「極秘プロジェクトの資料が、ライバル企業に渡ってしまった。当社のパートナーである御社のシステムから情報が漏れたのではないか」。ある日突然、こんな問い合わせが取引先から寄せられたら、みなさんの会社は迅速に対応できるだろうか。
セキュリティのインシデントが発生したとき、対応が後手後手になってしまう代表的な失敗パターンは三つある(図4)。
一つは連絡・意思決定体制の不備だ。憶測が入り交じった様々な情報が、システム部門や総務部門、広報部門などで錯綜し、対処方法の検討もままならない状態になる。統括責任者を決めていたとしても、24時間365日、電話やメールで連絡できるとは限らない。
二つめが、情報収集力の不足である。最近のサイバー攻撃は、システムがダウンするといった分かりやすい事象は起きない。ユーザー認証が連続して失敗していないかどうか、業務時間外にアクセスされていないか、などの情報収集ができていないと、そもそもサイバー攻撃に遭遇しているかどうかさえ分からない。インシデントに備えるためには、自社のシステムだけでなく、最新の攻撃手法などについても情報を入手しておくことが不可欠だ。
三つめが、セキュリティの専門家の不足である。サイバー攻撃は巧妙に細工されたウイルスなどをシステムに仕込まれるため、簡単に原因は追求できない。二次被害を防ぐには、セキュリティベンダーの協力を得ながら、原因となるプログラム(検体)を見つけ、そのプログラムの機能やアクセスしたデータの範囲、社内に拡散している可能性などを探る必要がある。システムを初期化するなど場当たり的な対応をした結果、根本的な解決策を打てなくなった企業は実際にある。
では、こうした失敗パターンに陥いることなく、新常識に基づいてサイバー攻撃への対策を講じるには、どうすればよいか。ポイントとなるのが、危機対応の専門チーム「CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム」(略称シーサート)と、システムの監視や情報収集の要となる組織「SOC(セキュリティ・オペレーション・センター)」(略称ソック)の設置、そしてセキュリティ専門家の育成である(図5)。企業規模や業種・業態、事業におけるシステムへの依存度などによって、これらの体制は異なる。以下では、最適解となる体制を築くためのポイントを解説しよう。
