「実効性のある」CSIRT実現のポイントについて、前編ではCSIRTの業務の全体像のうち、インシデントの考え方を説明した。後編ではCSIRTの業務とは何かを解説する。
CSIRTの業務とは
CSIRTの業務として、どこまでを対象とするかは企業によってさまざまである。CSIRTでは、有事において迅速にインシデントハンドリングを遂行することが主目的であるが、日々の定常業務としてどこまで対応するかは検討事項となる。特に定常業務の中でも、脆弱性情報のハンドリングは、インシデントを未然に防ぐ観点から重要性が高いため、CSIRTの立上げ時に業務対象とする企業も多い。
全部を紹介することはできないが、やはりメインとなるインシデントハンドリングと脆弱性情報ハンドリング業務のポイントについて述べたい。
例)CSIRTの業務
インシデントハンドリング
インシデントハンドリングでは、検知をトリガーにして即時対応、本格対応と進んでいくが、この「即時対応」と「本格対応」の2つは目的が異なるため、きっちり分けた上でプロセスを整備することがポイントとなる。即時対応は「止血」が目的、本格対応は「治療」が目的であり、それぞれに求められる対応方法やスピード感は異なるからである。
・即時対応
特に、即時対応については、昨今の事例を踏まえると重要性の認識が増しているといえる。即時対応をいかに迅速化するかが、標的型サイバー攻撃などによる被害を封じ込め、データ流出に至る事態を未然に防止することにつながる。そのためには、想定される脅威に応じて、ある程度具体的なレベルで調査項目や対応手順を整備しておくことが望ましい。
また、即時対応の際の重要な判断として、「ネットワーク停止」がある。PC端末を1台隔離・停止する程度であれば抵抗は少ないかもしれないが、現状の巧妙なサイバー攻撃を念頭に置いたとき、1台のPC端末の感染が発覚した時点では、既に複数台に感染が拡大している状況を想定する必要がある。
すぐに感染範囲が特定できればいいが、そうでないケースでは、水際でデータ流出を防ぐために、企業ネットワーク自体をインターネットから遮断する選択を迫られるだろう。この判断が遅れた結果、データ流出を許した上に企業全体のインターネット接続を停止するといった深刻な事例も発生している。
ここでのポイントは、インターネット接続を停止することは、業務停止を意味する点にあり、すなわちこの判断ができるのは、然るべき「人」となる。予め即時対応プロセスを整備する中でこの点を明確化しておくことが重要であり、迅速かつタイムリーにインシデントを封じ込めることに直結する。この点については次回以降で改めて解説する。
プロセス面においては、業務停止の判断に必要となる情報を的確に集めることが重要となる。そのためにも、先に述べたように、ある程度具体的なレベルで調査項目や対応手順を整備しておくことが望ましい。
・インシデントのクローズ判断
インシデントの収束(クローズ)判断も重要である。十分な調査を行わずにクローズを判断したために、その後に第2波の攻撃を受け、被害が再発する事例も発生している。また逆に、クローズ判断ができないために、いつまでも復旧(例えば、ネットワークの再開)の判断ができない事例もある。
ここでもポイントは、予めの準備が重要だ。有事の際はどうしても業務継続とセキュリティの狭間で判断に迷いが生じる。クローズ判断に必要となる情報や十分条件は何かを事前検討しておくことで、判断ミスや遅れを低減することができる。
