PR

 システム侵害に対して即座に対応できるように,インシデント対応計画を導入し,システム侵害の発生に備えて準備しなければならない。インシデント対応計画を策定する際には,VISAから公表されている「Incident Response Procedure」の「Incident Response Procedure For account compromise」Version1.2,2004が参考になる。この文書を参考にして,インシデント対応計画について解説する。

12.9 インシデント対応計画を導入する。システム侵害に対して,即座に対応できるように準備する。

インシデント対応のフレームワーク

 「Incident Response Procedure」では,インシデント対応は七つの段階に大別されると述べている(図2)。

図2●インシデント対応のフレームワーク
図2●インシデント対応のフレームワーク

第1段階:インシデントレスポンスチーム(IRT)を召集する。
第2段階:システム挙動や設定エラー情報などから,インシデントの発生を特定する。
第3段階:インシデントの範囲や影響度合い,被害状況などを評価する。
第4段階:被害を最小限に食い止めて,インシデントを封じ込める。
第5段階:根本原因を調査して,インシデントを根絶する。
第6段階:通常業務へ復旧する。
第7段階:フォローアップを行う。

 インシデント対応計画は,想定されるインシデントに対して,これら一連のインシデント対応フレームワークが実施可能となるように立案される必要がある。

インシデント対応計画の策定とテスト

 インシデント対応計画を策定しなければならない。

12.9.1 システムのセキュリティ侵害の場合に使用する,インシデント対応計画を策定する。この計画は,少なくとも具体的なインシデント対応プロセス,業務の復旧および継続手順,データ・バックアップ手順,役割と責務,コミュニケーションと連絡方法(例:アクワイアラや国際カードブランドへの通知)についての記述がなければならない。

 インシデント対応計画の策定の際には,インシデント対応プロセスにおける役割と責任を明確にする必要がある。図3にインシデント対応チームの体制例を示す。インシデント対応責任者の下,各担当分野の責任範囲を明確にしなければならない。

図3●インシデント対応チームの体制例
図3●インシデント対応チームの体制例

 インシデント対応計画には,アクワイアラや国際カードブランドへの連絡方法を記述する必要がある。インシデント対応計画において明確にしておくべき外部の連絡先について,表7に示す。

表7●外部の連絡先(例)
連携すべき組織外機関 ・法執行機関(警察など)
・セキュリティ管理機関(独立行政法人情報処理推進機構(IPA),有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)など)
・ネットワーク・サービスプロバイダ
・システム・サービスプロバイダ
・報道機関
影響を受ける外部組織 ・カードブランド
・アクワイアラ

 インシデント対応計画においては「いつ,どのような状況の場合に,どこへ何を連絡する」といった事項について,緊急状況下においても判断が可能なように,具体的に詳細まで記述しておくことが望ましい。

12.9.2 計画を少なくとも一年に1回テストする。

 インシデント対応計画に定めた報告手順や対応手順が有効に機能することを確認するために,インシデントの発生を想定したテストを定期的に行う必要がある。テストの実施結果はインシデント対応計画の見直しに利用するため,テスト実施時の記録を適切に残すことが必要になる。

12.9.6 経験によって得た知識および業界の動向を考慮して,インシデント対応計画を修正および展開するためのプロセスを構築する。

 インシデント対応計画を修正し,再展開するためのプロセスが必要となる。ここでいうプロセスとは,実際のインシデント発生時の対応やテストにおける経験と,他社のインシデント対応事例,セキュリティ技術動向を考慮しながら,インシデント対応計画を見直すプロセスを指している。