インシデントとは？アクシデントとの違い、事例、対策、管理の手順について解説

事業や業務のIT化が進むにつれ、情報漏洩対策をはじめとするITセキュリティの必要性が高まりを見せるようになりました。その中で、「インシデント」に関する対策が注目を集めています。インシデント管理では、原因から発生までの全体像をとらえ、早急に対策を講じる体制を日頃から整えておくことが非常に重要です。

本記事では、インシデントの基礎知識から始まり、実際に起きたインシデントの事例、企業がとるべき対策について深く解説します。

インシデントとは

インシデントとは、「出来事」「事件」といった意味を持つ英単語です。
ビジネス用語としてのインシデントは、もう一歩で重大な事故や事件になるところだった業務上のミスや誤った行為、事例のことを指します。簡単にいうと、「あわや大惨事」といった出来事がインシデントです。

もともとは、警察や医療、航空、鉄道業界でよく使われてきた言葉ですが、一般企業においては、主に情報セキュリティやITサービスに関する事例で用いられます。特に、情報システムや個人情報の管理にとって脅威となるような人為的な出来事を「セキュリティインシデント」と呼びます。

例えば、不正アクセスやウイルス感染などによる個人情報の流出が挙げられます。ITサービスにおけるインシデントは、システムの不具合や障害により、サービス利用が不可能になったり、利便性に支障が出たりする事態があります。

インシデントとアクシデントの違い

事故や事件を指す言葉としては、「アクシデント」も同じような意味を持っています。ただし、アクシデントの方が「思わぬ事故」「突発的に起こった災難」といった意味合いが強く、すでに事故が起こってしまった状態というニュアンスがあります。

例えば、情報管理システム上に不具合が見つかった状態はインシデント、不具合によって情報漏洩が起こり、利用者が不利益を被った場合はアクシデントということができます。

インシデントとヒヤリハットとの違い

ヒヤリハットとは、ヒヤリとしたり、ハッとしたりするような、重大事故につながりかねないミスや出来事を指す言葉です。「あわや大惨事」という状況を指している点は、インシデントと非常に近しい言葉といえます。

違いとしては、ヒヤリハットは製造業や工場などでよく使われる言葉で、不注意や確認不足といった人為的なミスを原因とする事故を指している場合が多いことです。例えば、作業手順を守らなかったせいで機械に手を挟まれそうになった、周囲の確認不足により作業員が重機に巻き込まれそうになった、といった事例がヒヤリハットにあたります。

一方、インシデントはヒューマンエラーだけでなく、他者からの攻撃や自然災害を原因とする場合にも用いられます。

企業でインシデントが重要視される理由

経済産業省は、ITシステムにおける「2025年の崖」という事態を危惧しています。新しいビジネスモデルの創出や国際競争力の強化において、DX（デジタルトランスフォーメーション）の必要性を多くの企業が理解しているものの、既存システムの刷新が困難であるといった課題から、想定通りDXが実現していないのが現状です。

このままDXが進まないと、2025年以降に最大12億円以上の経済損失が生じる可能性があるというのが「2025年の崖」問題です。このような事態を回避し、さらなるGDPの押し上げを図るため、経済産業省は企業に対してDX実施を推奨しています。

今後は多くの企業で既存システムの刷新・置き換えが進められることは確実といえますが、ここで問題となるのが、システム移行による不具合やセキュリティリスクの問題です。システムをスイッチする際に想定される不具合や、電子化によって起こるセキュリティ面への対策が求められます。

このように、DXがますます推し進められる背景から、それによってリスクが高まることが想定されるインシデントへの対応についても重要視されるようになっています。

企業で問題となるインシデントとは

それでは、企業で実際に発生するインシデントの具体例を見てきましょう。

ウイルス感染

システムがウイルスに感染したことが原因で障害や情報漏洩を起こしてしまうことは、情報セキュリティにおける代表的なインシデントです。

例えば、閲覧しただけでパソコンやタブレットがウイルス感染してしまうマルウェアサイトやパソコンを使用不能にした後、元に戻すことと引き換えに身代金を要求してくるランサムウェアなどがあります。

サイバー攻撃

悪意ある攻撃者からのサイバー攻撃も、情報セキュリティにおける重大な脅威です。具体的には、攻撃対象のシステムに大量のデータを送りつけて過大な負荷をかけ、使用不能にするDos/DDos攻撃、プログラムを書き換えてサービスを利用不能にしたり、不正なプログラムを埋め込んだりするWebサイト改ざんなどが挙げられます。

