筆者の経験を基に、本当に必要なセキュリティ教育について考える本連載。3回のテーマは「情報セキュリティ事故(インシデント)対応」です。インシデント発生時の混乱した状況に適切に対処するための担当者の役割、あるべき姿について考えます。
コンピュータウイルス感染やWebサイトの改ざん被害など、情報セキュリティ事故のニュースが相次いで報道されています。最近では、コンピュータウイルスを利用したPCの遠隔操作により、ネットワークの奥にあるデータを盗み取られるような被害も出ています。
組織において情報セキュリティ事故(インシデント)が起きた場合、「対外対応」の他、「被害の最小化」や「再発防止」にも取り組む必要があります。事故対応を適切に行うためには、インシデント対応マニュアルやシステム調査のための環境の準備、事故対応に関わる担当者への教育、訓練などを実施する必要があります。今回は、こうした情報セキュリティ事故への対応に関わる担当者にどんな力が求められるのかについて取り上げたいと思います。
情報セキュリティ事故発生時の対応は重要です。事故対応が適切であれば、事故が起きても被害を最小限に食い止め、組織のイメージ悪化を抑えることができます。一方で事故対応が不適切だと、顧客をはじめとする関係者に多大な迷惑を掛けてしまう上に、メディアなどからのバッシングが強まることもあります。過去の事例を見ると、対応が後手に回ってしまっていたり、組織が「保身に走っている」ように見えたりしてしまうと、イメージ悪化が進んでしまうようです。このような事態を避けるために、組織内にインシデント担当者を据え、事故に備えた適切な準備を行いましょう。
事故対応に関わる担当者は、大きく2つに分けることができます。事故発生時に経営陣の支援をする「ハンドリング担当」と、技術的な分析を行う「テクニカル担当」です。今回は、ハンドリング担当者に焦点を当てたいと思います。まず、以下の画像をご覧ください。
「このようなメールが社員宛てに送り付けられ、一人の社員がその添付ファイルを開封してしまった。ウイルス対策ソフトは反応しなかったものの、何か違和感があったためセキュリティ担当者に報告してくれた」という状況を想定しましょう。このような場合、事故対応の観点からは、ハンドリング担当者は次にどのようなアクションを取るべきでしょうか? 望ましい対応については記事後半で解説しますので、まずは自分で考えてみてください。
なお、このように情報セキュリティ事故対応について考えるときは、テーマに沿った素材を用意し、実際に事故が起きた状況を想定しながらアクションを考えることで、組織としてのより具体的な対応方針を検討することができます。じっくり一人で考えてもよいですし、事故対応に関わる担当者を集めてディスカッションするのもよいでしょう。
また、素材に付随する状況を変えることで、検討すべき事項も変わります。例えば、上と同じ画像でも「メールの添付ファイルを開こうとしたところ、ウイルス対策ソフトが反応した。社員の10人が報告してくれた」という条件だった場合、組織の対応を変える必要が出てきます。さまざまなケースを準備し、それぞれについてどのような判断をするかを具体的に考えてみてください。
以下では、セキュリティ事故発生時の対応を検討するときのポイントや、ハンドリング担当者に求められる役割について解説します。
セキュリティ事故発生時は、攻撃する側の思惑によって被害の広がり方が変化します。ここが「障害対応」とは大きく異なる点です。事故対応に関わる担当者は、攻撃をする側がどのようなことを考え、何を狙って攻撃をしてくるのかという点も考慮する必要があります。例えば、自組織の機密情報を盗み出そうとする人の目的が「転売」だった場合、転売された機密情報が悪用されるケースも想定して、組織の対応を決めなければなりません。
また、公表された情報を目にした顧客や関係者などさまざまな人の思惑によって、影響の広がり方も変化します。関係者をリストアップし、事故が起きたときにそれぞれの関係者に対してどのような影響が出るのか、関係者はどのような被害や不安を感じる可能性があるかも考えてみましょう。このように事故対応中のさまざまなアクションを検討するときは、守る側の視点だけでなく、攻撃者や被害者も含めたさまざまな視点で状況を見直します。これにより、事故対応のアクションが適切かどうか、不足がないかどうかの確認にもなります。
Copyright © ITmedia, Inc. All Rights Reserved.