社のセキュリティ対策に役立てていただければ幸いです。

セキュリティインシデントとは

セキュリティインシデントとは、サイバー攻撃や人的ミスをはじめ、さまざまな要因による情報セキュリティ事故を総称する用語です。セキュリティインシデントが発生すると、企業や組織に甚大な影響を及ぼす可能性があります。たとえば、顧客データの漏えいや改ざん、社内システムのダウンによる業務停止、ランサムウェア攻撃による事業継続の危機などが考えられます。

セキュリティインシデントの要因となるサイバー攻撃の種類についても、多様化が続いている状況です。特に注意すべき脅威については、IPA（独立法人　情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」が参考になります。

情報セキュリティ10大脅威 2025

「情報セキュリティ10大脅威」はIPAが候補を選出し、情報セキュリティに関わる各分野のスペシャリストからなる選考会が決定するものです。本結果をみると、近年発生しているセキュリティインシデントのなかでも、特に大きな影響を与えている事案を知ることができます。

最新の「情報セキュリティ10大脅威」では、組織向けの最大の脅威として「ランサム攻撃による被害」が選ばれました。ランサムウェアの被害は、ニュースでも頻繁に取り上げられており、深刻な影響を与えていることがわかります。

【発生要因別】セキュリティインシデント事例

主なセキュリティインシデントの要因は、以下の4種類に分類できます。

• 外部からの攻撃（サイバー攻撃）
• 内部不正
• ヒューマンエラー（人的ミス）
• システム・技術的な脆弱性

これら発生要因別に、セキュリティインシデントの実際の事例を見ていきましょう。

外部からの攻撃（サイバー攻撃）

サイバー攻撃とは、インターネットをはじめとしたネットワークを通じて外部から内部のサーバー・PCなどに対して実行される攻撃の総称です。攻撃者の目的は、情報の窃取、金銭の搾取、システムの破壊、デバイスの乗っ取りなど、多岐にわたります。

サイバー攻撃は年々巧妙化を続けており、AIを活用した自動化攻撃や、国家支援型の標的型攻撃（APT）など、新たな手法が登場しています。企業や組織は、最新の脅威を把握し、適切なセキュリティ対策を講じることが不可欠 です。

【サイバー攻撃の代表的な種類】

種類	概要
ランサムウェア	マルウェア（コンピュータやネットワークに被害をもたらす悪意のあるプログラム）の一種。攻撃対象のデータを暗号化し、復旧するために身代金を要求する攻撃
フィッシング詐欺	実在する企業や組織を装い、メール、SMS、偽サイト、広告 などを使ってユーザーの個人情報を盗む手口。
標的型攻撃（APT）	特定の企業・団体を狙い、長期間にわたる調査・計画を経て行われる高度な攻撃。国家支援型攻撃も含まれる。
DDoS（分散型サービス拒否）攻撃	ボットネットを利用し、攻撃対象のサーバーへ大量のデータを送り付けてサーバーをダウンさせ、サービス停止に追い込む攻撃。
ゼロデイ攻撃	ソフトウェアやシステムの脆弱性が発見された直後、修正バッチなどが発表されるまでの間に、その脆弱性をつくサイバー攻撃
サプライチェーン攻撃	取引先やクラウドサービスの脆弱性を悪用し、企業間のつながり（＝サプライチェーン）を踏み台として、本来のターゲットにしかけるサイバー攻撃

１．大手メーカーへのランサムウェア攻撃

発生年月	2020年6月
被害企業	本田技研工業株式会社
発生要因	ランサムウェア
主な被害	国内外の工場で生産や出荷が一時的に停止

2020年6月、大手自動車メーカー「ホンダ」は、ランサムウェアによる攻撃を受け国内外にある複数の工場が一時的に停止するなどの被害を受けました。

ホンダを襲ったと言われるランサムウェア「EKANS（エカンズ）」は、ホンダ内のデータを暗号化し、認証情報などを管理する中枢サーバー上に身代金を要求する脅迫文を表示させました。

ホンダの内部調査によれば、外部からサーバーが攻撃を受けたことが起因となり、社内の端末にウイルスが拡散されたということです。なおホンダは、本攻撃による個人情報や機密情報の漏えいは確認されていないと発表しています。

