こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
セキュリティ事故は、企業の情報資産や個人情報を脅かすだけでなく、企業の信頼性やブランド価値にも影響をもたらします。しかし、セキュリティ事故は年々増加傾向にあり、東京商工リサーチの調査によると、2022年の事故件数は165件(前年比20.4%増)でした。この結果は社数と事故件数共に最多を更新しています。
今回は、セキュリティ事故が起きた場合に生じる損害について解説します。
セキュリティ事故とは
セキュリティ事故とは、第三者からの攻撃や従業員による作業ミスなどによって、企業の情報資産(事業計画・財務情報・技術的資料など)や個人情報が流出することを指します。
このようなセキュリティ事故はなぜ起こってしまうのでしょうか。
セキュリティ事故の原因
セキュリティ事故には内的要因と外的要因が存在します。
内的要因は、従業員によるパソコンやスマートフォンの紛失、システム操作ミスによる情報の流出などが挙げられます。これらはほとんどの場合、人的要因が原因です。パソコンの持ち出し禁止やシステム操作手順のマニュアル化などで、ある程度の対策はできますが、最終的には社内での地道な啓発活動などを行うしかありません。
外的要因は、第三者からの攻撃によって企業のサーバーに不正アクセスされて情報が流出するようなケースです。これらの原因はサーバーのセキュリティ対策がしっかりと行われていない場合に発生します。内的要因とは異なり、しっかりとした対策ができれば、セキュリティ事故が起こる確立を減らすことができます。
セキュリティ事故発生時の対応の流れ
もし、第三者からの攻撃などで自社でセキュリティ事故が発生した場合、企業はどのような対応が必要なのでしょうか。項目ごとに分けて見ていきましょう。
原因調査
セキュリティ事故発覚後は、原因調査が必要です。事故内容や影響範囲から流出元サーバーを特定します。セキュリティ事故は、サーバーのネットワーク・サーバー内ソフトウェアの脆弱性・またはその両方など、さまざまな要因が考えられます。
セキュリティ事故の原因が特定されなければ、同様のセキュリティ事故が再発する可能性があるため注意が必要です。また、セキュリティ事故の原因となった脆弱性が他のサーバーにも同様に設定されている可能性もあるため、社内システム全体の調査をしましょう。
自己復旧
セキュリティ事故の原因判明後は、原因に対する暫定対策を行います。暫定対策とは応急処置のようなものです。一部の機能を制限することにより、被害の拡大や2次被害の防止をします。
たとえば、サーバーをインターネットから隔絶する、ソフトウェアやプラグインの機能を停止する、バックアップからのデータ復旧等が挙げられます。これらの対応はあくまでも暫定対策であり、一通りの調査やユーザー対応の終了後に恒久対策が必要です。
被害調査
自己復旧の次は、被害調査です。
セキュリティ事故によりどのような被害が起きたか、正確に把握する必要があります。
これは、後に解説するお客様への説明や、賠償金の支払いなどに必要な情報のためです。
以下を参考に被害状況を整理しましょう。
- 被害発生日時
- 被害に遭ったサーバー情報
- 被害に遭ったデータ情報
- 現次点で把握している被害者数・顧客リスト
被害調査にはサーバーのログやファイアウォールのログを元に精査します。
これには、専門的な知識が必要なため、調査は外部機関へ委託する企業もあります。
再発防止対策
次に、再発防止策の策定をします。お客様への信頼回復と不安解消のため、2度と同様のセキュリティ事故が起きないように対策を実施しましょう。
対策には「なぜなぜ分析」などを使います。
これは、セキュリティ事故の根本原因を探る1つの手法です。
「なぜなぜ分析」のやり方は、
・セキュリティ事故が起きた
なぜ事故が起きた?⇀脆弱性を突いた攻撃にあった
なぜ脆弱性攻撃に遭った?⇀ソフトウェアのアップデートができていなかった
なぜアップデートを怠っていた?⇀ソフトウェアアップデートの情報が取れていなかった
このように、「なぜ?」を繰り返すことで事故の根本原因が分かってきます。
対策方針が決まれば、それに沿って対策を行います。
経緯等の情報発信
再発防止策の対処後に、経緯等の情報発信をステークホルダーへ行います。方法は書面やメール、被害が甚大な場合は会見などを開く必要があります。セキュリティ事故発生から再発防止策までの情報を記載しましょう。
セキュリティ事故による6つの損害
セキュリティ事故が発生すると、さまざまな損害が生じます。
JNSA(日本ネットワークセキュリティ協会)の「インシデント損害額調査レポート 2021年版」によると、全体の損害費用は小規模のもので600万円程度、大規模な被害の場合は3億7,600万円の被害がでた事例があります。
ここでは、セキュリティ事故の発生による6つの損害について詳しく解説します。
費用損害
費用損害は、被害発生から収束に向けて発生する費用です。
