全3884文字
PR

 ITの活用が当たり前になりビジネスモデルの変革が進んだ今、同時に我々はさまざまな脅威にさらされている。

 コンピューターのネットワークがまだそれほど普及していなかった頃は、ネットワーク上に存在するデータは限定的だった。重要度や機密性が高いデータは少なく、それを狙う犯罪者も限られた。しかし、今やネットワーク上には玉石混交のデータが存在し、ネットワーク上に存在しないデータのほうが少ないのではないかと思わされるほどの状況となっている。

 ネットワーク上にある数あるデータの中で特に価値の高いデータは犯罪者に狙われやすくなっている。犯罪者はあらゆる手段を講じて、データを窃取しようとする。犯罪者から攻撃を受けたとき、企業などの組織はどのように対処すればよいのか。今回は、組織のインシデント対応を取り上げる。

相互で助け合うCSIRTの設置

 組織があらゆる脅威に対して、単独で対処するのは非常に困難である。そこで組織が相互に情報を共有して助け合うために、CSIRT(Computer Security Incident Response Team)やSOC(Scurity Operation Center)を設置し運用するケースが増えている。

 CSIRTとは情報セキュリティーインシデント(事件・事故)に対処するための機関の総称である。最新の脆弱性情報や国内外で発生したインシデントとその関連情報、攻撃の予兆情報などを収集・分析し、その結果に基づいて各種脅威への対応方針やその手順などをまとめる。そして、実際にインシデントが発生したときは、その対処を担う。

 SOCはCSIRTの一部を担う機関で、インシデントレスポンスプロバイダーとも呼ばれる。さまざまなセキュリティーデバイスの運用管理と24時間365日の常時セキュリティー監視・分析、リアルタイムのインシデント対応を行う極めて専門的な機関である。

インシデント対応の流れを考える

 サイバーセキュリティーにおける重要な要素は多岐にわたるが、インシデント対応において極めて重要だと考えるのが「初動対応」である。

 まずはインシデント対応に必要な主な要素を、流れを考えて順番に挙げると

(1)事前のインシデントプランニング
(2)インシデントの検知(自己もしくは外部からの通報)
(3)インシデントの事実確認(トリアージ)
(4)インシデント対応策の実施、情報公開(必要に応じて)
(5)インシデント収束と再発防止策の検討

の5つとなる。

 (1)のインシデントプランニングは、「危機管理」とも呼ばれる。企業経営や事業活動、ブランドなどに重大な損失をもたらす、もしくは社会一般に重大な影響を及ぼすと予想される事態を「危機」と考え、万一危機が発生した場合に損失を極小化するための活動である。

 危機管理において中でもとりわけ重要視されているのは、事故前提の観点から企業において強化・実現すべき機能である「緊急対応(インシデントハンドリング)」である。