サイバーセキュリティインシデントとは？

サイバーセキュリティインシデントは、デジタル資産、コンピューターシステム、ネットワーク、データの侵害や漏洩を伴うセキュリティインシデントの一種です。マルウェア、ハッキング攻撃、データ侵害、DoS攻撃などのデジタル脆弱性を意図的に悪用するインシデントが該当します。サイバーセキュリティインシデントは、範囲、影響度、重大度において大きく異なります。被害を最小限に抑えるためには、サイバーセキュリティインシデントの速やかな検知や対応が不可欠です。

サイバーセキュリティインシデント、セキュリティイベント、セキュリティインシデントの関連性

つまり、サイバーセキュリティインシデントは、セキュリティインシデントの一種であり、不正アクセスや潜在的な損害につながるデジタルセキュリティの侵害が確認された状況を指します。サイバーセキュリティインシデントは、セキュリティポリシーの重大な違反を示しています。対照的に、セキュリティイベントは、早期に確認された脅威の兆候であり、IT環境内の異常なアクティビティを示しています。セキュリティイベントは、インシデントの前兆である可能性があり、軽微なセキュリティイベントと重大なセキュリティインシデントの両方を包含する広い概念です。セキュリティインシデントは、ネットワークの安全性に今まさに脅威をもたらしているあらゆるアクティビティを指します。組織はサイバーセキュリティイベントに対する監視と対応を徹底することで、サイバーセキュリティ態勢を強化し、セキュリティインシデントの予防に努める必要があります。

たとえば、サイバーセキュリティインシデントの実例として、2023年3月に発生したChatGPTの事案が挙げられます。OpenAIは、一部のユーザーの情報（クレジットカード情報、メールID、会員番号、氏名、住所）が他のユーザーに閲覧可能になっていたことを発表し、情報漏洩を認めました。個人情報は9時間にわたって閲覧可能になっており、この間にChatGPTを利用していたユーザーの情報が他のユーザーに見られるリスクがあったことになります。この情報漏洩の原因は、ChatGPTが使用していたオープンソースAIのバグによるものでした。

一層高まるサイバーセキュリティの重要性

デジタル時代の進展に伴い、サイバー犯罪のリスクが深刻化しています。「CyberCrime Magazine」によると、サイバー犯罪が世界にもたらす経済的損失は、2025年の終わりまでに年間10兆米ドルを超えると予測されています。投資利益率の算出は困難ですが、組織のサイバーセキュリティに関する予算を策定することは非常に重要です。バンク・オブ・アメリカ（Bank of America）のCEOであるBrian Moynihan氏はかつて、サイバーセキュリティの重要性を強調し、「当行は、サイバーセキュリティに関する支出予算に制限を設けていない」と述べていました。

必須となるのは、サイバーセキュリティインシデントの複雑さを正確に理解し、セキュリティイベントや他のインシデントとの違いを明確にすることです。

セキュリティイベントとセキュリティインシデントの違い

セキュリティイベントとセキュリティインシデントの違いを理解しておくことは重要です。セキュリティイベントは、セキュリティ侵害を引き起こす可能性があるネットワーク内の事象です。セキュリティイベントがセキュリティ侵害に発展したという確証が得られた時点で、そのイベントはセキュリティインシデントとして扱われます。セキュリティインシデントは、企業の資産にリスクや損害をもたらします。インシデントの深刻化を阻止し、被害を最小限に抑えるためには、発生した侵害に応じた適切な対策が必要です。

セキュリティイベント

セキュリティイベントは、脅威や攻撃を特定するための最初の手がかりです。1日あたり数千件ものセキュリティイベントが発生している企業もあります。しかし、すべてのセキュリティイベントが必ずしもサイバー攻撃であるとは限りません。たとえば、ユーザーがスパムメールを受信するなども、セキュリティイベントに該当します。このようなイベントがセキュリティインシデントに発展するかどうかを見極めるために、SIEMソリューションを活用して監視する必要があります。

