被害を発見した時の初期対応

企業での情報セキュリティ被害は、発見の速さと初期対応が重要です。既に対応手順を定めている組織も多いと思いますが、改めて手順を確認してみましょう。

マルウェアに感染した時の初期対応

PCやスマートフォン、業務用の機械などがマルウェアに感染していることが判明したら、すぐにネットワークから切断しましょう。多くのマルウェアは、コンピュータに感染したあと、同じLANに接続している他のコンピュータに感染を拡げようとします。まずはLANケーブルを抜いたりWiFi機能をオフにするなど、コンピュータをネットワークから隔離しましょう。

このとき、コンピュータの電源をオフにしないようにしてください。マルウェアの中には、感染端末の再起動時に動作するものがあります。また、ネットワークからの切断以外は操作せずそのままの状態を維持することで、感染したマルウェアのプログラムや感染経路の解析に役立てることができます。

不正アクセスが発生した時の初期対応

社内のシステムへの不正アクセスが発覚した場合、まずはアクセスされた範囲や考えられるアクセス経路を整理します。不正アクセスによる個人情報や機密情報が漏洩する危険性が確認された場合、システムをネットワークから切り離してサービスを停止するなどの対応が必要になります。こうなってしまうと業務に大きな影響を与えるため、早い段階で不正アクセスを検知することが重要です。

情報漏洩が発生した時の初期対応

何らかの経路で情報漏洩が発生したことが分かったら、漏洩した経緯や、漏洩した情報による影響範囲の調査が始まります。この事後対応は長期化する場合もありますが、対応の目的として「情報漏洩による直接的・間接的被害を最小限に抑える」ということを忘れないようにしなければなりません。

初動対応としては、情報漏洩を発見したタイミングで直ちに対策チームを結成します。コンピュータ上からデータが流出した場合は、関係する機器をそのままの状態で保全し、証拠を消してしまわないようにします。外部から通報があった場合は、通報者の連絡先を控えて漏洩経路の調査に繋げます。

次に、漏洩した情報の関係者に事実を報告します。迅速に情報を公表することで、該当者が二次被害を受けないようにします。しかし、情報の公表によって被害の拡大に繋がることが懸念される場合は、公表するタイミングや対象を考慮します。

事態の収束までに行うこと

初期対応後、攻撃に応じて事態を収束させるための手順を進めていくことになります。

このとき、どのような攻撃の対応でも大切になるのが、状況の記録を残しておくことです。発生した状況や狙われた環境などを記録しておくことで、類似する手口から攻撃を行った者を探し出したり、同様の被害が発生したときに迅速に対応したりすることができます。

具体的には、以下のような記録が役立つでしょう。

• 事態の発生日時
• 攻撃を発見した機器
• ネットワークの接続状況（インターネット接続の有無）
• OSの種類とバージョン
• 発見したウイルスの名称
• 組織内での感染拡大の有無
• 事態を発見した方法
• 推測した感染原因
• 解決方法

また、発生した事態によって業務上の損失が発生した場合は、その金額を算出することも重要です。企業においてセキュリティ対策を進める際、費用対効果の計算が求められることがあります。実際に発生した被害の損失額を記録しておくことで、今後セキュリティ対策にどのくらい費用をかけるべきか考える助けになるでしょう。

被害発生時の届出・相談先

マルウェア感染や標的型メール攻撃などの被害は、多くの場合、複数の企業や組織を標的として同時多発的に実行されます。もしも被害を受けてしまった場合は、しかるべき機関に届出ることで、他の組織が同様の被害を受けないように繋げることができます。

マルウェアに感染した時の届出・相談先

日本国内においてマルウェア感染被害が発生した場合、1990年に通商産業省（現・経済産業省）が告示した「コンピュータウイルス対策基準」によって、「独立行政法人情報処理推進機構（IPA）」が届出先として定められています。

届出についてのページに、感染に関する情報の届出様式が記載されています。事態が収束している場合は、こちらで経緯を届出すれば完了です。

まだウイルス感染による被害が継続していたり、対処できているか不安な場合は、IPAの「情報セキュリティ安心相談窓口」から相談をすることができます。

不正アクセスが発生した時の届出・相談先

不正アクセス発生時も、IPAに届出を行います。相談についても同様に情報セキュリティ安心相談窓口から問い合わせることができます。

組織を標的として不正アクセス攻撃が行われている場合は、各都道府県の警察本部に「サイバー犯罪相談窓口」が相談先として設置されています。サービスの提供停止や業務システムの停止など、企業として被害が発生している場合に今後の対応を相談することができます。

情報漏洩が発生した時の届出・相談先

情報漏洩については、情報システムの関係の有無に関わらず対応手順が定められています。企業における個人情報漏洩の対応については、個人情報保護委員会から告示されています。

「個人データの漏えい等の事案が発生した場合の対応について」

まずは発生している事態を調査・把握し、上記のガイドラインと照らし合わせて取るべき対応を確認します。個人情報保護委員会への報告をする場合は、こちらのページに掲載された報告フォームから必要な情報を提出します。重大性の高い事案やこれから公表する事案など、緊急性の高い報告は電話で即時報告できるようになっています。業務の分野によっては別途対応手順が定められているため、前もって自分の組織における対応手順を確認しておきましょう。

また、個人情報の漏洩は、被害を受けた個人に対して企業が謝罪や賠償を行う必要があります。その内容は、企業で預かっている個人情報の種類や対象とする顧客によって大きく異なります。自分たちの組織で対応すべき範囲や内容を事前に組織の法務部で策定し、必要があれば外部の弁護士に相談してください。

届出事例の集計データの公開

IPAでは、企業や個人からの届出内容を集計し、定期的にレポートを公開しています。

「届出に関する公開資料」

この公開資料では、攻撃の手口の割合や月別の推移といった集計情報や、ウイルスの検知・感染被害の事例ごとの概要などを確認することができます。他の組織での被害の現状を知ることで自分の組織の防御に繋げられるため、定期的にチェックすると良いでしょう。集計は上半期・下半期の事例紹介と、年間の届出情報の集計がそれぞれ８月、２月に掲載されます。

最後に

常日頃から十分なセキュリティ対策を行っていても、実際に被害が発生した後の対応を準備できていなければ被害の拡大につながってしまいます。インシデント発生後の対応手順を事前に定め、もしもの事態に備えましょう。