デジタル技術でお客様に驚きや感動を

第2回 すでに構築している企業では/シリーズ④本当に役立つインシデントレスポンスの基本~有効な仕組みづくりに向け~

すでにインシデントレスポンスの仕組みがあったとしても、実際に有効なインシデント対応ができるとは限りません。SIRTが形骸化しており、いざという時に使えないプロセスや手順になっていることが少なくないのです。
本コラムの第2回では、本当に使えるインシデント対応とは何か、改めてSIRTの本質を考えてみます。

セキュリティブログ

【第2回】インシデントレスポンスとは

情報セキュリティインシデントへの対応については、SIRT(セキュリティインシデントレスポンスチーム:Security Incident Response Team)の体制や対応フローを整備し、その準備を万全にしている企業が存在します。インシデントが発生するとSIRTを立ち上げ、コマンダーやマネージャ、ハンドラーといったメンバーの役割に応じたプロセスや手順を定めています。そして、そうした対応が適切に実践できるよう、定期的に演習訓練を行うのです。
言うことなしの完璧な感じがしますが、はたして本当にそうなのでしょうか?
実は本音を聞くと、「形だけがある・・・」というか、「形だけしかない!」といった企業が少なくないのです。

形だけになりがちなSIRT

いざという時に使えます?

形だけとは、いったいどういうことなのでしょう?

たとえば、あらかじめSIRTのメンバーにアサインされているにも関わらず、インシデント対応の演習訓練へ参加した際に、「えーっ、自分がコマンダーとかいう役割だなんて初めて知った!」との声があるのです。 もちろん、対応フローに応じたプロセスや手順など、頭に入っているはずはありません。「それって、どのドキュメントに書いてあるの?」といった感じで、演習訓練が進んでいきます。 さらには、「おそらく自分が在職中にインシデント対応するなんてまずない・・・この訓練って本当に意味あるの?」みたいな、抵抗勢力になる社員がいたりします。

さすがにこれでは「仏造って魂入れず」で、実際にインシデントが発生するとSIRTは機能しません。

いざという時に機能しないSIRT

どうして、こんなことになるのでしょう?

一つは、IT用語と同じように、現実離れした専門ワードが多過ぎる点が考えられます。一般社員からすると、まず聞き慣れない言葉に拒否感を抱き、自分には難しすぎる別次元のことだと感じるのです。そうなると、訓練という名の行事に参加しているだけになります。

専門用語が飛び交う様子

そしてもう一つは、本当にインシデント対応のプロセスや手順が難解な場合です。セキュリティの専門家じゃないとわからないような、高度で複雑な対応フローになっているのです。これでは、セキュリティ部門の限られた要員だけでインシデント対応を行うしかありません。演習訓練は、一般社員には関係しない特別なイベントになってしまいます。

意味のある仕組みにするには

そんな形だけの使えないSIRTであれば、多くの関係者を巻き込み、毎年のように演習訓練を繰り返すのは何の意味もありません。自社のインシデント対応が、そんな残念な状況になっていないか、実態を再認識する必要があります。

では、本当に使えるSIRTにするには、いったいどう見直せばいいのでしょう?

情報セキュリティインシデントといった、ある種の緊急事態が発生した際には、人は冷静に対処を進めることが困難になります。通常ではあり得ないことが起こっているからです。そうした場合、実施すべき事項は、できるだけシンプルにまとめておく必要があります。そこで複雑なことを求めると、人は余計パニックに陥ります。
工場などの安全管理を徹底している現場では、安全に関わるインシデントが発生した際には、重要なポイントをわかりやすく整理したプロセスや手順が用いられます。特に、工場の業務改善では、「ECRSの原則」が重視されるからです。

ECRSの原則とは
① Eliminate(なくせないか)

② Combine(一緒にできないか)

③ Rearrange(順番を変更できないか)

④ Simplify(簡単にできないか)
のことで、この順番で改善を進めることが重要です。まずは「なくせないか」、それができなければ「一緒にできないか」を深掘りしていきます。

いざという時に本当に使えるインシデント対応にするには、ECRSの原則でプロセスや手順をよりシンプルに磨き上げていくべきです。

インシデント対応ガイドラインはECRSでシンプルに

改めて考えるSIRTの目的

対処を進め、インシデントの影響を最小化して収束させることです。そのためには、セキュリティの専門家だけに任せればいいものではありません。最初にインシデント発生の疑いを発見し、インシデントが拡大しないよういち早く初動対応するには、現場に近い社員の協力が必要です。そうしたメンバーがSIRTに参画し、セキュリティに詳しいメンバーとスムーズに連携する体制が必要なのです。
「インシデント対応ガイドライン」などの社内規程を策定するのは、情報セキュリティを主管する部門や、社外の専門家(セキュリティコンサルタント)かもしれません。どうしても自分たちの専門知識を前提に、そのプロセスや手順を考えてしまいます。
実際にインシデントに対処するのは、そうした専門スキルを有するメンバーだけではありません。情報セキュリティといった難解さを軽減し、安全面などの対応と同じように一般視点で考えれば、より有効なインシデント対応になるはずです。

みんなで被害を抑える

次回は

第3回は、現在SIRTのようなインシデントレスポンスの仕組みがない企業では、今後どのように進めていくのがベターなのかを考えます。残念なインシデント対応にならないためにも、あるべきSIRTの本質を探究します。  

Writer

福田 敏博(ふくだ としひろ)

株式会社ファンリード 顧問(セキュリティ担当)
株式会社ビジネスアジリティ 代表取締役社長

1965年、山口県宇部市生まれ。
JTに入社し、たばこ工場の制御システム開発に携わった後、ジェイティエンジニアリング株式会社へ出向。
幅広い業種・業態での産業制御システム構築を手がけ、2014年からはOTのセキュリティコンサルティングで第一人者として活動する。
2021年4月に株式会社ビジネスアジリティを設立し、代表取締役として独立。
技術士(経営工学)、 中小企業診断士、情報処理安全確保支援士、公認システム監査人など、30種以上の資格を所有。
主な著書に、『図解入門 よくわかる 最新 サイバーセキュリティ対策の基本』(秀和システム) |『現場で役立つOTの仕組みとセキュリティ 演習で学ぶ! わかる! リスク分析と対策』(翔泳社)などがある。

ファンリードに
お気軽にお問合せください。

サービスに関するご質問やお客様のお悩み・ご要望がございましたら、検討段階でもお気軽にご相談ください。

ページトップへ