また、ウイルスが仕込まれたファイルを添付したり、マルウェアサイトへ誘導するメールを送るなど、ウイルス感染と組み合わせたサイバー攻撃もあります。

フィッシングサイト

フィッシングサイトとは、案内に従って個人情報や連絡先、クレジットカード情報などを入力すると、それらの情報が盗まれてしまう詐欺サイトです。

「パスワード変更のお願い」といった件名とともにサイトのURLが送られてきて、アクセスすると金融機関や大手サービスにそっくりなWebサイトが表示されるため、詐欺と気が付かずに情報を入力してしまうという手法です。

システム障害

アプリケーションやプログラム、IT基盤の予期せぬ不具合も、よくあるインシデントです。一口に障害といっても、大規模なシステム障害から、Webサイトにアクセスできない、エラーメッセージが出てしまうなど、規模は様々です。

プログラムの不備やハードウェアの故障といった内部要因だけでなく、アクセス集中や自然災害などの外部要因による場合もあります。

ヒューマンエラー

単純なミスや不注意、確認不足などもインシデントにつながります。スパムメールを開いてパソコンがウイルス感染した、操作ミスにより機密情報の入ったメールを別の顧客に送ってしまった、確認不足によりアプリケーションのライセンスを切らし、サービス運用に支障が出たなどの事例があります。

インシデントの事例

ここでは、実際に起こったインシデントの事例を3つ紹介します。

三菱電機株式会社の情報流出

具体的なインシデントの事例として、三菱電機株式会社で起こった不正アクセスによる情報流出について紹介しましょう。この事例は、2020年11月、社内のクラウド監視システムが、通常とは異なるアクセスを検知したことから始まりました。

三菱電機では、直ちにこのアクセスを遮断し、状況を調査。その結果、取引先企業の口座情報や子会社取引先の連絡先に関する個人情報の一部が外部に流出していたことが明らかになりました。

さらなる調査の結果、情報流出の原因は、子会社従業員が使用していたクラウドアクセス用のアカウント情報が窃取されたこと、その情報を用いてクラウドサービスや関連サーバーが攻撃されたことであると判明します。同社では、グループ全従業員のアカウント情報改廃とアクセス制限といった対応をとるとともに、セキュリティ対策や監視・認証基盤の強化といった対策を講じました。

「不正アクセスによる情報流出について（調査結果） 」

三菱電機株式会社

東京証券取引所のシステム障害  

2020年10月、東京証券取引所（以下、東証）で大規模なシステム障害が発生しました。NAS（株の銘柄情報やユーザー情報などを格納するシステム）へのアクセス異常を発端に、全銘柄が終日売買停止になりました。 

システム障害の原因はハードウエアの故障によるもので、加えて障害の起こった機器からのバックアップへの切り替えが正常に行われなかったこととされています。金融庁はこのインシデントを重く見て、東証と親会社にあたる日本取引所グループ（JPX）に対して金融商品取引法に基づく報告徴求命令を発出、11月には金融商品取引法に基づく業務改善命令を出しました。 

セブン・ペイの不正利用 

株式会社セブン&アイ・ホールディングス傘下にある株式会社セブン・ペイが開始したバーコード決済サービス「セブン・ペイ」の事例を見ていきましょう。開始したばかりのサービスにおいて、一部アカウントへの不正アクセスが確認され、不正利用や不正チャージが発生。開始わずか3ヶ月未満でサービス廃止となりました。 

不正アクセスの原因となったパスワードリスト型攻撃を防げなかった理由としては、システムリスク管理体制上の問題があったこと、二要素認証や複数端末からのログインへの対策など、追加認証の検討が十分でなかったことなどが挙げられます。 

インシデントが発生した際の影響  

ここからは、インシデントが発生した場合に、どのようなリスク・悪影響があるのかを紹介します。 

正常に業務を行えなくなる  

インシデント発生直後はネットワークやメール、ウェブサイトなどの停止により、通常の業務が行えなくなります。営業活動が停止すれば、企業の売上も大きな打撃を受けるでしょう。原因究明や対策には膨大な時間とコストがかかり、業務の正常復旧までの期間も長引く可能性があります。 

万が一のインシデントによる業務や顧客への影響を最小限に抑えることを目的に、金融庁は「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を2022年に改訂するなど、インシデント対策の重要性が増しています。 

損害賠償が発生する恐れがある 

インシデントの規模や種類によっては、損害賠償が発生するケースもあります。顧客やユーザー、社員に関する個人情報が漏えいした際には、刑事上の罰則や民事上の損害賠償責任を同時に負う可能性も出てきます。 

