とある企業の情報システム部門。そこで元気いっぱいに働いているのが、ちょっと頼りない若手社員、通称「ネコSE」だ。セキュリティーに関する豊富な知識を持つ「センパイ」に日々、鍛えられている。前回は、セキュリティーに対する脅威であるインシデントについて解説した。今回は、インシデントに対してどのように対処すればいいかを考えていこう。

ネコSE:セキュリティーを脅かす可能性がある事件や事故などの出来事がインシデントで、インシデントへの対応がインシデントレスポンスですよね。

センパイ:うん、その通りだよ。

ネコSE:でも、インシデントレスポンスの全体像がいまいち分からないんですけど。

センパイ:それじゃ一緒に考えていこうか。米国国立標準技術研究所(NIST)が発行する「SP800-61r2」というセキュリティー関連の文書では、インシデントレスポンスの活動を大きく4段階に分けているよ(図1)。

図1●インシデントレスポンスの活動
NISTが発行する「SP800-61r2」という文書では、インシデントレスポンスの活動は「準備」「検知・分析」「封じ込め・根絶・復旧」「事後活動」の4段階に分けられるとしている。
[画像のクリックで拡大表示]

ネコSE:(2)と(3)には複数の項目が入っているじゃないですか。ずるくないですか?

センパイ:もちろんいろんな分け方があるし、細分化して考えることもできそうだね。

ネコSE:(2)は「検知→分析」、(3)は「封じ込め→根絶→復旧」という順番だと考えていいんですか?

センパイ:うん、そうだね。

ネコSE:だんだん分かってきました。

センパイ:ところで、インシデントレスポンスの目的は覚えているかい?

ネコSE:ええと、「被害の最小化」と「再発防止」でしたっけ。

センパイ:そうだね。インシデントが起こったと分かったら、まず被害の最小化を意識しなければならない。それがつまり「封じ込め」ということだ。

ネコSE:でも、おかしいですよ、センパイ。「まず被害の最小化」と言いながら、「封じ込め」の前に「分析」という段階があるじゃないですか。そんなにゆっくりしていていいんですか。

センパイ:ここでの分析は、時間をかけて入念に調べるということじゃないんだ。

ネコSE:時間をかけない分析ってどういうことですか?

センパイ:例えば、ウイルス対策ソフトが「不正なプログラムを検出しました」なんて警告を出すとするね。

ネコSE:それ、やばいです。ちょっと逃げ出したくなります。

センパイ:でも、誤検知もある。問題が起こっていないのであれば、「封じ込め」や「復旧」をする必要はないよね。もし警告をうのみにして、起こってもいない危機に対応しようとインターネット接続を停止なんてしたら、社内に大きな迷惑をかけてしまう。

ネコSE:むむー。恥ずかしいどころじゃないですね。減給されちゃうかも。

センパイ:そうだね。ぼくも監督責任で一緒に減給されるね。

ネコSE:センパイにまで迷惑かけてすみません。

センパイ:仮定の話だからいいよ。

最初に深刻度を判断する

ネコSE:検出された不正プログラムの種類や、検出されたタイミングによっても、問題の深刻度は変わってきますね。

センパイ:うん。最初に深刻度を判断しなきゃいけないよね。そうした初期分析を「トリアージ」と呼ぶんだ。もともとは医療用語だよ。医療モノのTVドラマで、緊急処置が必要な人には赤タグ、緊急ではないものの処置が必要な人には黄タグをつける、みたいなことをしているのを見たことはないかい。この場合、赤タグの人の医療を優先する。こうやって優先度を判断するのがトリアージだ。一刻を争うことだから、素早く判断する必要がある。

ネコSE:深刻な問題にはすぐに対処しないといけないっていうことですね。

センパイ:要するに優先度を決めるということだね。そうした優先度に応じて次のフェーズに進む。

ネコSE:「検知」は、ウイルス対策ソフトの警告だけなんですか。

センパイ:「事故かもしれない」と感じ取れる要素はもっといろいろあるよ(表1)。検知は、システムによるものと人からの連絡によるものの大きく2つに分けられる。システムによる検知は、セキュリティー機器による監視やログの定期チェックなどから見つけるということ。人からの連絡は社内からと社外からがある。

表1●異常を検知する例
異常の検知には、大きくシステムによる検知と人からの連絡による検知がある。前者には、セキュリティー機器などによる監視やログの定期チェックなどがある。後者は、社内からのものと社外からのものがある。
[画像のクリックで拡大表示]

ネコSE:まず異常に気づかないと対応できないですもんね。

センパイ:うん、いろんな観点で検知する体制を整備する必要があるね。ウイルス対策ソフトで検知できない脅威を見つけるために通信も監視したり、ログをちゃんと取っているかどうかを確認したり、社内の連絡体制や社外からの連絡窓口を整備したりするとか。

ネコSE:「おたくの会社から不審な通信が出ています」と電話が掛かってきたりするわけですね。

センパイ:社外から連絡があったのに、セキュリティー担当者まで伝わらず放置されたままだったという事例もあるそうだよ。何かあったときに報告して怒られるようだと、社員が何も報告しなくなり、そのうち大変なことになるかもしれない。連絡や報告をしやすい風土を作ることも大切だね。

ネコSE:「検知・分析」はなんとなく分かってきました。

表2●被害拡大を防ぐための封じ込めの例
例えば、攻撃にインターネットの通信が悪用されている場合、インターネットを遮断することで被害を最小限にとどめる。
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら