前回ではセキュリティインシデントの基本的な解説を行い、標的型攻撃、ビジネスメール詐欺、ランサムウェア、サプライチェーンの弱点を悪用した攻撃、そして内部不正による情報漏えいといった昨今甚大な被害を与えている事例をご紹介しました。第2回となる今回は、セキュリティインシデントが起こってしまった場合の具体的な対応フローやその対策について見ていきたいと思います。
必要なインシデントレスポンス
インシデントが発生した後の対応は「インシデントレスポンス」と呼ばれています。セキュリティインシデントが起こった際の原因の特定や除去、システムや業務の復旧、社内外の関係者との連絡や調整といった取り組み全般を指します。インシデントレスポンスの目的は、発生したインシデントによる損害を最小限に抑え、復旧にかかる時間とコストを削減することで、セキュリティ侵害が企業や組織に及ぼすリスクを軽減することです。米国の情報セキュリティ企業SANS Instituteでは、このインシデントレスポンス次の6つのステップにわけて提唱しています。
-
準備
-
特定
-
封じ込め
-
根絶
-
復旧
-
教訓
準備
準備のフェーズではポリシーとレスポンスプランの策定を行います。インシデントレスポンスプランの策定は、一般的にIT部門やセキュリティ部門の主導のもとで行われますが、いざインシデントが発生した際には、社内の様々な部門の関係者に動いてもらう必要があります。そのため組織全体で準備を進める必要があります。社内外問わず各関連部署と担当者の連絡先の認知、マニュアルの整備や作成、チームの構成等が必要となってきます。
特定
次のフェーズでは通常業務では発生し得ないイベントの検出と、インシデントか否かを決定します。しかし近年のサイバー攻撃、特に標的型攻撃は、ターゲットのシステムに侵入した後、じっくり時間をかけて慎重に行動します。そのため怪しい侵入や挙動を検知するのは難しいといえます。一見すると問題がないように見える事象でも丁寧に拾い上げて、きちんとチェックする必要があります。
封じ込め
もし攻撃を検知したら、サーバーの一時停止、LANの抜線、フォレンジック用のデータの取得、バックドアの削除、パッチ適用等を行い、被害拡大を抑止します。また原因となるマルウェアを隔離して攻撃を完全に停止させ、原状復帰させる必要があります。
根絶
インシデントの原因を突き止め、システムが再び侵害されないようにします。その感染経路や手口などに関する情報が乏しいまま、単にマルウェアを隔離・駆除するだけでは、何度も同じ攻撃を受けて感染を繰り返すことにもなりかねません。十分な情報に基づいた適切な処置を行うことが重要です。
復旧
影響を受けたシステムを検証およびテストし、通常稼働に戻します。必要があれば危険なコードが含まれていないバックアップデータからリストアします。危険なコードが含まれていないバックアップデータがない場合は、最初からシステムを再構築する必要があります。無事に復旧したかをテストし、バックドア等が残っていないかを見るため、しばらくはモニタリングします。復旧フェーズでは復旧作業の責任者を定め、個々の作業において的確な判断を行える者を明確にし、各作業の記録を残すようにします。
教訓
組織内で、この教訓をもとにした勉強会や経営者向けの報告会を行いフォローアップに努めます。再発防止策を検討し、発生したインシデントに関係していると思われる関係機関へ報告を行います。問題があれば、運用ポリシーや手順書等を改善しましょう。
セキュリティインシデント対策
経済産業省とIPAが共同で策定した企業向けのセキュリティガイドライン「サイバーセキュリティ経営ガイドライン」ではセキュリティ対策に対して経営者が十分なリーダーシップを発揮する必要があるということを解説しています。そこでは次の3原則を提唱しています。
経営者が認識すべき3原則
- 経営者がリーダーシップをとって対策を進めることが必要
- 自社のみならずビジネスパートナーを含めた対策が必要
- 平時および緊急時のいずれにおいても関係者との適切なコミュニケーションが必要
対応策の内容は、全社員への周知、徹底なくして有効なものになりません。そこでガイドラインでは、経営者がトップダウンで全社員に周知徹底させることを求めています。ガイドラインでは細かく10項目でサイバーセキュリティリスクを踏まえた対策を取ることが開設されていますが、要点を抜き出すと以下のような対策を社内で実施していくようにします。
侵入を未然に防ぐ「入口対策」
・偽装メールの検知
・Webサイトからのダウンロードを検知
・スパムメール/疑わしいメールのブロック
侵入を前提とした「内部対策」
・サーバセグメントへの疑わしい通信を検知/遮断
・疑わしい動作を示す端末の隔離
・端末のセキュリティ対策の強化
被害の拡大を防ぐための「出口対策」
・疑わしい通信、URLへの通信を検知/遮断
・操作ログを保存する
・標的型攻撃対策ソリューションを導入する
社内教育・意識向上
・会社用ノートPCやスマートデバイスなどの紛失・盗難への注意喚起
・パスワードの使い回しをしない
・eラーニングや社内研修を定期的に開催
企業のセキュリティインシデント被害額、4年連続で2億円を超える(トレンドマイクロ) 2019/10/16
トレンドマイクロ株式会社は10月15日、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2019年版」を発表した。
調査結果によると、国内法人組織の36.3%が2018年4月から2019年3月の1年間にセキュリティインシデントに起因した重大被害を経験したことが明らかになった。前年の調査結果の42.3%から改善は見られたが、依然として約4割で重大被害が発生していた。原因究明を目的とした調査費用や、改善策の導入、損害賠償といった、さまざまな事後対応費用を含む年間被害額は平均2.4億円となり、4年連続で2億円を超えた。
このようにセキュリティインシデントが発生すると甚大な被害がでます。日頃からインシデントに敏感になり、対策を取っておくことの重要性が分かるかと思います。セキュリティインシデントに関わる対策費は、企業にとって必要な投資ともいえます。
情報セキュリティの人材不足
昨今の標的型攻撃をはじめとするサイバー攻撃の手口は、複雑かつ巧妙化する一方でその対策は非常に難しいものとなっています。もはや被害を100%防ぐのは不可能とも言われており、インシデントを発生させないための対策一辺倒ではなく、インシデントが発生してしまったことを想定し、その対応策をあらかじめ準備しておくことが重要になってきています。セキュリティインシデントは、発生そのものを抑止することに加え、原因究明と対応を迅速にしていく必要があります。先にあげたセキュリティインシデントの6ステップでは、準備フェーズでは業務システムと社内規定や関連部署をマクロ的に認知している人材、識別~復旧フェーズでは業務システムの熟知およびアナリストとしての知識を持つ人材、教訓フェーズでは発生したインシデントを網羅的に理解している人材がそれぞれ必要となります。
ここで懸念されるのが情報セキュリティの人材不足です。2016年6月、経済産業省は「IT人材の最新動向と将来推計に関する調査結果」を公開しました。これによると、今後の市場の伸びを考えると、2020 年には情報セキュリティに対応できる人材が 19.3 万人不足すると試算されています。サイバー攻撃が巧妙化している中、情報セキュリティ人材または、その候補となるようなIT人材を中長期的に育成し、不足をカバーしていくことが求められています。自社だけでやりきれないことは、他組織の力を活用していくことも検討する必要があります。情報セキュリティを得意とする組織のサービスを活用することで、組織内の人的リソースを別のことに使えるようにもなります。効率よく外部リソースも使いながら、絶え間ない脅威に備えていくことも検討してみましょう。