以下では、ネットワークにおいて分析を必要とする一般的なセキュリティイベントの発生源をいくつか説明します。

ファイアウォール

ファイアウォールは、ネットワークを出入りするトラフィックを制御します。ファイアウォールログは、攻撃者による侵入が最初に記録される場所であり、攻撃の兆候を最初に発見できる重要な証拠です。そのため、ファイアウォールログが記録したセキュリティイベントは、注意深く監視する必要があります。以下は、ファイアウォールログ上で監視すべき代表的なセキュリティイベントとインシデントです。

受信・発信トラフィックの急増：信・発信トラフィックの急増は、重大なセキュリティイベントです。ファイアウォールログを詳細に調査し、不明なIPアドレスから複数のパケットを受信していた場合は、DDoS攻撃の可能性を示唆しているため、セキュリティインシデントと見なされます。

ファイアウォール設定の変更：ファイアウォールの設定変更自体は、単なるセキュリティイベントに過ぎません。ただし、特権が昇格されたばかりのユーザーがすぐに設定変更を試みた場合、このイベントはセキュリティインシデントとして扱われます。

ファイアウォールポリシーの設定変更：ファイアーウォールのルールへの変更自体は、問題のないイベントです。しかし、変更によって悪意のあるC2サーバー（Command and Control Server：サイバー攻撃の踏み台として悪用したり、個人情報や認証情報などの重要なデータを窃取したりする目的で利用されるサーバー）やその他の危険な発信源とのトラフィックが許可され、データ漏洩が狙われている場合は、インシデントと見なされます。そのため、このような変更を注意深く監視しなければなりません。

重要なサーバー

重要なサーバー（ファイルサーバー、Webサーバー、ドメインコントローラーなど）は、サイバー攻撃の標的になりやすいです。なぜなら、攻撃者がこれらのシステムを侵害できれば、ネットワークやデータの大部分を意のままに操作できるからです。そのため、すべてのユーザーアクティビティと、このようなサーバーの設定変更を監視することは非常に重要です。以下は、重要なサーバーにおいて監視が必要になる代表的なセキュリティイベントです。

• ユーザーのログイン
• サーバーへのアクセスを許可するユーザー権限の変更
• システム設定の変更
• セキュリティ設定の変更

上記のイベントを調査した結果、不審な発信元によるものと判明した場合や、異常なユーザー行動を示している場合は、セキュリティインシデントと言えます。

上記のような監視対象とすべき代表的なイベントに加えて、サーバーの機能に応じて、他のイベントも監視が推奨される場合があります。たとえば、Webサーバーでは、インジェクション試行がないかをログで監視することが不可欠です。

データベース

データベースは、従業員の詳細情報や機密性の高いビジネスデータなどを保存しているため、攻撃者に最も狙われやすい標的の1つです。以下は、データベースでよく発生する代表的なセキュリティイベントの例です。

データベースのテーブル変更：特権ユーザーによるデータベースのテーブル変更は、セキュリティイベントに当たります。ユーザーが複数のテーブルを操作した場合は、セキュリティインシデントになります。

ユーザーの権限変更：ユーザーの権限が昇格され、データベース内のリソースへのアクセスが許可された場合は、セキュリティイベントに当たります。ただし、昇格されたばかりの特権を持つユーザーが、データベース管理者グループのメンバーを追加または削除し、他のユーザーの権限変更を試みた場合、このイベントはセキュリティインシデントになります。

機密性の高いデータの閲覧または取得：企業が保有する機密情報には、従業員の生体認証情報、顧客情報、取引の詳細情報などがあります。ユーザーがデータベースから機密情報を不正に取り出そうとした場合は、セキュリティインシデントとして扱われます。

エンドポイント

ノートパソコンやデスクトップなどのエンドポイントでは、1日に大量のセキュリティイベントが発生します。以下は、エンドポイントにおいて監視が必要とされる代表的なセキュリティイベントの例です。

ログイン試行の失敗：ユーザーが何度もログインに失敗した場合は、セキュリティイベントです。何度もログインに失敗した後にログインに成功し、権限の昇格を試みた場合は、セキュリティインシデントに当たります。

許可されていないソフトウェアのインストール：許可されてないソフトウェアのダウンロード・インストールは、セキュリティイベントです。許可されていないソフトウェアが他のアプリケーションの機能を阻害し、デバイスの誤作動を引き起こす場合は、セキュリティインシデントとして扱われます。