また、なかには取扱資格や事業免許の取り消し・撤回、行政による指導などが行われることもあり、最悪の場合、業務停止の可能性もあるでしょう。 

会社の信用がなくなる 

インシデントによるシステムの停止だけでなく、マルウェア感染などによって取引先やユーザーの個人情報などが流失した場合にはさらなる被害が及びます。企業のセキュリティモラルの低さが社会に知られてブランドイメージを損ない、社会的信用を失う可能性が高くなるでしょう。 

新規顧客や新たな営業の機会、取引や契約などを獲得するのが難しくなると、会社の事業継続性にもマイナスの影響を及ぼします。 

復旧・改善にコストがかかる 

起こってしまったインシデントへ対処するためには、対応費用や復旧費用がかかります。コンピュータ及びインターネット用セキュリティ関連製品の開発・販売を行っているトレンドマイクロ社が実施した調査「法人組織のセキュリティ動向調査 2020年版」によると、国内法人組織の年間平均被害額は約1億4800万円です。 

また、インシデント被害総額においては、回答した企業の15.7%で1億円以上の損害が発生していたことがわかります。これらの費用には、システム停止に伴う損失額や原因究明のための調査費用、対応費用、改善策の導入、損害賠償の事後対応などが含まれます。 

インシデントへの4つの対策

インシデントを防止・管理するためには、具体的にどのような対策が必要なのでしょうか。代表的な取り組みを4つご紹介します。

本人認証の強化

前章にもある通り、アカウント情報やパスワードの流出によるインシデントは多くの企業から報告される事例です。防止するには、本人認証のルールや手順を再点検し、認証を強化する必要があります。

パスワードが単純なものでないか、定期的な更新、二段階認証の導入、アクセス権の制限、不要なアカウントの削除などをルール化しましょう。

セキュリティパッチ管理

OSやアプリケーションの脆弱性は、サイバー攻撃の標的になりやすいといわれています。そのため、脆弱性を解消する修正プログラムであるセキュリティパッチを常に適用しておく必要があります。

担当者は、常にセキュリティパッチの最新情報を収集し、社内デバイスの適用状況を管理するよう努めましょう。

対応手順や連絡体制の確認

どんなに防止対策を徹底しても、インシデントをゼロにするのは難しいものです。そのため、インシデント発生時の対策チームと手順を確立し、素早く対応できるよう体制を整えることが重要です。

社内周知や啓蒙

日頃の業務における些細なミスや不注意によるインシデントを防止するため、社内周知や啓蒙活動も有効です。添付ファイルのあるメールは不用意に開かない、不審なURLはクリックしない、万が一不測の事態が起こったときは上長や対応チームに素早く連絡することなどを呼びかけ、社員の意識向上を図りましょう。

インシデント管理の手順

インシデントが起こった際、早急に状況を把握し、原因を究明して、社内や社外への影響を最小限に留める必要があります。このような対応をインシデント管理といい、手順は明確にルール化しておくことで、システムの早急な復旧や再発防止につながります。社内におけるインシデント管理の、一般的な手順を解説します。

1.対応チームの編成

インシデント対応には、システムやサービスについて専門知識のある要員が欠かせません。情報セキュリティ担当者やアプリケーション開発者、サービスデスクなど、インシデントの種類によって求められる知識は様々です。それぞれの対応に必要な人員を確保し、担当範囲や権限、責任を割り振っておきましょう。

2.優先順位付け

想定されるインシデントを洗い出して、緊急度や重要度、影響を受けるIT資産、利用者の数などを基準に分類を行います。分類ができたら、事業全体や関連部門、顧客への影響度合いなどをもとに対応の優先順位付けをしてください。優先順位を付けておくことで、効率的かつ体系的に管理することができます。

3.対応手順の文書化

インシデントが発生した際は、その都度場当たり的な対応をするのではなく、決められた手順に従い組織的・体系的に対応することが求められます。インシデント対応についての知見やノウハウを社内に蓄積でき、再発防止につながるためです。

想定されるインシデントに対して、どの部署がどのような権限を持ち、どういう順番で対応にあたるのか、規定を文書化して共有しておきましょう。

4.インシデントに対する一時対応

インシデントの発生は、システムからの通知や利用者の問い合わせによって発覚します。前段で設定した優先順位に従ってインシデントを分類し、担当者を決定して原因究明や措置などの一時対応にあたります。
対応策が明確であるインシデントや、過去に事例のあるインシデントなどは担当者の一時対応のみで解決することもあります。

5.各部門と連携した対応

一時対応の結果、担当者の権限だけでは原因究明が難しい、もっと大規模な対応が必要であることが判明した場合には、他の部署と連携をとり、協力を仰ぐことになります。上層部に報告して指示を要請することも必要でしょう。部門との連携体制や協力要請の手順を構築しておくとスムーズです。