2．病院へのランサムウェア攻撃による業務停止

発生年月	2021年10月
被害企業	徳島県つるぎ町立半田病院
発生要因	ランサムウェア
主な被害	約2ヵ月にわたり、通常診療の停止を余儀なくされた

2021年10月、徳島県の半田病院がランサムウェアによる攻撃を受け、電子カルテシステムなどが暗号化され、業務に大きな影響が出ました。攻撃を仕掛けたとされるのは、世界的に有名なロシアのサイバー犯罪集団「LockBit」です。LockBitは復号化の代わりに、身代金を支払うよう病院側へ要求しました。

この攻撃を受け、半田病院は診療業務が制限されました。病院側は復旧作業を試みましたが、電子カルテシステムが復旧するまで2ヵ月以上かかっています。通常診療の再開にこぎつけたのは、年が明けた2022年1月でした。

本事件で使われたランサムウェア「Lockbit2.0」は、VPN装置の脆弱性を悪用して侵入した可能性が高いとみられています。この脆弱性を悪用すると、管理者のID・パスワードを入手でき、インターネット側からVPN内へ侵入できてしまう状態でした。半田病院のVPN装置を管理するベンダーは、脆弱性に対し適切な対応をしていなかったとして、その後批判を受けています。

なお本事件では、なぜシステムを復旧できたかについて明らかになっていません。半田病院は、修復会社に依頼して電子カルテシステムの復旧にこぎつけたと話しています。病院側が一身代金を支払ったかどうかは公式には明らかにされていませんが、LockBitは「身代金として3万ドル（約450万円）を受け取っている」と主張しました。

3．大手メーカーへのサプライチェーン攻撃

発生年月	2022年2月
被害企業	トヨタ自動車株式会社
発生要因	サプライチェーン攻撃
主な被害	14工場の28ラインが一時的に停止

2022年2月、トヨタはサプライチェーン攻撃を受け14工場の28ラインを停止せざるを得ない事態に追い込まれました。本被害によって、1万台を超える生産が見送られたことになります。

本件において、直接攻撃を受けたのはトヨタでなく、主要サプライチェーンである自動車部品メーカー「小島プレス工業」です。同社のシステムがランサムウェアに感染したことで、社内サーバーの停止を余儀なくされました。

小島プレス工業から部品の供給を受けられなくなったことで、トヨタの14工場28ラインが同年3月1日に停止せざるを得なくなったのです。なおトヨタは代替手段を確保し、3月2日には停止していたラインを全て再開させました。

この攻撃は、トヨタのサプライチェーンを支える企業を狙った典型的なサプライチェーン攻撃です。トヨタのサプライチェーンは、約6万もの企業によって支えられています。本件では、そのうちの1社へのサプライチェーン攻撃によって、日本の企業が大きな被害を受けるリスクがあることが浮き彫りになった事件と言えるでしょう。

なお、小島プレス工業は、外部企業との専用通信に利用していたリモート接続機器の脆弱性を利用された可能性があると報告しています。

4．大手航空会社への標的型攻撃

判明年月	2014年9月
被害企業	日本航空株式会社（JAL）
発生要因	標的型攻撃
主な被害	約4,000名分の顧客情報が漏えい

2014年9月、標的型攻撃によるマルウェア感染により、日本航空（JAL）の顧客情報が漏えいしたことが判明しました。

本件の原因は、JALを狙った標的型攻撃だったと考えられています。マルウェアが添付されたメールをJAL社員が開いたことにより、社内23台のPCにマルウェアの感染が広がりました。そのうち12台が顧客情報システムへアクセスできる状態だったことで、個人情報の漏えいが発生してしまったのです。

漏えいした顧客情報は会員番号・氏名・生年月日・住所などで、クレジットカード番号は含まれません。調査途中の段階では、最大73万件の顧客情報が漏えいした可能性があるとのことでした。しかし調査を継続した結果、漏えいした顧客情報が4,131名分であることが確定されています。

5．東京都渋谷区へのDDoS攻撃

発生年月	2023年1月
被害企業	東京都渋谷区
発生要因	DDoS攻撃
主な被害	公式サイトの閲覧障害

2023年1月、渋谷区の公式サイトが断続的にDDoS攻撃を受け、一時的に閲覧しづらい状態となりました。

本件については、国際的ハッカー集団「アノニマス」を名乗る活動家が、SNSにて渋谷区の公式サイトを攻撃する声明を出しています。この活動家が攻撃したのは、渋谷区が再開発を理由に区立公園を封鎖し、そこで寝起きしていた生活貧困者を閉め出したためとのことです。

