インシデント管理を実践する際に避けて通れないのが「パブリック・モニタリング」,つまり,ソフトウエアのぜい弱性や,新たな攻撃手法に関する情報収集である。インシデント管理には初動が肝心。ぜい弱性や新たな攻撃手法が見付かったときに素早く対処するには,まず,いち早く詳細な情報を入手しなければならない。
情報を集めること自体はそれほど難しくない。JPCERTコーディネーションセンターやIPA(情報処理推進機構)が出す注意喚起,ウイルス対策ソフト・ベンダーをはじめとするセキュリティ関連のベンダーのリリースやブログ,IT系のメディア,そして個人が書き連ねているブログと,情報ソースはインターネット上にわんさとある。最近はRSS(really simple syndication)や,Yahoo! Pipesのような情報集約ツールが充実し,ソースさえ知っておけば比較的容易に情報を集められる。
問題は,玉石混交の情報の中から,自社にとって重要な情報だけを抜き出す方法である。パブリック・モニタリングは通常,3段階くらいのステップで作業を進める。情報収集,集めた情報のうち自社のシステムに関連する情報だけを抜き出す概要分析,そしてぜい弱性の信ぴょう性や対処法を判断する詳細分析である。この概要分析で対象をきちんと絞り込まないと,詳細分析にムダが多くなり,管理者の負担が膨らんでしまう。
そこで重要になるのが,社内ITリソースの棚卸しとリスク分析。自社で利用していないソフトウエアのぜい弱性なら,わざわざ調べる必要はない。逆に,一般にはあまり利用されていないソフトのぜい弱性でも,自社の基幹システムにかかわるものなら,最優先で対処しなければならない。CSIRTを運営していく上で,棚卸しは不可欠だ。
