ガートナージャパンは7月20日、セキュリティインシデント対応に関する調査結果を発表した。従業員300人以上の日本企業でCSIRT(コンピューターセキュリティインシデント対応チーム)を設置しているのは56%だった。そのうち67%は、迅速なインシデント対応を実施することに「自信が無い」と回答している。
同社が2月に実施したこの調査(有効回答400社)では、CSIRTの設置率が56%と最も多く、CSIRTにある程度該当する機能を有する機能を持つ企業も24%に上った。CSIRTを設置しているとした56%の企業(223社)のうち、「インシデント対応ができる自信がない」との項目で「非常にそう思う」が14%、「ある程度そう思う」が53%だった。
(出典:ガートナージャパン)
調査結果について同社は、ランサムウェア感染などのセキュリティインシデント被害が日常的に報道され、事業停止などが現実化している一方で、自社のインシデント対応に漠然とした不安を抱く企業が多く見られると指摘する。
サイバーセキュリティ領域を担当するシニア ディレクター アナリストを務める矢野薫氏は、「1つのインシデントがサプライチェーン全体や広く社会に影響を与える今、企業はインシデント対応が後手に回ってしまわないよう素早く対処する必要がある。特に重要なのは、インシデントを早く探し出し、早く閉じ込め、早く元に戻すこと」と解説し、具体的に以下のポイントを紹介している。
早く探し出す
インシデント早期発見のため国内企業は、これまでネットワークやエンドポイントなどセキュリティの個別領域でインシデントの予兆を検知し、原因究明を行ってきた。しかし、セキュリティ脅威はさらに複雑になり、個別の領域で発生した単体のアラートだけを見ていても、それが示す本当の意味までは捉えられなくなっている。インシデントの早期発見に必要なのは、個々の領域で発生している小さな事象を丁寧につなぎ合わせ、これまでよりも一段高い位置から一連の流れ(コンテキスト/文脈)として捉え直すことができるような全体俯瞰(ふかん)による新しい視座になる。
早く閉じ込める
インシデント対応で重要なのは、セキュリティの脅威を自社のシステム環境から早く「隔離」することであり、経営に求められるのは、脅威を隔離するためにシステムの一時停止を決断すること。原因が分からない場合は、なおさら早く脅威を隔離する決断を下す必要がある。
早く元に戻す
多くの国内企業が外部のセキュリティ監視センター(SOC)サービスを積極的に活用している。しかし、このようなサービスでカバーされるのはインシデントの「検知」フェーズであることが多く、実際に外部の支援が必要なインシデントへの対応と復旧のフェーズは、思うようにカバーされない。一方で、最近は国内でも「リテーナーサービス」と呼ばれるものが登場し、インシデントへの対応と復旧フェーズで、原因究明、証拠保全および復旧について、自社に並走しながらアドバイスを提供してくれるものが登場している。