金融業界の訓練に見るインシデント発生時の初動対応

國谷武史 (編集部) 2018年05月09日 06時00分

  • このエントリーをはてなブックマークに追加

 情報漏えいなどの重大なセキュリティインシデントは、発生時の初動対応がその後の状況を左右するとされる。トレンドマイクロが金融機関を対象にしたインシデント対応ワークショップを開催し、ボートゲームでインシデントの初動対応を体験するというユニークな取り組みを行った。

何から取りかかるべきか

 「ウェブサイトにアクセスしたらウイルスが検出された」「私の個人情報が御社から漏えいしたのではないか」――こうした問い合わせが急に寄せられた場合、企業ではどの部署がどのように対応すべきだろうか。

 ワークショップは、トレンドマイクロが3月に無償提供を開始した「インシデント対応ボードゲーム 金融版」を使い、参加者が「経営責任者」「情報システム部門責任者」「事業部門責任者」「システム管理者」「セキュリティ担当者」「広報担当者」の各役割を演じながら、インシデントの初動対応をチーム形式で学ぶというもの。銀行や保険、信用金庫、カード会社などでITシステムや情報セキュリティなどを担当する39人が6チームに分かれ、「ウェブサイトの改ざん」「標的型攻撃による情報漏えい」の2つのシナリオに基づいて、初動対応に関する議論や検討、報告を行う。


ワークショップではボードゲームを使い、金融機関の参加者がチーム内で役割に応じたインシデントの初動対応について議論した

 ボードゲームは、インシデントの内容が書かれた45枚の「イベントカード」や対応に関する12枚の「アクションカード」、資産やブランドのポイント(各11個)などで構成される。まず3枚のイベントカードを引き、そこからインシデントの状況を推測して、資産やブランドへの影響を評価したり、優先的に実施すべき作業内容などを議論したりしながら、監督官庁への報告内容や外部機関との連携方針、対外発表の計画といった次の対応フェーズにつなげるための初動内容を決定する。ワークショップでは、システム構成図やログ情報、ウイルス情報も使って検討しながら、決定した初動内容をチームごとに発表した。

 最初のシナリオの「ウェブサイトの改ざん」では、イベントカードで「外部からウェブサイトの脆弱性の報告」「ウェブサイトがブラックリスト入り」「利用者から通常とは異なる画面表示との連絡」という3つの状況が提示された。

 これらについて、各担当者役から「脆弱性の存在は本当か?」「報告者の素性は?」「利用者がウイルスに感染したのか?」「どのシステムを調査するのか」といった意見が飛び出す。チーム内でそれらを整理、集約して初動対応の内容を取りまとめていく。

 ここでは、外部報告の限られた情報からインシデントの詳しい状況をできるだけ推測し、必要な作業内容をピックアップできるかがポイントになるという。

 あるチームは、「ウイルス感染の報告がなく、恐らくウェブサイトが改ざんされ、不正サイトにリダイレクトされる状況と推測される。データベースのアクセスログの調査や外部のセキュリティ機関への協力要請を行う」と初動対応の方針を発表。別のチームは「ウェブサイトのミドルウェアに脆弱性が存在するようだ。IT部門がすぐにウェブサイトを閉鎖して調査を行い、社内でも公式見解を取りまとめる」と発表した。

 これに対して「ウェブサイトの改ざんは顧客の信用に影響するから、大至急に確認すべきだ」といった意見や、「ウェブサイトの閉鎖で顧客が混乱しないよう、コールセンターに顧客への案内対応を依頼した方がいい」といったアドバイスが寄せられた。

情報の内容をどう評価するか

 2つ目のシナリオ「標的型攻撃による情報漏えい」では、イベントカードに「過去の受信メールからマルウェアを検出」「関連組織で情報漏えいが発生」「不正なサーバへのアクセスを検出」という3つの状況が示され、セキュリティシステムが検知したログとウイルスの解説が追加情報として提供された。

 ここでのポイントは、3種類の状況と追加情報から、インシデントの深刻度や時間的な状況変化を正しく推測できるかになるという。

 例えば、「過去の受信メールからマルウェアを検出」ということなら、攻撃者の侵入から一定時間が経過し、既に多くのシステムが侵害されている可能性がある。「関連組織で情報漏えい」となれば、例えば情報システム子会社や取引先企業が侵入経路になり、本社にも侵入している可能性ある。「不正なサーバへのアクセス」であれば、情報漏えいが「可能性」レベルではなく「確定」レベルとして対応すべき――といった具合だ。

 セキュリティシステムが検知したログ情報には、「C&C callback attempt」「PsExec - SMB -Variant 2」「Archive Upload」といった状況が時系列で記載され、一方のウイルス情報では危険度やダメージ度、感染力といった項目がいずれも「低」と記載された。ウイルス情報だけなら深刻なインシデントではないと判断してしまいがちだが、検知ログの情報と組み合わせれば、マルウェアが攻撃者のサーバと通信を行い、正規ツールを悪用して不正ログインに成功し、盗んだデータのファイルを外部サーバに転送したことが読み取れる。

 2つ目のシナリオでは2つのグループが初動対応の内容を発表。想定した影響範囲や緊急対策本部の設置、全端末のフルスキャンといった内容はほぼ同じだったが、応急措置では異なった。一方のグループは、被害抑止のためにネットワークの遮断や業務システムの停止に踏み切ったのに対し、もう一方のグループでは、マルウェア感染端末の隔離にとどめ、全端末のフルスキャン結果を踏まえて追加策を検討するとした。

 発表内容に対して、「ネットワークの遮断や業務システムの停止のような事業に多大な影響を与える措置が適切か」「安全宣言を行う判断基準は?」「フルスキャンをする前にマルウェア感染端末は詳細調査のために保全した方が良い」といった質問やアドバイスが寄せられた。

異なる立場の視点を知る

 トレンドマイクロによれば、ワークショップに使用したボートゲームは、同社のインシデント対応部門技術者の知見をもとに「初動対応で必ず押さえるべきポイント」を盛り込んでいるのが特徴で、一般的な企業で起こりがちなイベントシナリオを用いる通常版と、今回のワークショップに使用した金融版の2種類がある。金融版では、「ATMがマルウェアに感染」といった業界固有のイベントシナリオも取り入れている。

 インシデント発生直後の初動対応は、判断材料が限られる状況下において短時間のうちに、最も適切だと考え得る方針や作業内容を意思決定しなければならず、非常に難しい選択を迫られる。また、経営層から現場担当者まで異なる立場の部門や人が連携しなければならず、対応チームとして円滑に機能する協力姿勢やコミュニケーションも欠かせない。

 普段の業務では情報システムの運用を担当し、ワークショップでは「セキュリティ担当者」役を担当したという参加者は、「いつもの仕事と似ているような役割だったが、それでも検討すべき観点がだいぶ違うと感じた。他社の感性も知ることができ、今後の自社の対策に生かしていきたい」と話す。

 同社は、体系的なインシデント対応計画の整備や手順の確認、ツールの利用方法やコミュニケーションのあり方、関係機関への報告や連携など、ワークショップで気づいた課題や学んだ知見を自組織のセキュリティ対策に役立ててほしいとしている。

最初のシナリオ「ウェブサイトの改ざん」では、まず3つのイベントが提示され、ここからインシデントの状況を推測する

最初のシナリオ「ウェブサイトの改ざん」では、まず3つのイベントが提示され、ここからインシデントの状況を推測する

Scroll Right Scroll Left
  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]