平時の備えを見直そう

2019-10-28 6:18 AM

2019-10-28 6:18 AM

 

情報共有と備えの大切さ

 

社会を何度も襲う自然災害。私たちは、災害の分析や過去の体験を礎に、正確な情報をより早く伝えるための体制を整えてきました。消防や救急隊などの機関は平時でも非常時を想定した訓練を繰り返しています。そして、多くの民間企業も災害や事故に備えた訓練を定期的に行っています。少しでも被害を減らすには、情報共有と平時の備えが欠かせません。

 

情報共有と備えの大切さは、情報セキュリティにも同じことが言えます。攻撃者は、人と企業のわずかな隙を突いてきますから対策は難しいのですが、平時の備えとして、できること、なすべきことはたくさんあります。

 

世界の企業が参照する「インシデントレスポンス」

 

情報セキュリティの分野では、インシデント(セキュリティ被害につながる事故や事件)に対処する活動を、「インシデントレスポンス(対応)」と呼んでいます。サイバー攻撃に対する準備や被害の拡散防止などの行動を体系的に示したもので、NIST(米国国立標準技術研究所)がセキュリティ関連の文書「SP800-61」で発表して以来、多くの企業や研究機関が参照するようになりました。

 

具体的な内容ですが、インシデントに対応する行動を「インシデントレスポンスのライフサイクル」として、以下の4段階で表しています。

 

・準備

・検知と分析

・封じ込め、根絶と復旧

・事件後の対応

 

ライフサイクルの根底にある考え方は、巧妙化する標的型攻撃やランサムウェアのような攻撃を100%阻止することはもはや困難と見られ、攻撃を受ける、侵入されることを前提に、被害を最小化するための準備、攻撃の検知、初動対応などをしっかりやっていこうとするものです。

 

このサイクルの特徴は、「検知」や「封じ込め・復旧」などと同等に、「準備」に大きなウェートを置いている点。「検知と分析」以後の行動を「事件後の対応」で検証し、「準備」にフィードバックしていきます。

 

これ以後は、NISTの文書「SP800-61」(IPAが翻訳版を公開しています)や、IPAが別途公開した「情報セキュリティセミナー インシデントマネジメント」などの内容も参照しながら、一般企業ができる、しなければならない「準備」について、重点的に見ていくことにしましょう。

 

準備の中身は「体制の確立」と「安全性の維持」

 

インシデントレスポンスの目的は、被害の最小化と再発防止に集約されます。ライフサイクルはこれを実現するため、4つのフェーズを回していくものですが、準備段階での必要な要素は、「インシデント対応の体制確立」と「システムの安全性の維持」に大別できます。

 

まず体制の確立ですが、平たく言うと事故対応チームの編制。一般社会でも、消防団などの組織は、情報を伝達・共有する体制を整え、初動の手順書も用意して、訓練を重ねていますが、企業のセキュリティ対策でも、同様の役割を担うチームの存在が欠かせません。

 

数年前には、マルウェアが添付されたメールの配信が外部から指摘されたにも関わらず、セキュリティ担当者まで伝わらずに放置され、被害が拡大した例も報告されていました。事故対応チームが機能し、インシデントの可能性がある事案を通報する体制があれば、こうした事故は防げるはずです。

 

経営層の参画は必須

 

セキュリティインシデントに対応するチームを、CSIRT(Computer Security Incident Response Team:シーサート)と呼んでいます。CSIRTには、ITと情報セキュリティ、法務や人事、BCP(業務継続計画)などの部門から人材を集め、事故対応責任者がこれを統括します。

 

広範な分野から集める理由は、活動が多岐にわたり、社会との接点も多いからです。例えば、情報漏えいが発生したときは、被害者、警察、グループ企業、外部のセキュリティ企業、業界団体、監督官庁などとの密接なやり取りが欠かせません。

 

小規模の企業・団体は部署数が限られ、少数精鋭のチーム編制になりますが、規模に関わらず欠かせないのは経営層の関与です。インシデント対応は、人員の振り分けや業務継続計画の立案、そして予算の計上も伴います。どれも経営と密接に関わるテーマです。

 

 

 CSIRTの組織構成の考え方 (出典:日本CSIRT協議会「CSIRTスターターキット Ver.2.0」)

 

もう一つの要件は、当然ですが実働を伴うこと。CSIRTの組織化で目的を達したかのように、活動が下火になっていく例も散見しますが、CSIRTの精神を日常業務に組み込むことは欠かせません。連絡窓口の維持、定期的なシステム点検、チーム内のトレーニング、そして企業全体を対象にした訓練の実施など、日々の行動が緊急時の適切な対応の支えとなるのです。

 

安全性を維持するベーシックな行動

 

インシデントレスポンスに示された準備段階の内容として、「体制の整備」と「安全性の維持」を挙げましたが、後者に関連する情報では、前述したIPAの文書「情報セキュリティセミナー インシデントマネジメント」でも、“平時におけるインシデント対応の準備”として、以下の点に言及しています。

 

1.セキュリティポリシー等の中で明記

連絡先の明確化、対応手順の明文化

 

2.平時に行われていなければならないこと

定期的バックアップ、システムの通常状態の把握、外部情報収集と修正プログラムの適用、予行演習

 

3.技術的手段の準備

バックアップ手段、侵入検知を支援するツール

 

どれも基本的な要素ですが、ここでは安全性の維持につながる平時の行動を抽出した2.について、ポイントを補足しておきましょう。

 

まず定期的なバックアップ。システムの設定情報やデータの保存は、もっともベーシックな対策の一つです。特に、データを暗号化して身代金を要求するランサムウェアの被害が拡大した2017年頃から、その重要性は認識されていますが、徹底できていない組織も散見します。バックアップのルールと手順を見直し、確実に実践する体制があるか確かめてください。

 

システムの通常状態の把握は、平時の稼働状況の記録や記憶がベースになります。通常の動作を把握していなければ、異常の発生は検知できません。管理者の目視による定期的な検証に加えて、システムの不審な動きやファイルの不正変更を監視するソリューションの導入も有効です。

 

外部情報の収集と修正プログラムの適用は、マルウェアや脆弱性情報の日常的なチェックと、修正プログラムをできるだけ早期に導入すること。そして予行演習は、インシデント対応の訓練の実施です。不審なメールやシステムの異常に気づいたら、すぐに通報する体制を整えると同時に、攻撃を想定したトレーニングも行いましょう。

 

最近の標的型攻撃やビジネスメール詐欺は、その手口をよく知る人でも見抜けないほど巧妙化しています。このような先鋭化する攻撃への耐性を高めるための訓練サービスもありますから、実施を検討してみてもよいでしょう。

みなさまの企業でも、一度セキュリティインシデントに備える準備を見直してみてはいかがでしょうか。