渋谷区は行政執行法に基づき、前年の12月には生活貧困者や支援者たちの荷物を公園から撤去していました。活動家は、今回の攻撃は路上生活者たちが安全に冬を越せるよう支援する「SafeWinter作戦」の一環だったとしています。

本件では、アノニマス全体の関与は明確ではなく、特定の活動家またはグループによる攻撃とみられます。また、DDoS攻撃の影響について、渋谷区は具体的な被害規模を公表していませんが、一時的に公式サイトが閲覧しづらい状態になったことは報じられています。

内部不正

企業や組織内部の関係者（従業員・委託業者・元従業員など）が、意図的に情報を漏えい・改ざんするケースは少なくありません。具体的には、以下のようなケースが挙げられます。

【内部不正の種類】

種類	概要
情報の持ち出し	関係者が重要情報をプリントアウトしたりUSBメモリなどに保存したりして、不正に外部へ持ち出すこと
不正アクセス	与えられたアクセス権限を悪用し、関係者が組織の重要情報へ不正にアクセスしたり、その情報を盗んだりすること
内部関係者によるサイバー攻撃	関係者が企業内システムを意図的に攻撃し、システムの破壊や改ざんをおこなうこと
個人デバイスの使用（BYOD）	管理者が把握していない個人デバイスを社内ネットワークへ接続し、情報漏えいを引き起こすこと
マルウェアの内部拡散	社員が悪意のあるプログラム（＝マルウェア）を、意図的に社内ネットワークへ拡散させること

6．派遣社員による情報の持ち出し（ベネッセ個人情報流出事件）

 

発生年月	2013年12月～
被害企業	株式会社ベネッセホールディングス
発生要因	派遣社員による情報の持ち出し
主な被害	・約2,900万人分の顧客情報漏えい ・株価の急落や企業のブランドイメージ低下

2014年の夏、ベネッセで発生した未曾有の情報漏えい事件が、日本だけでなく世界中の注目を集めました。看板商品である「進研ゼミ」利用者を含む約2,900万人分の顧客情報が漏えいしたことをベネッセが発表したのです。

同年6月、ベネッセは複数の顧客から、「知らない会社から勧誘のダイレクトメールなどが届くようになった」との問い合わせを受けています。ベネッセが社内で調査を行ったところ、同年7月7日に顧客情報が流出している事実を確認したとのことです。調査結果を受け、ベネッセは、警視庁へ被害を報告します。

その後、警視庁の調査により、情報漏えいの原因が業務委託先企業の派遣社員による情報の持ち出しであることが判明しました。同派遣社員は2013年12月頃から、使用スマートフォンをUSBケーブルにて社内サーバーへ接続し、顧客情報を抜き取っていたとのことです。同社員は抜き取った顧客情報を他社に転売し、その情報がダイレクトメールなどに利用されていました。

同社員が不正に持ち出した顧客情報は、子どもの名前・性別・生年月日や、住所、電話番号などです。なおクレジットカード情報のような決済情報は含まれていませんでした。

ベネッセは、情報漏えいの発生段階において、何も対策をしていなかったわけではありません。外部メディアによるデータ持ち出しを禁止し、異常なアクセスがあった場合にアラートを出すシステムを導入していました。しかし、スマートフォンを使用したデータ書き出し制御が適用されておらず、結果的に派遣社員が個人情報を抜き取ることを許してしまいました。

被害額は 直接的な費用だけでも約230億円以上 に達しており、間接的なブランド価値の毀損や売上減少を含めると、 数百億円規模 の影響があったと推定されています。

7．企業秘密のデータ持ち出し（東芝研究データ流出事件）

発生年月	2007年4月～2008年5月
被害企業	株式会社東芝
発生要因	パートナー企業の元技術者による研究データ持ち出し
主な被害	次世代半導体開発に関する重要情報の漏えい

東芝のパートナー企業であるサンディスクの元技術者が、東芝がもつ次世代半導体開発に関する重要情報を不正に持ち出した事件です。重要情報を持ち出したあと、元技術者はその情報を転職先である韓国SKハイニックスへ渡していました。

同技術者はのちに逮捕され、懲役5年・罰金300万円の有罪判決を受けています。同技術者は2007年4月～2008年5月にかけ東芝のコンピュータへアクセスし、該当の情報をUSBメモリへ不正にコピーしていたとのことですSKハイニックスが東芝の機密情報を実際に活用したかどうかについては報道されていません。

