この記事はエンドポイントセキュリティの専門家が、デバイスやデータ、アプリケーションの保護のポイントを語っていく全5回の連載「エンドポイントセキュリティの4つの『基礎』」の最終回です。今回は、基礎の4項目である「インシデント(事故)対応」について集中的に解説します。
前述の通り、エンドポイントセキュリティを効果的なものにするためには、4つの「基礎」がある。本稿では4項目の「インシデント(事故)対応」について紹介する。
- アセットマネジメント
- ソフトウェア検査
- 脆弱性マネジメント
- 事故対応
今日、テクノロジの運用管理において、リスクを軽減するために私たちは信じられないほど懸命に取り組んでいる。誰しも最悪の事態が起こらないことを望みながら、何かが起こるのを避けられない。社会が直面するリスクと、それらのリスクを回避する作業は無尽蔵にあり、世界中の人々が毎日毎分、全てのことを監視したとしても、完璧に防ぐことは不可能なのである。
このことは、あなたの組織にとってどのような意味を持つのだろうか。それは、インシデントが起こった場合の対応をあらかじめ準備し、実行すべき計画やプロセスを用意しておく必要性を示している。そして万一のインシデントに備え、その計画を間違いなく実行できるよう訓練をしておくことも大事である。兵士はそのキャリアの大部分を、戦闘の準備、練習、訓練に費やす。それは、必要とされる場面が訪れたときに、本能的かつ即時的に行動するためである。インシデントを想定した継続的な練習や訓練を組織内で行うことが、攻撃者が侵入した際の戦闘要請に備えることにつながるのである。
そこで、インシデント(事故)対応(IR)を始めるための主要なステップを3段階で紹介したい。
- ステップ1:計画を持つ
- ステップ2:IR計画を訓練する
- ステップ3:インシデントから学ぶ
ステップ1:計画を持つ
「計画なくして成功なし」という言葉の通り、計画を持たないのは、失敗を計画しているのと同じことである。計画立案はインシデント対応において最初の必須事項であり、インシデント発生中の意思決定を左右する、極めて重要なステージだ。
立案に当たっては、インシデントや侵害行為の構成内容を明確に定義すること、そして、もし何かが起こった場合に、特定の規制やコンプライアンス上の義務に拘束される可能性があることを理解しておく必要がある。インシデント発生中に適用される可能性のある「法令」については、社内の法務チームの支援を仰ぎ、告示法違反について十分に検討しておきたい。業界や部署によって、それぞれ少しずつ異なる規則がたくさんあることだろう。貴社のビジネスに適用される規則を広く理解することが、インシデント対策においては非常に重要なのだ。
計画立案プロセスの一環として、組織内にどのような人的資産があるのかを把握しておくことも大事だ。真夜中に何かが発生した場合、急ぎ対応できる社内スタッフはいるだろうか。何が起こったのかを究明できるフォレンジック(分析、鑑識)担当スタッフは社内にいるだろうか。もしいないのなら、専門のコンサルタントやコンサルティング会社を雇うことは可能だろうか。
計画には、経営陣に報告すべきインシデントの深刻度を決めておくプロセスも必要である。マーケティング部の担当者がランサムウェア「Locky」の変種に感染し、最新のバックアップを取っていなかったため、2日間仕事ができないことが判明した場合、最高経営責任者(CEO)や最高情報セキュリティ責任者(CISO)は午前3時の電話連絡を必要とするだろうか。おそらくその必要はないだろう。中核となる会計用コンピュータが論理爆弾攻撃の犠牲になり、請求システムがオフラインになった場合はどうだろうか。これはおそらく電話が必要だ。“バーチャル火災報知器”を押すために必要なインシデントの深刻度を明確にしておくのも、計画立案の重要なプロセスである。