情報セキュリティは,リスクに対する備えです。インシデント*を適切に処理するには,発生しうるインシデントをある程度想定しておく必要があります。その上で前もって決めておいた手順に沿って,確実に対処することが重要です。
 図1 インシデントに対応するプロセス 拡大防止策と原因除去,回復にとどめず,再発防止策まで徹底することが重要である。 [画像のクリックで拡大表示] |
インシデントが発生した際の被害を最小限に食い止めるには,日ごろからの準備が欠かせません。今回は,発生前から事後検討までに必要とされる対応方法を説明します。具体的には,予防策の準備,インシデントの発見,拡大防止,原因除去,回復,再発防止のための事後検討といった作業が必要となります(図1)。
対応チームを作り行動指針をまとめる
対応の第一歩として,インシデント発生後の作業内容をきちんと規定し,把握しておくことが重要です。基本的な行動指針を策定し,明文化しておきます。
 表1 インシデントの緊急度をレベル分けした例 企業によってレベル分けは異なる。各レベルのインシデントが起こった場合に,それにどう対処するかまで決めておく。 [画像のクリックで拡大表示] |
一口にインシデントといっても,その種類は多種多様です。種類別に緊急度を区分し,そのレベルごとに行動基準をまとめるとよいでしょう。漏えいや改ざんといった事故に遭ったのはどのような情報か,どこから不正侵入されたか,サービスが何時間くらい停止したかといった項目を基にして,緊急度のレベルを設定します(表1)。このレベル分けは,企業によって異なります。そして緊急度のレベルに応じて,図1に示した各ステップでどのような行動を取るかを決めておくのです。
レベルごとの行動指針が決定したら,次は具体的な対応マニュアルをまとめます。被害の拡大防止やフォレンジック*といった観点から,インシデントへの対応は基本的に専門チームが行うべきです。このチームは,情報システム部門だけで構成するのでは不十分です。CISO*を中心に,広報や法務といった部門の担当者を含めた社内横断的な編成にすべきでしょう。
インシデント対応チームは,マニュアルに従った訓練を徹底してインシデントに備えます。インシデントの発生を一元的かつ速やかに把握するには,連絡窓口の設置と連絡方法の周知も欠かすことができません。
有事にはまず証拠保全や被害拡大防止
対応チームは,インシデントの発生を発見した段階でログのチェックなどの簡単な調査を実施し,状況を確認します。調査では,インシデントの種類や緊急度などを判別します。
不正アクセスなどの犯罪が疑われる場合は,証拠保全を徹底しなければなりません。システム全体をバックアップするなど,あらゆるデータを可能な限り現状のまま保管します。証拠となりそうなログは,アクセスを厳重に制限して消失や改ざんを防ぐことも必要です。
不正アクセスを受けたシステムは,パケット・キャプチャ・ソフト*やトロイの木馬が仕掛けられている場合があります。そのため,ファイルの整合性検証ツールやウイルス対策ソフトウエアを利用して,システム・ファイルに異常がないかどうかを確認することが必要です。パスワードの変更は,こうした基本的な検証を実施した後に行います。
被害拡大を抑止するために,システムを停止すべきと判断する場合もあるでしょう。そのときはITサービスの管理者や経営層と連携を取ることになります。インシデント対応チームの独断でシステムを停止しないようにすることが重要です。
多角的に原因を究明してから回復処置
インシデントの原因は,対応の過程で収集した情報を入念に分析して特定します。原因は一つだけとは限りません。システムのぜい弱性診断を同時に実施して,多角的に原因を究明することが重要です。インシデントの影響が及んだ範囲も明らかにします。
原因を特定したらそれを除去し,バックアップを利用してシステムを正常な状態に戻します。このとき,ぜい弱性のあるプログラム・コードや不備のある設定ファイルが再び混入しないよう注意することが必要です。またシステムが復旧した後も,未発見のバックドア*が残されていないか,当分の間はモニターし続ける必要があるでしょう。
最後に現場のチームが中心となり,実施した対応や原因,使用したツールやサービス,人的リソース,コスト,影響範囲などについてリポートを作成します。これは最も見過ごされやすい作業ですが,再発防止の観点からは欠かすことができません。
| 菅谷 光啓 NRIセキュアテクノロジーズ 情報セキュリティ調査室長 関取 嘉浩 NRIセキュアテクノロジーズ 情報セキュリティ調査室 上級セキュリティコンサルタント |
