押さえておきたいセキュリティの世界〜基礎から学ぶセキュリティ環境構築情報セキュリティインシデント編〜

本連載では、ド素人エンジニアが、未来からきた猫型ロボットせきゅえもんと共にセキュリティの世界にダイブする物語をお届けします。本稿では、情報セキュリティの基本的な考え方やよく用いられる用語について解説していきます。
今回はその中でも、実際に情報セキュリティ事故( 情報セキュリティインシデント )が発生した場合についてお話します。

登場人物

山田たろう
・IT企業に勤めるド素人エンジニア。
・上司からの突然の無茶振りにより一人前のセキュリティ
　エンジニアを目指すことになった

せきゅえもん
・山田たろうさんを立派なセキュリティエンジニアにするべく、
　2050年から突然やってきた未来のセキュリティエンジニア育成
　ロボット。
・語尾にいろいろと方言が入る。

1 情報セキュリティインシデントは、ある日突然訪れる
2 情報セキュリティインシデント
3 まとめ
- 3.1 定義
- 3.2 参考

情報セキュリティインシデントは、ある日突然訪れる

ある日の在宅ワークにて

せきゅえも～～ん！！どうしよう～！（泣）

どうしたんだい、たろうくん？

新規のお客様からメールが届いていたから、メールの添付ファイルをクリックしたら、変な文字が表示されちゃったよ（泣）

たろうくん、それは標的型攻撃メールやで！(# ﾟДﾟ)

ある日、会社のWebサイトを開いてみたら…

せきゅえも～～ん！！どうしよう～！（泣）

どうしたんだい、たろうくん？

最近自社のWebサイトを開いてなかったけど、久しぶりに開いてリンクをクリックしたら、別の変なサイトに繋がったよ(?_?)

それはWebサイトが改ざんされて、情報セキュリティインシデントが起きてんで！(# ﾟДﾟ)

ある日、オンラインミーティングをしようと思ったら…

せきゅえも～～ん！！どうしよう～！（泣）

れはWebサイトが改ざんされて、情報セキュリティインシデントが起きてんで！(# ﾟДﾟ)

オンラインミーティングでZzzmを利用してるんだけど、なんかZzzmのアカウントが乗っ取られたみたい (?_?)

Zzzmのアップデートはバージョンいくつになっとる？

あ、、、1.1.3。

それはとても古いバージョンやで。いまは、5.7.5やで。ゼロデイ攻撃があったと報告されてたけど、そもそもバージョンが古すぎるで。定期的にアップデートでせえへんとだめやで！(# ﾟДﾟ)

たろうくん、情報セキュリティ対策が全然できてへんで・・(;´･ω･)このままだと、大変なことになるさかい、今回は情報セキュリティインシデントと脅威について勉強しよう！

情報セキュリティインシデント

情報セキュリティインシデントと脅威

ところで、情報セキュリティインシデントと脅威ってなに？(｡・ε・｡)

『情報セキュリティインシデント』ちゅうのは、情報資産が損なわれる現象のことで、情報セキュリティにおける事故のことやで。

『脅威』ちゅうのは、情報セキュリティインシデントが起こる要因のことやで。脅威は人為的脅威と環境的脅威に分けられるで。

情報セキュリティインシデントが起きたら…

情報セキュリティインシデントが起きたら、どないなると思う？

えーと、膨大な工数でインシデントの対応をしないといけないし、風評被害とか企業ブランドが落ちたりとか。大変だー(*_*;

そうやな、他にも訴訟や損害賠償の対応をしたり、上場企業であれば、株価の下落が起きたり、経営陣の退任、事業の縮退、最悪企業の倒産も起きたりするで。あと、たろうくんのお給料減ったり、懲戒解雇されたり、免職になったりするで。(・ω・)

情報セキュリティインシデントこわいよ！！(+o+)

うん、怖いなぁ！たろうくんのお給料減ったら、ぼくの特注金粉入りどら焼き買うお金がなくなるさかい、絶対に情報セキュリティインシデントは起こさんとってな！！(# ﾟДﾟ)ノノｺﾞﾙｧ!!

たまに高そうなどら焼きを買って食べていたのは、僕のお金で買ってたのね・・(´;ω;`)

・・・まあ、そら置いといて、情報セキュリティの対策は、ステークホルダーの期待に応えるためにもきちんとやらなあかんのやで。

ステークホルダーってなに？(｡・ε・｡)

『ステークホルダー(stakeholder)』ちゅうのは、利害関係者のことやで。企業によってどこまでステークホルダーと考えるかは異なるけれども、例えばお客様や取引先、株主やらやで。

どうしてステークホルダーの信頼を得るために、セキュリティ対策をしないといけないの？(｡・ε・｡)

企業はステークホルダーから信頼を得ることによって、事業が継続できるさかい、ステークホルダーの信頼を得られへんと、事業が継続できんくなんねんで。

例えば、ぼく（せきゅえもん）とたろうくんは、どら焼きを毎日たろうくんから貰うことで信頼を築けとるけれども、もしセキュリティ対策を何もせえへんでどら焼きが盗まれて、今日どら焼きを食べることができひんかったら、たろうくんとの信頼が崩れるでなぁ。盗まれへんために、しっかり（どら焼きの）セキュリティ対策をすることは、ぼくとたろうくんの信頼に重要なんやで。

ぼくとせきゅえもんは、どら焼きで信頼関係が結ばれていたの？(´;ω;`)

