震災から1カ月がたちました
2011年3月11日に東日本大震災が発生し、地震と津波により多くの人命が奪われ、いくつもの町が大きな被害を受けました。被災者の皆さまにはお悔やみを申し上げるとともに、心よりお見舞いを申し上げます。
今回は未曽有の大地震の際に、弊社のセキュリティ監視センターJSOC(Japan Security Operation Center)がどう対応したのかを取り上げます。
地震発生直後に飛び交った言葉は
3月11日、私はJSOCの中でいつもと同じように業務を行っていました。地震発生時、JSOCではこのような言葉が飛び交いました。
「あ、いま、揺れてる?」
「揺れてる揺れてる」
「揺れてるね〜」
「けっこう長いよね」
「おお、でかいね。この地震」
「震度いくらだろ」
「ガラスから離れて!」
「部屋が何かギシギシいってる」
「天井のプロジェクターに気を付けろ」
「テレビのニュースのボリューム上げて」
「けがしているやついないか?」
「無事です〜」
「周りで壊れているものないか?」
「エレベータ、止まってます」
「震源地どこだ」
中でも真面目なメンバーは、震度5強の揺れの中、「揺れでマウスポインタが合いません」という生真面目さを発揮していました。
24時間365日稼働し続けているJSOCですが、インシデントが多い平日昼間だったこともあり、たくさんのセキュリティアナリストやエンジニアが出勤していました。幸いにも人や設備に何も被害はありませんでした。
それでも監視サービスは止められない
JSOCに勤務する全員の無事を確認した後は、すぐにセキュリティ監視サービスを提供するお客様の状況を確認しました。すると、お客様の情報システムが稼働を停止しており、JSOCに監視ログが到達しないというエラーが出力されていたことが分かりました。
原因が大地震であっても、お客様との通信障害であることには変わりはありません。通常想定している障害時と同じ対応を取ることになりますが、通常どおりにいかなかったのが、「電話連絡」です。
契約によっては、お客様にセキュリティ監視の結果を電話で連絡するのですが、電話回線が集中して混雑する輻輳(ふくそう)状態にあり、それができません。もちろんJSOCでは電話がつながらない場合に備えた対応フローとその手段を用意しているのですが、電話がまったくつながらないという事実が、今回の地震の影響の大きさを物語っていました。
お客様の状況確認と並行して、24時間体制で自宅にいる交代勤務のセキュリティアナリストやエンジニアの安否確認も行っています。携帯電話や携帯メールがつながらないので、全員の安否確認をするまでに時間がかかりました。
しかしこのとき、TwitterやFacebookなど、インターネット経由でコミュニケーションが可能であった社員は、非常に素早く安否を確認できました。今回の緊急事態では、インターネットを利用した安否確認方法が有効でしたが、連絡手段の選択肢としてさまざまな連絡方法を考えておく必要があります。
地震直後から、都内のすべての電車が運行を停止。さらに道路は車であふれかえっており、首都圏の交通機関がほぼすべてマヒしていました。金曜日ということもあり、多くの弊社社員は業務を切り上げて、徒歩で帰宅するかそのまま会社に泊まるかという選択を迫られました。
しかし、24時間365日稼働しているJSOCの場合、スタッフの帰宅方法を確定させるだけでは済みません。交代要員の確保が次の課題でした。徒歩で出勤が可能なエリアに住んでいるJSOC勤務のメンバーに連絡を取り、すぐに当日夜勤のメンバーを確保しました。それとともに、次の日以降の勤務スケジュールを、すぐに交代できる人員のみで監視サービスを継続できるよう緊急に作り直しました。
私はというと、夜10時くらいには電車が復旧したため、その日のうちに無事に帰宅することができました。自身の部屋の状況も卓上カレンダーが倒れたくらいで、特に何事もなかった様子でホッとしました。以前から水は買い置きしていたものがあり、食料もインスタントラーメンのストックがあったので、すぐに生活に困るということもありませんでした。それだけにテレビから流れてくるニュースを見ると、現実に起きていることだとは信じられない気持ちで地震発生当日の夜を過ごしました。
大規模停電に備えたプランの用意
地震発生後、被災地では大変な状況が続いていると思います。一方、無事であった我々には、業務を継続し、日本の経済活動を停滞させず動かしていく責務があると考えています。
しかしそんな中、東京電力から関東近県の計画停電の発表がありました。JSOCではすぐさま、計画停電がどの程度、われわれのセキュリティ監視サービスに影響を与えるのかを調査しました。
計画停電で一番の問題は、電車の運行停止によってサービスを継続するのに必要なメンバーが確保できない恐れがあったことです。そこで真っ先に電車の運行状況を確認し、出勤できるメンバーを確保しました。
メンバーが確保できると、次は、大規模停電が発生した場合に備えたオペレーションの手配をしました。幸いにも大規模停電にはなりませんでしたが、このときに手配した業務継続のためのノウハウは我々の中に蓄積されて、今後同じような状況になった場合に必ず生かされることでしょう。
震災直後の混乱に便乗して、募金詐欺のサイトやデマメールも出現しました。人の不幸を利用する詐欺やデマは非常に腹立たしいことではありますが、怒っても事態の解決にはなりません。我々にできるのは、いつもどおりにサービスを提供し、インシデントやトラブルに対処することだけです。
リスクを踏まえて事業を継続するには?
2年前のコラム「分かっちゃいるけど難しい、アカウント情報盗用ボット対策」で、本所防災館の防災体験ツアーに参加した体験を書きました。地震そのものへの対処には、あのときの経験が少なからず生きています。
【関連記事】
川口洋のセキュリティ・プライベート・アイズ(16)
分かっちゃいるけど難しい、アカウント情報盗用ボット対策
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/016.html
これから、地震そのものから自らの身を守ったあと、どのように行動すべきか? ということも考える必要があります。弊社の震災への対応活動経験から、地震や台風などの自然災害、およびさまざまな事業に対するリスクに対して事業継続を行うために推奨すべき行動をまとめたガイドを作成しましたので、ぜひご覧ください。
さて、実は3月9日から「@IT セキュリティソリューション バーチャル」で、上野さん、辻さんとの楽しいトークを公開しています。ですが公開直後の11日に地震が発生し、皆さんそれどころではなかったのではないでしょうか。うれしいことにITmediaが開催期間を延長しましたので、こちらもぜひご覧ください。
【関連リンク】
@IT セキュリティソリューション バーチャル
http://www.itmedia.co.jp/enterprise/info/security_solution2011/index.html
今回の未曽有の大地震によって多くの方が亡くなられました。多くのものが壊れました。多くの人の価値観が変わりました。
日本は一時的に低迷するかもしれません。しかし、私は地震発生前のどこかくすぶっていた日本の姿を考えると、これから力強く復興に向かう日本の姿を想像し、「再建」という希望のある、新たな始まりなのではないかと前向きに考えています。
そのためにも無事に生き残っている我々が、日本の経済を停滞させず、動かしていかなければなりません。いつも通り働き、たくさん消費し、きちんと税金を納めてこそ、日本復活の原動力になります。私は日本の力強く再建された未来を信じて、今日も飲みに行くのでした。
Profile
川口 洋(かわぐち ひろし)
株式会社ラック
チーフエバンジェリスト兼シニアセキュリティアナリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。
現在、チーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、「川口洋のつぶやき」に出演中。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.