セキュリティインシデント

セキュリティインシデントとは、セキュリティイベントの中でも、攻撃やセキュリティ脅威によってネットワーク上のリソースやデータに危害が加えられるものを指します。セキュリティインシデントは、必ずしも直接的な損害を引き起こすわけではありませんが、企業のセキュリティを危険にさらします。たとえば、ユーザーがスパムメールのリンクをクリックした場合、セキュリティインシデントに該当します。このインシデント自体は直接的な損害をもたらしませんが、リンクをクリックした後にマルウェアがインストールされ、ランサムウェア攻撃を仕掛けられる可能性があります。

以下は、ネットワーク上で監視すべきセキュリティインシデントの例です。

既に認識されている危険なIPアドレスからのトラフィック：IPアドレスの中には、悪質な活動を行った疑いが既にあり、危険だと認識されているものがあります。悪意のあるIPアドレスについての情報は、脅威情報や脅威フィードと呼ばれます。悪意のある発信元からのトラフィックを追跡するには、SIEMツールなどのセキュリティソリューションを導入し、動的に更新される脅威フィードのデータと、ネットワークのトラフィック情報を関連付ける必要があります。SIEMソリューションを導入すれば、悪意のあるIPアドレスがネットワークへの侵入を試みた際にその試行を検知し、迅速に対処できます。

マルウェアの可能性があるソフトウェアのインストール：無害に見えるファイルが添付されている悪質なメールが、毎日数百万通も送信されています。ユーザーが警戒せずにこのような添付ファイルを開いてしまうと、デバイスにマルウェアがインストールされる可能性があります。攻撃者はマルウェアを経由して、デバイスに保存されている機密情報の窃取や、企業ネットワーク上のリソースへの侵入を狙う可能性があります。このような事態が発生すれば、セキュリティインシデントに該当します。

不審なログイン試行：多くの企業は、VPNサービスを利用して、リモートユーザーが組織のネットワークに接続できる環境を整えています。リモート環境において、ユーザーの認証情報が不正に取得された場合、ハッカーによるネットワークへの侵入を許し、重大なサイバー攻撃の足掛かりとなる恐れがあります。ユーザー自身は最近ネットワークにログインしていないにも関わらずアクセスの形跡が残っている場合、認証情報が侵害された可能性が示唆されています。これは重大なセキュリティインシデントに該当し、IT管理者の迅速な対応が求められます。

特権昇格：攻撃者が企業ネットワークに不正にアクセスした時点では、一般ユーザーに偽装しているため、限られた範囲でしか危害を加えられません。そのため、多くの攻撃者は侵入後、特権昇格を狙います。なぜなら、特権昇格によってより強力なアクセス権を獲得すれば、ネットワーク環境で意のままに操作できるようになるからです。

重要なデバイスに対する不正な設定変更：ファイアウォールなどの重要なサービスに対して不正な変更を加えようとする動きがあれば、ネットワークへの攻撃試行の可能性があるため、セキュリティインシデントとしてログに記録されます。

リムーバブルメディアによるマルウェア感染：リムーバブルメディア（USBドライブやハードドライブなど）にマルウェアが仕込まれている場合、ワークステーションに接続してしまうと、被害に遭う可能性があります。マルウェアが潜む外部デバイスをアンチウイルスシステムが検知した場合は、セキュリティインシデントとしてログに記録されます。

データベースのデータ操作：企業データベースのデータがユーザーによって不正に削除または変更された場合は、セキュリティ侵害に該当します。このような事態が発生した場合、IT管理者は即座に対応し、企業ネットワークへの被害拡大を食い止めなければなりません。

組織にとっての重要な課題は、サイバーセキュリティイベントに対する積極的な監視やセキュリティ態勢の強化を通じて、潜在的な脅威に対する効果的な防御体制を構築することです。ManageEngineのLog360のようなSIEM（セキュリティ情報およびイベント管理）ソリューションを導入することで、セキュリティインシデントの検知・管理・軽減が可能となり、ネットワーク保護のための予防的なアプローチを実現できます。