一方で東芝は、SKハイニックスに対して1,000億円の損害賠償を求める訴訟を起こしています。最終的には、東芝がSKハイニックスから約331億円を受け取るといった内容で和解が成立しました。

なお東芝は「社内情報を3段階のセキュリティレベルに分類し、相当な対策をしていた」と説明していますが、詳細は明らかにされていません。

ヒューマンエラー（人的ミス）

従業員のケアレスミス・判断ミスで情報漏えい・セキュリティインシデントが発生するケースもあります。これらケースでは従業員に悪意はないものの、企業にとって甚大な被害につながりかねないことは否定できません。具体的には、ヒューマンエラーによる以下のようなセキュリティインシデントの種類があげられます。

【ヒューマンエラー（人的ミス）の種類】

種類	概要
メール誤送信	メールの宛先を誤るなどして、個人情報・機密情報を本来送るべきでない外部の相手へ送ってしまうこと
設定ミス	クラウドストレージのアクセス権限を誤って公開にするなど、設定ミスによってセキュリティインシデントが発生すること
パスワードの管理ミス	同じパスワードの使いまわしでアカウントが乗っ取られるなど、不適切な管理でセキュリティインシデントが発生すること
USBなどの外部メモリや書類の紛失	個人情報・機密情報が記録されたUSBなどの外部メモリや書類を紛失してしまうこと
不審メールの開封	メールに添付されたファイルを開いてマルウェアに感染するなどして、セキュリティインシデントが発生すること

8．尼崎市USBメモリ紛失事件

発生年月	2022年6月
被害企業	兵庫県尼崎市
発生要因	関連会社の従業員によるUSBメモリの紛失
主な被害	約46万人分の個人情報漏えい

2022年6月、兵庫県尼崎市の住民約46万人分の個人情報が保存されたUSBメモリが紛失する事件が発生しました。このUSBメモリには、住民の氏名、住所、生年月日、マイナンバー、生活保護の世帯や児童手当受給世帯の口座情報などの機密情報が含まれていました。

USBメモリを取り扱っていたのは、尼崎市から住民税非課税世帯向け給付金の事務を委託されていたBIPROGY（旧・日本ユニシス）の関連会社の社員です。この社員は業務終了後、USBメモリを持ち帰り、飲食店で飲酒後に紛失しました。紛失が発覚し、市が公表するまでに約24時間を要しましたが、USBメモリは後日無事に発見されました。

事件後、尼崎市は個人情報の持ち出し禁止のルール徹底やセキュリティ管理の強化を表明しました。また、BIPROGYに対して約３千万円の損害賠償を請求したことを発表しました。BIPROGY側も再発防止策として、データの暗号化やアクセス管理の強化を進めると発表しました。本件は、委託業務における個人情報管理の不備が浮き彫りになった事例として広く報道されました。

9．厚生労働省による個人情報の流出

発生年月	2022年6月
被害企業	厚生労働省
発生要因	データの削除洩れ
主な被害	5,640人分の個人情報漏えい

2022年6月、厚生労働省が指定難病患者の氏名や生年月日などの個人情報5,640名分を、誤って研究者に対し漏えいしました。なお本データは、研究者以外に流出していないことは確認されています。

もともと本データは研究者の利用申請を受け、難病DBから必要データを抽出し提供される筈でした。しかし受託先が手順を誤り、患者の個人情報が含まれるシートが削除されないまま研究者へ提供されてしまったのです。

厚生労働省も、本データに提供してはならないデータが含まれていることを確認していませんでした。情報の漏えいが発生していたことは、提供を受けた研究者からの申告によって判明しています。

厚生労働省は再発防止のため、受託先と共にダブルチェックの徹底や作業手順見直しなどの対策を行うことを発表しました。

システム・技術的な脆弱性

ITシステムの設計ミスや管理不備が原因で脆弱性が残ったままになり、セキュリティインシデントにつながる例も少なくありません。具体的には、以下のような要因が考えられます。