どら焼きだけちゃうけど、どら焼きも信頼関係の1つやで。セキュリティ対策しっかりしてや(・ω・)ノ

情報セキュリティ対策は事業を継続する上で必要な対策

もし業務で情報漏洩が発生したら、どないなると思う？

顧客離れや新規の顧客獲得ができなくなったりして、事業が継続できなくなるよ。

そうやな。情報セキュリティインシデントが起きへんように、気ぃ付けることが大切やな。
ちなみに情報セキュリティ対策は企業のCSR（企業の社会的責任）の取り組みのひとつになってんで。

CSRってなに？(｡・ε・｡)

CSRは、Corporate(企業の)、Social(社会的)、Responsivity(責任)の頭文字をとった造語で、企業本来の目的である利益追求や、法令を守ることだけでなく、あらゆるステークホルダーからの要求に応える責任があるっちゅうことやで。ステークホルダーからの要求に応えるためには、情報セキュリティがCSRの取り組みの一つであることを、しっかりと認識しておくことが大切なんやで。

情報セキュリティの事故が発生しないようにするために、日ごろから情報セキュリティ対策をしていることが大切なんだね。

たろうくん、だんだん情報セキュリティの考え方がわかってきたなぁ。

情報セキュリティをマネジメントの課題として捉え、管理・実行していくためには、コーポレートガバナンス（企業統治）に情報セキュリティの規範を定めることが重要やな。そのためにも、『情報セキュリティガバナンス』という考え方に基づいて、しっかりと情報セキュリティの対策について考えることが大切なんやで。

情報セキュリティガバナンスはなに？

情報セキュリティガバナンスは、企業で情報セキュリティインシデントが発生せえへんように、または発生した場合でも被害を少なくするために、日ごろから企業内に情報セキュリティ対策をしておくことやで。

そんな考え方があるんだね。経済産業省のWebサイトもチェックするようにしよう。
情報セキュリティは、情報システム部門だけが取り組めばよいのではなく、企業・組織全体としての問題で取り組むことが重要なんだね。

そうやな！情報セキュリティガバナンスを、会社全体で取り組むことは重要やな。情報セキュリティガバナンスについては、今度また詳しく説明するなぁ！

まず情報セキュリティ対策をするためにも、企業で情報セキュリティポリシーを策定することが大切やな。たろうくんは、情報セキュリティポリシーについては当然知っとるよね？

・・知らなかった。(*_*;

ちょっと褒めたと思ったら…
情報セキュリティポリシーは、企業の情報資産を守るためのベースとなるものやさかい、しっかり知っといてや。情報セキュリティポリシーがあらへんと、情報漏洩やサイバー攻撃が起きたときに対応できんで、おっきな被害を受けて、多額の損害賠償も請求されることもあるさかい、きちんとチェックしといてや！

チェックしないと(>_<)

今日はせきゅえもんのおかげで勉強になったよ～

たろうくんはまだまだ勉強が足りへんね(´･ω･)これからももっとセキュリティについて勉強してや！がんばってな～!(^^)!

ところで、標的型攻撃メールを開いて泣きついてきたけど、それはどないしたん？

忘れてた～！(*_*;)

まとめ

本稿では会話形式で、情報セキュリティの基礎的な考え方や情報セキュリティで使用されるワードをご紹介致しました。

情報セキュリティとは、企業や組織の大切な資産である情報を、安全な状態とするために守ることです。
企業や組織には様々な目的がありますが、営利企業であれば売り上げ・利益の拡大、事業継続をさせることと言えます。事業を継続し存続させるためには、ステークホルダーからの信頼・信用を高めることが大切です。ステークホルダーからの信用を獲得するためには、情報セキュリティの取り組みをしっかりと行う必要があります。

日常業務の中で、みなさんが日々数秒をかけて何気なく行っている、離席時にパソコンをロック状態にする「windows」キー+「L」キーの操作や、パソコンを開いてパスワードを入力してデスクトップの画面を開く行為の一環も情報セキュリティの取り組みです。

情報セキュリティの業務を行う時間をなくすと生産性を生み出す時間が増えますが、しかし情報セキュリティインシデントが起こる可能性が増加します。
今まで情報セキュリティ面の対策をしてこなかった方は、ぜひこの機会に一度、セキュリティ面を見直してみるのはいかがでしょうか。

セキュリティに関する別の記事も公開しておりますので、合わせてご覧ください

せきゅえもんが教える押さえておきたいセキュリティの世界 Interop Tokyo編

以上、最後までご覧いただきありがとうございます。

定義

『情報セキュリティインシデント』の定義：
「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」（JIS Q 27000:2019）では、『情報セキュリティインシデント』を『望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確立及び情報セキュリティを脅かす確率が高いもの。』と定義されています。
【出典：「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」（JIS Q27000:2019）、一般社団法人　日本規格協会】
『脅威』の定義：
「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」（JIS Q 27000:2019）では、『脅威』を『システムまたは組織に損害を与える可能性のある、望ましくないインシデントの潜在的な原因。』と定義されています。
【出典：「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」（JIS Q 27000:2019）、一般社団法人　日本規格協会】
『ステークホルダー』の定義：
「リスクマネジメント-指針」（JIS Q 3100:2019）では、『ステークホルダー』を『ある決定事項若しくは活動に影響を与え得るか、その影響を受け得るか又はその影響を受けると認識している、個人又は組織。』と定義されています。
【出典：「リスクマネジメント-指針」（JIS Q 3100:2019）、一般社団法人　日本規格協会】
『情報セキュリティガバナンス』の定義：
2005年3月に発表された経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」で、「情報セキュリティガバナンス」を、『社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること』と定義されています。