「インシデント」とは,セキュリティ上の脅威となりうる出来事を意味する言葉である。意図的,偶発的,疑いがある場合などに関わらず,「セキュリティを脅かす可能性のある問題が起こった」と判断した出来事なら,それがインシデントである。インシデントが起こったとき,「インシデントが発生した」という言い方もする。
そもそもインシデント(incident)という単語には,「事件」,「出来事」,「ハプニング」といった意味がある。航空や医療の分野などでも使われている用語で,いずれも「重大な事故につながる可能性がある出来事」のことを指している。
どのくらいの脅威があるとインシデントと呼ぶかという明確な定義はない。主体となる組織や人によって対象となるインシデントは違う。ただし,コンピュータ・ネットワークを構築している組織すべてに,ある程度共通してインシデントといえる出来事は起こりうる(図1)。
最も身近なインシデントは,ウイルス/ワーム/ボットの感染である。こうした不正プログラムに感染すると,パソコンの動作に不具合が発生したり,パソコン内の機密情報を勝手に他のパソコンに送信したりする。これは明らかにセキュリティにおける脅威とみなせる。
また,公開サーバーを設置していれば,そのサーバーが攻撃対象となったインシデントが発生する可能性がある。例えば,公開WebサーバーがDoS(サービス不能)攻撃を受けたときや,Webページの内容が改ざんされたときは,Webサーバーによるサービスが提供できなくなる可能性があるため,インシデントと言える。
公開メール・サーバーによるメールの不正中継も,インシデントとみなせる。これは,自社のリソースを他人に勝手に使われている状態である。メール・サーバーが迷惑メールの踏み台となっているケースが多く,迷惑メールを受け取った組織から苦情が来る可能性がある。
さらに組織によっては,ポート・スキャンなど不審なアクセスを受けたことをインシデントとみなすケースもありうる。
インシデントが発生したときは,発生したインシデントに速やかに対処しなければならない。発生したインシデントの被害を最小限に抑えたり,再発を防止するための事後対応のことを「インシデント・レスポンス」と呼ぶ。
ただ,「事後対応」と言っても,インシデントが発生したときに誰がどのように対応すればいいかといったことがあらかじめ決まっていないと,迅速に対処できない。そこで,国内でコンピュータ・セキュリティに関する情報を発信するJPCERT/CC(Japan Computer Emergency Response Team Coordination Center)では,コンピュータ・ネットワークを運用する組織それぞれが,インシデント対応チーム「CSIRT」(computer security incident responce team)を作ることを呼びかけている。
確かに,あらかじめ対応チームを作ってインシデント・レスポンスの手順を定めておけば,インシデントが発生したときに迅速に行動できそうだ。また,CSIRTがユーザーにとっての報告・相談窓口になれば,被害の報告が早まることにもつながる(図2)。
「インシデント」という用語は広く使われるようになってきたが,「CSIRT」は,まだ一般的に認知されている言葉とは言えない。また,企業にとってこうした専門組織を作るのはなかなか難しいという現実もある。
とはいえ,コンピュータ・セキュリティに関する事件が増える中,インシデント・レスポンスの重要性は高まっている。これまであいまいだったコンピュータ・セキュリティの責任者や事後対応策をはっきり定めて,組織のリスクを最低限に抑えようという動きは確実に進んでいくだろう。まずは,従業員の多い企業や,大規模なコンピュータ・システムやネットワークを持つ組織から,CSIRTを作る動きが出てきそうだ。