【システム・技術的な脆弱性の主な発生要因】

種類	概要
脆弱性管理の不備	システムやソフトウェアの脆弱性を適切に管理・把握せず、未対応のまま放置されることで、サイバー攻撃の標的となるケース
アクセス制御の不備	適切なアクセス権限が設定されておらず、不必要な権限が付与されることで、内部不正や外部からの侵入を許してしまうケース
セキュリティパッチの未適用	古いソフトウェアなどが、セキュリティパッチを適用されないまま脆弱性が放置されてしまうケース
クラウド設定のミス	アクセス制御の設定が不適切で、情報漏えいが発生するケース
ネットワークの不備	社内ネットワークが適切に管理されず、不正アクセスを許してしまうケース
バックアップ不備	データが適切にバックアップされず、ランサムウェア攻撃を受けた際などに復旧できないケース
IoTデバイスのセキュリティリスク	工場や医療機関などで使われるIoTデバイスがサイバー攻撃を受け、マルウェアに感染するなどして被害が発生するケース

10．大手メーカーへのサイバー攻撃（セキュリティ機器の脆弱性を突いた攻撃）

発生年月	2019年6月
被害企業	三菱電機株式会社
発生要因	ウイルス対策ソフトの脆弱性を突いた攻撃
主な被害	約8,000人分の個人情報漏えい

2019年6月、三菱電機はセキュリティ機器の脆弱性を突いたサイバー攻撃を受け、約8,000名分の個人情報が漏えいしました。本件では技術情報や営業資料の流出も確認されており、防衛・電力・鉄道など機密性の高い情報は漏えいしていないと三菱電機は発表しています。ただし、一部報道では防衛関連の取引情報が流出した可能性が指摘されています。

本件では、インシデントの発生から約半年が経過した2020年1月にようやく個人情報の漏えいが公表されました。公表が遅れたのは、攻撃者が痕跡を消す高度な手法を用いていたため、漏えいしたデータの特定が難航したことによるものです。攻撃者は、不正アクセス時に監視や検出を巧妙に回避し、長期間にわたりネットワーク内部に潜伏していました。

11．Equifaxの個人情報流出事件

発生年月	2017年5月～7月
被害企業	Equifax
発生要因	セキュリティパッチの未適用
主な被害	・最大1億4300万人分の個人情報漏えい ・最大7億ドル（約756億円/当時のレート）に及ぶ補償金の支払い

米信用情報会社「Equifax」は、2017年5月～7月にかけ不正アクセスを受け、最大1億4,300万人分の個人情報が漏えいしました。この数は米国民のおよそ約半数にあたります。

さらに本件では氏名や住所などに加え、運転免許証番号や社会保障番号のほか、一部はクレジットカード番号まで漏えいしていました。その規模の大きさや漏えいした情報の深刻さから、本件は「史上最悪の個人情報漏えい事件」とも言われています。

本セキュリティインシデントの原因は、Equifaxが「Apache Struts」の脆弱性を放置してしまったことです。該当の脆弱性に関する修正パッチは、今回の攻撃を受ける2ヵ月前には公開されていました。

事件後、Equifaxは本件を受けて少なくとも5億7500万ドル（約621億円※）、最高で7億ドル（約756億円※）の補償金を支払うことに合意しています。

※いずれも当時のレートによる計算

【発生要因別】セキュリティ対策

セキュリティインシデントを防ぐには、どのようなセキュリティ対策を行えばよいでしょうか。発生要因別に見ていきましょう。

外部からのサイバー攻撃への対策

外部からのサイバー攻撃は高度化・巧妙化しており、従来の対策では十分でなくなっています。従前からの対策を徹底することはもちろん、高度化した手口に対応するための新しい対策も求められているのです。

・EDR（Endpoint Detection & Response）の活用

EDRとは、エンドユーザーが使うPCやスマートフォン端末（＝エンドポイント）向けのセキュリティソリューションです。具体的にはエンドポイントのログをリアルタイムで収集・分析し、悪意のある振る舞いを検知した際は隔離などの対応を行います。

・ファイアウォール・WAF（Web Application Firewall）の強化

外部からの攻撃や内部への不正な侵入は、ファイアウォールやWAFによって防御することが可能です。サイバー攻撃の手法が高度化している昨今では、これらの強化も求められます。

・多要素認証（MFA）の導入

  ID・パスワードに加え、ICカードや生体認証などの複数の認証要素を組み合わせることで、不正アクセスのリスクを軽減できます。ただし、MFAをすり抜ける「中間者攻撃」と呼ばれる攻撃手法も登場しているため、フィッシング耐性のある認証方式の選定や異常検知との併用が求められます。

