隔離ソリューションの注意点
隔離の方針を決めたら、次は隔離の対象を決めましょう。隔離の対象は社員が使う端末だけなのか、サーバ群も含めるのかを検討しておくといいでしょう。
複数の社員が利用するサーバは、隔離するとサービスの提供ができなくなってしまい、業務影響が大きく出てしまうため、慎重に検討していきましょう。また、プロキシサーバを導入している場合、隔離のトリガとなる「C&Cサーバへの通信の検知」の際の送信元IPアドレスがプロキシサーバのものになってしまうと、感染端末としてプロキシサーバを隔離してしまうことになってしまいます。
こういった事態にならないよう、社内のネットワーク構成を加味した上で隔離ソリューションの設定には注意を払うことが重要です。
隔離ソリューションの実施前に行いたいこと
さらに隔離ソリューションの実施前にやるべきことは「隔離ソリューションをいつから実施する」という社内のユーザーへの伝達と、隔離した端末のユーザに、その事実をなるべく早く伝える体制を整えることです。
まずは、「新たなセキュリティ対策として、いついつから脅威を検知したら、社員のみなさんの端末を一旦隔離し、IT部門で調査するという運用を開始します」というアナウンスをすることで、社員の理解と協力を得られるように努めます。
また、隔離した際に、その端末のユーザにその事実を伝える体制がないと、ユーザーは「自分のパソコンが故障したのかもしれない」、もしくは「ネットワーク障害が発生しているかもしれない」など、ユーザー自身で問題を解決しようといろいろなアクションをとってしてしまうことが想像されます。
ですので、最初の社内への伝達の際に、併せて「端末が隔離された際には、インターネットアクセスだけでなく、社内のリソースへのネットワークアクセスもできなくなります」と言う情報も伝えておきましょう。
実際に隔離した際には、IT部門から隔離した端末のユーザーに電話連絡をしたり、連絡をした際に席にいない場合も想定して、部署ごとのメーリングリストを作り、同僚にその旨を連絡して、間接的に本人に伝える術を併せ持つとよいでしょう。