デジタル技術でお客様に驚きや感動を

第4回 役立つSIRTの基本/シリーズ④本当に役立つインシデントレスポンスの基本~有効な仕組みづくりに向け~

「本当に役立つインシデントレスポンスの基本」と題して、第1回で全体の概要を説明し、第2回(すでにSIRTがある企業)と第3回(これからSIRTを構築する企業)に分けて、インシデントレスポンスの本質を考察してきました。
その最終回(第4回)では、これまでの内容を振り返りながら、有効なSIRT構築のポイントを総括します。

セキュリティブログ

【第4回】 役立つSIRTの基本

情報セキュリティ対策は、一般的に予防的な取り組みとなります。たとえば、個人情報が漏洩しないよう、データのアクセス権を適切に設定したり、マルウェア対策ソフトを導入したりすることです。これに対して、インシデントレスポンスは、個人情報の漏洩がもしも起きたら、できるだけ被害が拡大しないよう対処する、事後的な取り組みが基本です。
そして近年、高度化するサイバー攻撃から予防的に守ることが非常に難しくなっています。ある意味インシデントの発生を前提として、事後的な対処を重視する考えが注目されているのです。
しかしながら、インシデントの発生で、役に立つどころか機能不全となるSIRT(セキュリティインシデントレスポンスチーム:Security Incident Response Team)が世の中少なくありません。

理想のSIRTと現実のSIRT

初動対応は誰の手に

予防的なセキュリティ活動は、日ごろから対策している感が持てます。でもSIRTは、インシデントが起こらないと実態がないため、形だけの活動(形骸化したSIRT)になりがちです。
また、そうしたSIRTをさらに残念にする要因があります。(SIRTという用語もそうですが)そもそも情報セキュリティには、一般社員にとって意味不明の略語が多く含まれます。その中でも、インシデントレスポンスに関するものは、そうした傾向がより強いと思います。社内でセキュリティに詳しい関係者じゃないと、チンプンカンプンのSIRTになってしまうのです。

わからない用語が飛び交う様子

よって、一般社員をSIRTのメンバーに巻き込もうとすれば、強い抵抗勢力が現れます。スムーズに社内調整を進めるには、(味方となる)情報システム部などの要員を中心にアサインするしかありません。それで、SIRTは適切に活動できるのでしょうか・・・。
インシデントは、「はい、これは重大なインシデントです!」というように、発生の初期段階からわかりやすいものはありません。ましてや、(SIRTの中心となる)情報システム部の前だけに、都合よく起こるものではなく、営業部や経理部など、どの部署が起点になるのかわかりません。
インシデントの発生をSIRTが識別した時には、すでに被害が大きく手遅れかもしれません。インシデントをいち早く発見するには、各部門の協力が必要です。「なんかおかしいぞ・・・」「セキュリティの問題なのでは・・・」といった、現場の気づきを得ないと意味がないのです。

例として営業部でシステムの異変に気づく様子

連絡体制とエスカレーション

「皆さん、ご協力のほどよろしく・・・」のように、ふわふわした体制でSIRTは機能しません。正式なSIRTのメンバーとして、各部門から要員のアサインが必要です。ただしSIRTは、(会社の常設組織ではなく)いざという時に召集される臨時のチームですから、その役割や責任を明確にしておくべきです。通常業務のように、阿吽の呼吸は期待できません。誰が何をどのように確認し、どこにどのタイミングで連絡調整するのか、より具体的な取り決めが求められます。

そして、SIRTのメンバーには、情報セキュリティに詳しい専門家がいるとは限りません。インシデントの根本原因を追究するには、社内の関係者だけでは限界があります。あらかじめ、外部の専門組織(セキュリティベンダー等)との連携体制が欠かせないはずです。

万が一、セキュリティインシデントが発生すると、できるだけ小さい被害で収まるのが望ましいです。しかしながら、大規模なインシデントに拡大することも十分想定されます。そうなると、会社の経営層との調整はもちろんのこと、事業継続計画(BCP)へのエスカレーションが必要です。インシデントの被害が大きくなればなるほど、組織的にテンパってしまう(パニックになる)かもしれません。これについても、インシデントの被害レベルがどうなった時点で、どこにどのような報告を上げていくのか、その基準を明確にしておくべきです。

事業継続計画(BCP)へのエスカレーション

こうしたことから、SIRTの連絡体制とエスカレーションは、有効なインシデントレスポンスの仕組みを構築する上での、基本中の基本になると考えます。

有効性のある訓練とは

適切な仕組みができたとしても、インシデントの発生で決められた手順どおりに、スムーズに対処できるとは限りません。当たり前のことですが、日常的にインシデントは発生しません(重大なインシデントが多く発生するなら、そもそも予防的なセキュリティ対策に大きな欠陥があります)。いざという時に混乱なく対処するには、インシデントの発生をシミュレーションする演習訓練が必要です。

演習訓練のシナリオ(インシデント発生のストーリー)は、より現実味があるのに越したことはありません。しかしながら、リアルさの追求には限界がありますし、本番でシナリオどおりに事が進むとは限りません。「そんな訓練なら実施する意味がない・・・」といった意見も出るかもしれません。
訓練の重要なポイントは、SIRTに関わるメンバーを中心に、適切な連携が組織的に取れるかどうかです。つまり、インシデントに対処するための組織力や一体感を醸成するのも、訓練の目的なのです。そうした訓練の積み重ねが、要員のモチベーション(前向きな意欲)を向上させ、ルールや手順の順守だけでなく、インシデントの状況に応じた対処(ケースバイケースの応用)につながります。

有効な演習訓練には、セキュリティの技術面(シナリオのリアルさ)というより、むしろメンバー同士の親和性や共感性の向上(グループワークを通じたチームビルディングの要素)が、より重要になると考えます。

SIRT演習訓練のポイントは?

さいごに

「本当に役立つインシデントレスポンスの基本」のまとめとして、重要なポイントを振り返ってみました。サイバー攻撃が高度化する中、SIRTへの期待は高まる一方です。有効なSIRTにするには(形だけの残念なSIRTにならないよう)、あらためてインシデントレスポンスの基本に立ち返り、その本質をしっかりと再認識していただければ幸甚です。  

Writer

福田 敏博(ふくだ としひろ)

株式会社ファンリード 顧問(セキュリティ担当)
株式会社ビジネスアジリティ 代表取締役社長

1965年、山口県宇部市生まれ。
JTに入社し、たばこ工場の制御システム開発に携わった後、ジェイティエンジニアリング株式会社へ出向。
幅広い業種・業態での産業制御システム構築を手がけ、2014年からはOTのセキュリティコンサルティングで第一人者として活動する。
2021年4月に株式会社ビジネスアジリティを設立し、代表取締役として独立。
技術士(経営工学)、 中小企業診断士、情報処理安全確保支援士、公認システム監査人など、30種以上の資格を所有。
主な著書に、『図解入門 よくわかる 最新 サイバーセキュリティ対策の基本』(秀和システム) |『現場で役立つOTの仕組みとセキュリティ 演習で学ぶ! わかる! リスク分析と対策』(翔泳社)などがある。

ファンリードに
お気軽にお問合せください。

サービスに関するご質問やお客様のお悩み・ご要望がございましたら、検討段階でもお気軽にご相談ください。

ページトップへ