6.記録と報告

対応が完了して事態を収めることができたら、終了手続きをとります。インシデントは対応して終わりではなく、原因と行った対策を記録し、全社に共有することが非常に重要です。インシデントの内容や影響、講じた対応のステップ、要したリソースと時間、再発防止策などの記録をとり、報告書としてまとめます。

インシデント管理の注意するポイント

最後に、インシデント管理において企業に求められる重要なポイントを解説します。

同じインシデントを繰り返さない

インシデントは内部要因だけでなく外部要因で起こることもあり、全く起こさないことは不可能です。しかし、原因を究明して対策を講じ、そのことを社内共有することで、同じ原因によるインシデントを未然に防ぐ可能性を高めることはできます。

そのため、インシデント発生時には対応の記録をとることが非常に重要になるのです。同様の事態が起こったときの参考にし、対応策のブラッシュアップを図る意味でも、記録のルール化と体制構築を進めましょう。

インシデントの公表・報告

重大な影響を及ぼすインシデントが発生した際は、社外に向けて公表することも求められます。社内の不備をおおやけにするのは抵抗のある企業も多いと思われますが、同業者のインシデント防止や一般消費者の啓蒙に繋がり、社会的意義がとても大きいためです。

また、個人情報や軍事転用が可能な技術の流出が認められた場合には、個人情報保護委員会や関係省庁へ報告することも必要です。流出した情報の悪用を防ぐため、速やかに対応するようにしましょう。

採用時に使える「インシデントプロセス面接」とは  

「インシデントプロセス面接」とは、インシデントの解決を通して対応力や推理力、意思決定力、判断力などをはかるための面接方法です。一連のプロセスを通じて、求職者がどのように考え、どのような行動を起こし、問題を解決していくかを判断できることから、マネジメント層やリーダー候補の採用に適しているとされています。 

インシデントプロセス面接を行うメリット 

インシデントプロセス面接のメリットの一つに、求職者が入社後に活躍する姿をイメージしやすいことが挙げられます。課題の解決方法にたどり着くまでの、一連の流れを観察できるため、課題解決能力やロジカルシンキング力なども見極められるでしょう。 

また、過去の事例を問題にすることで求職者が示した解決法が正しいかを判断しやすく、面接準備にかかる負担が少なくて済む点もメリットです。 

インシデントプロセス面接を行う手順 

ここからは、面接の手順について解説します。 

1.インシデント（事例）を提示 

まずは、面接官が候補者に対しインシデントを提示します。実際に起こったインシデントを提示する際には、背後の事実関係はあえて伏せたままにしておきます。面接官へ自由に質問をしてもらい、解決策を導いてほしい旨を求職者へ伝えましょう。 

質問は具体的に行う、質問への回答を批判しないなど、面接におけるルールを伝えておくとスムーズに進みやすくなります。求職者へより適切な回答を与えるという点では、面接官が実際に関わったことがあるインシデントを用意するのもおすすめです。 

2.求職者が面接官に質問 

続いて、求職者は提示されたインシデントを解決するため、面接官に対してさまざまな質問を行います。質問への回答から集めた情報をもとに仮説を立て、課題の原因を追求していくプロセスです。課題解決のためには何が必要なのか、どのような行動を起こすべきなのかなどを明確にしていきます。 

質問の順番や内容などによって、求職者が何を判断基準にしているのか、問題解決の際に必要とする条件などを把握することができます。 

3.質問の回答をもとに課題を特定 

求職者は質問から得た情報をもとに、課題を特定します。提示されたインシデントには複数の課題があるケースもあり、本質的な課題はどれか、優先的に解決すべき課題はどれかなどを判断します。 

このプロセスでは、求職者がロジカルに考えているか、真の課題へとたどり着けるかをチェックします。 

4.求職者が課題の解決方法を考える 

最後に、求職者が課題の解決方法を確定させ、面接官に提示します。このとき、求職者が提示した原因や解決方法が間違っていてもそれほど大きな問題ではありません。その解決策に至るプロセスが重要です。 

たとえ面接官の考え方と異なっていても評価を下げることなく、求職者のロジカルシンキング力や判断力などを踏まえて総合的に判断しましょう。

インシデント管理を徹底してリスクを低減しよう

インシデント管理において最も重要なのは、発生防止するだけでなく、速やかで的確な対応がとれるように、日頃から手順や体制を整備し、備えておく姿勢です。前述の通り、インシデントの発生をゼロにすることは不可能といえます。

だからこそ、様々なリスクを想定して、必要な対応を洗い出し、そのための要員を確保しておかないといけません。
関係者は社内のインシデント管理に関する規定や手順を再確認し、問題がないか見直してみることをおすすめします。