・パッチ管理の徹底

脆弱性を放置すれば、それだけセキュリィティリスクが高まります。開発元からパッチが公開される前に脆弱性をつく「ゼロデイ攻撃」まで存在する状況です。パッチ管理を徹底し、パッチが公開されたら速やかに適用して、OS・ソフトウェアを常に最新な状態に保つ必要があります。

・サプライチェーンリスク管理の強化

サプライチェーンに属するグループ会社・委託会社などのセキュリティインシデントで、自社にも被害が及ぶ例もあります。そのためサプライチェーンのリスクを管理する視点も持たなくてはなりません。具体的には他社とセキュリティ基準を確認・共有する、問題発生時の情報共有ルールをまとめるといった対策が考えられます。

内部不正・情報漏洩への対策

内部不正による情報漏えいのリスクはIDやデータを適正に運用したり、監視・監査や社内教育を実施したりすることで軽減可能です。具体的には、以下に挙げる対応・対策が求められます。

・アクセス権限の厳格化（最小権限の原則）

内部不正による情報漏えいを防ぐには、アクセス権限を厳格に管理する必要があります。ユーザーに対して本当に必要な最小限のアクセス権限のみ与える、「最小権限の原則」を徹底しましょう。

・内部ログの監視と異常検知

内部不正・情報漏えいを防ぐには、内部ログをリアルタイムで適切に監視し、異常を検知したら速やかに通知するシステム「SIEM」が有効です。

SIEMはファイアウォールやIDS/IPSなどのセキュリティ機器・ネットワーク機器のログを一元的に集約して分析しそれらを相関的かつ迅速に分析します。その上で異常が検知され次第、管理者にアラートを出すのです。

・データの暗号化と持ち出し制限

万が一漏えいしてもデータが参照されない暗号化や、データの持ち出し制限も重要です。データの暗号化は、ソフトウェアやクラウドサービス、ハードウェアを使う方法があります。またUSBメモリをはじめとした外部機器によるデータ持ち出しを厳しく管理するなどの対策も必要です。

・退職者・異動者のアカウント管理

退職や異動が発生したら、速やかに対象者のアカウント削除・アクセス権限の変更を実施します。これらの対応が遅れるほど、セキュリティリスクも大きくなります。アカウント数が多くて管理が追い付かない場合は、ID管理ツール・サービスの利用も検討しましょう。

・定期的な内部監査・セキュリティ教育

内部不正による情報漏えいを防ぐには、定期的な内部監査やセキュリティ教育も実践しましょう。そのためには、情報セキュリティマネジメントシステム（ISMS）が有効です。また社内研修や外部セミナー、eラーニングなどの手段を使い、セキュリティ教育を定期的に実施することも求められます。

・通報制度の整備（ホットライン設置）

内部不正を早期に発見するためにも、従業員が安心して情報を提供できる通報制度の整備が必要です。具体的には通報者の匿名性を確保して、通報によるデメリットが生じないようなホットラインを設置します。外部の法律事務所などに窓口業務を依頼するのもひとつの方法です。

人的ミス・フィッシング詐欺への対策

従業員に注意を呼び掛けるだけでは、人的ミス・フィッシング詐欺による被害を防ぐことはできません。企業として、以下に挙げる対策を講じることが求められます。

・従業員向けセキュリティ教育の実施

人的ミスやフィッシング詐欺を防ぐには、従業員向けにセキュリティ教育を実施するのが有効です。人的ミスによる情報漏えいの事例やフィッシング詐欺の特徴、そしてそれらを防ぐ方法等を定期的に教育します。

・メールフィルタリングの強化

人的ミス・フィッシング詐欺を対策するにはメールフィルタリングも有効です。たとえば個人情報を含むメールを検査したり、外部へのメール送信は上長の承認を必要としたりといった機能をメールフィルタで実現できます。

フィッシング詐欺を目論むメールを排除できる、迷惑メールフィルタも有効です。昨今では、AIを使った高精度なフィルタリングシステムも登場しています。

・パスワードポリシーの策定

第三者によって簡単に推測されやすいパスワードの利用を防ぐため、パスワードポリシーの策定が必要です。パスワードの長さや複雑さ（複数の文字種を使うなど）、パスワードの更新頻度（●ヵ月に1度は変更する）などを決定します。システムやサービスによっては、条件に合わないパスワードを設定できないように制限をかけることも可能です。

