セキュリティの論点

組織内CSIRT/SOCのあり方--即時の意思決定体制が不可欠 - (page 3)

中山貴禎(ネットエージェント)

2014-05-15 07:30

 このように、こうした組織は非常に有益であり、支援サービスはコストさえ見合えば、それらの構築や運用を小規模な組織においても容易にしてくれるすばらしいサービスだと思います。

 しかし、特にインシデントが実際に発生した場合の「ハンドリング」の部分については、単に構築や運用が困難な部分を外部に委託して組織内CSIRTを設置するだけでは解決できない問題があります。

 インシデントの対応に必要な内容を大きく分けると、このようになります。

  1. 事前のインシデント対応プランニング
  2. インシデントの検知(自己もしくは外部からの通報)
  3. 発生インシデントの内容分析と対応計画の策定
  4. 対応策の実施、外部への報告と連携、(必要に応じて)情報公開
  5. 再発防止策の検討

 このうち、特にインシデントの発生以降の行動に関しては、何よりもその迅速さが重要なカギになります。コトは1分1秒を争います。

必要なのは即時の意思決定

 組織内CSIRTやSOC、インシデントレスポンスサービスなどの存在は、これら各々の処理速度を向上してくれるだけでなく、より選択の幅も広げてくれるでしょう。しかし、いくら良い対応でも、そこに「GOサイン」が出なければ次の段階にはすすめません。

 要するに、組織内CSIRTなどの有無に関係なく、インシデントハンドリングには「即時の意思決定」が必要不可欠なわけです。これがないのでは、いくら良い準備をしても対応が遅々として進まず、結果として被害を拡大してしまう。こうした事例は多々存在します。

 現場での危機感が意思決定の場に伝わらないもどかしさというのは、程度の差こそあれ誰しも感じたことがあるのではないでしょうか。例えば阪神淡路大震災の際には自衛隊の部隊が出動要請を待ち切れずに出動したケースもあるそうですが、それでも到着が遅くなってしまったことが辛かったという話を聞いたことがあります。現場での即断即決が必要な場面は必ずあり、特にこうしたインシデント発生にまつわる意思決定は、わずかな遅れが命取りになりかねません。

 もちろん、分析が中途半端な状況でいたずらに一般へ情報公開してしまっては、関係者に無用な混乱や過剰な不安を与えてしまうため、単に早ければいいというわけではありません。情報の整理、全体像とその緊急度や被害の把握、情報を伝えるべき相手のリストアップなど、必要な情報がそろい次第、迅速に行動を決定し指示を下す。この速度が重要なのです。

 インシデントが発覚してから何カ月も意思決定が下されず(結果としてその間は外部に事実を公表せず)、数カ月たってようやく被害者(顧客)に公表する、などという事例もありますが、そういう対応をした組織が受ける被害は、発生したインシデントによる直接被害よりもはるかに大きなものになります。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]