「セキュリティインシデント対応人材」のあるべき姿――求められる「先読み力」とは：セキュリティ教育現場便り（3）（2/3 ページ）

[富田一成（ラック），＠IT]

「同時多発的に起こるイベント」にも慣れておこう

　事故発生後の被害の広がり方を想像できるかどうかもポイントです。筆者が講師を担当している事故対応訓練の研修では、対応に不足がある場合、苦情や連絡が殺到するなどのイベントを発生させています。こうした訓練を実施すると、「実際に取り組んでみると、思った以上にうまく進められなかった」という参加者の感想を多く耳にします。インシデント発生から事故対応に至る流れは一本道ではなく、さまざまな事象が同時多発的に発生するということを念頭に置いておきましょう。

　最近では、情報セキュリティの重要性が認知されるようになったこともあって、大企業や地方自治体を中心にCSIRT（コンピュータセキュリティ事故対応チーム）を構築したり、事前に事故対応の手順書を作ったりしている組織も増えてきています。しかし、いざ実践になると、想定していなかった被害や苦情があちこちで発生することで、対応が後手に回ってしまうことも少なくないようです。訓練によってこうした状況に慣れておきましょう。

　なお、組織によっては大掛かりな訓練を行うのが難しい場合もあるかもしれません。そのような組織では、例えば事故が起きたことを想定して、前述したように関係者同士でディスカッションをしてみるだけでも十分効果的です。そのときは、ディスカッション全体を見守り、進行が適切かどうかをコントロールする人を置くことをお勧めします。時にはコントロール役が苦情イベントを発生させ、実際の事故対応に近い状況を作り出してみるのもよいでしょう。

インシデントハンドリング担当者に必要な力とは

　インシデントハンドリング担当者は、事故対応におけるコントロール役です。テクニカル担当にログ分析の指示出しなどをする他、対外発表や被害者への補償内容の検討、経営陣による方針決定の支援などを行います。そのために必要なのが、「先を読む力」です。事故の直接被害だけでなく、二次被害やその拡大も考慮して先手を打つ対応力が求められます。そのためには、ハンドリング担当者は、攻撃手法に関する知識やリスク低減の方法に関する知見に加え、経営者の視点なども求められます。前回取り上げた「組織全体のリスクを考えられる人」に含まれると考えてください。

　例えば、漏えいした情報の中にシステム利用者のパスワードが含まれていた場合、パスワードを悪用されて第三者にログインされてしまう可能性があります。ハンドリング担当者は、その可能性を考慮して一時的なシステム停止を検討します。システム停止に当たっては、さまざまな関係者への連絡が必要です。また、パスワードを再発行して利用者に配送するなどの対応も必要になります。「関係各所にシステム停止の連絡をしながら、システムにおけるパスワード変更を進め、同時に新しいパスワードの送付作業を行う」、ハンドリング担当者にはこうした対応を同時にこなす力も求められます。

過去事例も参考に

　事故の影響が広がれば広がるほど、必要な対応は増えていきます。従って、先も述べた通り、対応しなければならない項目をいかに先読みできるかがポイントです。例えば、2015年5月に日本年金機構で起きた情報漏えい事故では、事故発生に便乗した第三者による詐欺行為が報告されています。年金機構をかたり、年金受給者から個人情報や金銭を窃取しようとしたものです。

　このケースは、事故被害の広がり方を考える上で大変参考になります。事故対応の経緯などを含め た情報が公開されるケースは少ないのですが、日本年金機構の事故に関しては、日本年金機構、厚生労働省、内閣官房サイバーセキュリティセンターの3組織か らレポートが公表されています（下記関連記事参照）。事故対応にかかわる方は、ぜひ一読しておきましょう。

　もちろん、業種やシステム構成が違えば、被害の広がり方や世間への影響も異なります。自分たちはどの程度狙われやすいのか、自分たちの場合どのような被害の広がり方をするか、関係者にはどのような人や組織がいるかなどを、事例を参考にしつつ、自組織に置き換えて考え直しましょう。

関連記事

2015年、セキュリティ業界に激震をもたらした「標的型攻撃」を振り返る