・クリック前の確認習慣を推奨

メール送信前に宛先をチェックする、添付ファイルを開く前に安全性を確かめるなど、クリック前の習慣を推奨します。

・DLP（Data Loss Prevention）の活用

DLPとは機密情報や重要なデータを監視し、情報の漏えい・紛失を防ぐ機能やソリューションです。DLPを使えばそれら情報が持ち出される可能性を検知した際に、操作を拒否したりアラートを出したりできます。

・シャドーIT対策の実施

シャドーITとは、管理者が使用を許可していないIT機器・サービス・ソフトウェアなどを総称した用語です。管理者が認識していないシャドーITは、セキュリティインシデントの原因となることが多いため、厳格に禁止しなくてはなりません。そもそもシャドーITを利用しなくて済む環境を確保する、ガイドラインを策定するといった対策が有効です。

【関連サービス】サイバーセキュリティ教育

システムや設定ミスによる脆弱性への対策

システムに内在していたり設定ミスによって発生したりする脆弱性は、速やかに発見し対処することが求められます。脆弱性が存在する時間が長くなるだけ、リスクも増すからです。具体的には、以下に挙げる対策を検討しましょう。

・定期的な脆弱性診断・ペネトレーションテスト

脆弱性診断とは、プログラムの不具合や設定ミスなどによるシステムの脆弱性を洗い出すためのテストです。一方でペネトレーションテストは、攻撃者の視点で実際にシステムへ侵入を試み攻撃が成功するか試すテストを指します。

これらのテストによりシステムの脆弱性やリスクを把握し、改善することが可能です。脆弱性診断はシステムの開発後やアップデート後に、ペネトレーションテストは年に1～2回程度行うことが推奨されます。

・セキュアコーディングの徹底

セキュアコーディングとは、サイバー攻撃などに備えセキュリティを意識してプログラミングを行うことです。プログラミングの不備が、サイバー攻撃の標的となる脆弱性につながるケースも少なくありません。セキュアコーディングの徹底によって、プログラミングの段階で脆弱性を予防することが求められます。

・クラウドのアクセス設定を厳格に管理

AWS、Azure、Google Cloudといったクラウド環境を利用する際のアクセス設定にミスが生じるのを防ぐためIAM（Identity and Access Management）の利用が推奨されます。IAMとは、クラウドサービスや社内システムなどで利用するIDを統合管理するのに加え、適切にアクセス制限を行う仕組みです。

・バックアップの定期取得

サイバー攻撃などでデータが使えなくなってしまった場合に、できるだけ速やかに復旧するためバックアップの定期的な取得が求められます。「3-2-1ルール」（異なる3つのコピーを、2種類の異なる媒体に保存し、1つはオフサイトに保管）を実践することで、リスクを最小限に抑えられます。 ローカルとクラウドを組み合わせたバックアップに加え、他拠点での保管も、災害によるデータ消失リスクを予防できます。また、バックアップが確実に復旧できるか、定期的にテストを行うことも重要です。

・システム監視の自動化（SIEM活用）

各種システムをはじめとしたIT機器のログを、一元的に管理・解析するシステム「SIEM」の活用が推奨されます。SIEMを利用することで、システム監視やアラートのプロセスを自動化することが可能です。

・DevSecOpsの導入

DevSecOpsとは、開発部門(development)・運用部門(operation)が互いに協力し合いシステムを開発・運用するDevOpsにセキュリティ(security)を組み合わせた概念です。DevSecOpsを導入することで、脆弱性に対して早期での対処が可能となり、そのリスクを最小限に抑えられます。

・セキュリティパッチの適用を徹底

システムやソフトウェアの脆弱性は、開発元が提供するセキュリティパッチにて解消されることがほとんどです。脆弱性への対応が遅れることで、セキュリティインシデントのリスクは増大します。セキュリティパッチが公開されたら速やかに適用する運用を徹底し、脆弱性を迅速に解消することが求められるのです。

【関連サービス】脆弱性診断サービス

まとめ

セキュリティインシデントはサイバー攻撃や内部不正、人為的ミス、システムの脆弱性などさまざまな要因によって引き起こされます。セキュリティインシデントのリスクを軽減するには、それら全ての要因に対応できるように、網羅的な対策が必要です。

全ての対策を、一度に洩れなく行うのは簡単ではないでしょう。しかし、重大なセキュリティインシデントはいつ起きてもおかしくありません。本記事を参考に自社で足りない対応を洗い出し、必要な対策を検討していただければ幸いです。