上記のように、セキュリティ事故発生直後からかなりの労力が必要になります。
また、再発防止策として追加サーバーの購入や、新規ソフトウェアを導入する場合は、さらに時間と費用が掛かります。他にも、経緯等の情報発信のためのDMや新聞広告費、技術的な調査・対策のコンサルティング費用、法律相談費用があります。
賠償損害
情報漏えい等による損害賠償費用です。
たとえば、クレジットカード情報が流出し、不正利用により2次被害が発生した場合はその費用を支払うなどの損害があります。お客様個人だけでなく、委託契約における委託元や取引先の法人も対象です。営業秘密の漏えいにより、数百億円規模の訴訟が提訴された事例もあるようです。
利益損害
事業が中断した際の利益損失や人件費などの固定費支出が発生します。再発防止策における恒久対策に時間がかかる場合、その間営業活動ができません。企業の事業形態によって、かなりの損害額となります。
金銭損害
金銭損害は、攻撃者からランサムウェアやビジネスメール詐欺などの直接的な金銭の支払いを要求されるケースです。
ランサムウェアは、サーバーハッキング後に攻撃者から「情報漏えいをさせたくない場合は●●万円支払うこと」と身代金を迫られます。この攻撃により、攻撃を受けた企業の半数は要求に応じて身代金を支払ったという報告もあります。
Coveware社の「Quarterly Ransomware Report」によると、2021年の第1四半期の被害額は平均約2,400万円、中央値は約860万円でした。
行政損害
個人情報保護法において、命令違反により科される罰金の損害です。日本の場合、違反の度合いや影響度によりますが、最大1億円の罰金が科せられます。これらの法律は国ごとに異なります。
無形損害
無形損害は、ブランドイメージの低下、風評被害、株価下落など、無形資産の価値下落による損害です。金銭の換算が困難な損害をいいます。
2014年にベネッセコーポレーションが起こした顧客情報漏えい事故では、株価が4,360円から当日は700円下落のストップ安、さらに2年間で2,000円台にまで下落しました。
このようにセキュリティ事故により企業価値が半減することもあります。
セキュリティ事故を未然に防ぐ方法
セキュリティ事故は、影響度合いによりますが、多額の損害が生じます。
セキュリティ事故を未然に防ぐ方法を解説します。
1.セキュリティ対策計画
セキュリティ対策計画を立てましょう。
セキュリティ対策はWebサイトの規模や特性によって変わります。例として、セキュリティソフトウェアのアップデート計画や、ウイルス対策ソフトやWAFの導入の検討を行います。
具体的なWebサイトごとの対策は下記で紹介しています。
ECサイトのセキュリティ対策
WordPressのセキュリティ対策
2.検証環境での確認
セキュリティ対策計画完了の次は、検証環境での動作確認です。
いきなり本番環境へセキュリティ対策を適用した場合、Webサイトの動作に不具合が起こる可能性があります。まずは検証環境でWebサイトの動作に影響が無いことを確認しましょう。
3.本番環境へセキュリティ対策の実施
検証環境で問題ないと判断できた場合、本番環境へセキュリティ対策を実施します。本番環境の作業でミスをすると、直接お客様に影響が出るため、本番環境の作業は慎重に実施しましょう。
本番環境で作業する時間も、Webサイト利用ユーザーが少ない時間帯に実施し、事前にユーザーへメンテナンスをする旨の通知を行います。
保守・管理のアウトソーシングをする方法も
これまで説明した通り、セキュリティ事故は多額の損害が出る可能性があり、セキュリティ事故を防ぐ対策も専門的な知識や経験が必要です。そのため、Webサイトを動かすサーバーの保守・管理を外部の専門企業へアウトソーシングする手段もあります。
そこで、弊社のサービスである「クロジカサーバー管理」のご紹介です。
「クロジカサーバー管理」でセキュリティ対策を!
「クロジカサーバー管理」で提供しているサービス内容の一部をご紹介します。
脆弱性情報を毎日キャッチアップ
脆弱性情報を専門のエンジニアが毎日チェックし対応の緊急性を判断し、緊急性が高い場合にはご依頼がなくてもアップデートのご相談を弊社から差し上げます。2021年の1年間で見つかった脆弱性は789件でした。その中から貴社に必要な脆弱性情報を見極めます。
プラグイン追加連絡は不要
WordPressをご利用のお客様の場合、お客様にてプラグインを更新、または新規にインストールする際に、都度弊社へご連絡をいただく必要はありません。弊社にて自動的に情報をキャッチアップし対応いたしますので、お客様の自由なタイミングで作業いただけます。
プロの手による安全なアップデート作業
アップデート作業が必要となった際は、サーバー本体やソフトウェア・プログラムバージョン等の互換性を確認します。その後、検証環境でのアップデート作業で動作に問題がないことを確認してから本番環境へ反映します。
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
