プロティビティLLCは2012年9月21日、主としてグローバル企業や大企業に向けて、情報セキュリティ分野のコンサルティングサービス「セキュリティインシデント対応態勢構築支援サービス」(写真)を発表、同時に提供を開始した。情報漏えいなどのインシデントが発生した際に、組織として適切に対処するための仕組み作りを支援する。同社がこれまで個別に提供してきたサービスを、今回、整理して体系化した。
ユーザー企業内部にCSIRT(情報セキュリティに関するインシデント対応チーム)の体制を整備するサービスである。インシデントが発生することを前提に、発生したインシデントを早期に発見したり、発生したインシデントを円滑に処理したりできるようにする。このための組織作りと運用マニュアル作りを、コンサルティングによって支援する。
同サービスを体系化した背景には、ファイアウォールの設置やマルウエアの入り口対策といった、インシデントの発生を予防する対策だけでは不十分になっているという状況がある。特定の組織をピンポイントで狙った標的型攻撃/ゼロデイ攻撃の浸透や、社員による企業内からの情報漏えい、といった動向の下で、発生したインシデントに対して企業として適切に対処する術が以前よりも増して重要になっている。
同サービスの導入期間は、標準で約3カ月という。関係者へのヒアリングや打ち合わせ、システム可視化ツールによるモニタリング調査などを経て、文書にまとめた複数の成果物を作成する。コンサルティング費用は、現状把握から組織作りなどのフルメニューで数千万円クラスになる。現状を把握するだけの最小限のサービスメニューの場合は数百万円である。
現状把握や体制構築などフェーズごとに文書成果物を作成
サービスメニューは、導入フェーズに応じて、大きく四つに分かれる。(1)「インシデント対応態勢の現状評価」、(2)「組織内CSIRTの態勢の構築」、(3)「訓練の実施支援」、(4)「インシデントレスポンス」---である。それぞれについて、Microsoft Office文書形式(Word/Excel/PowerPoint)の文書成果物を作成して提出する。
(1)インシデント対応態勢の現状評価では、ITシステムが抱える課題を抽出する。重要なデータが存在するといった優先的に対応すべきハイリスク領域を抽出するとともに、チェックリストを用いてインシデントに対処する際の権限上のハードルなどのギャップを分析する。成果物として「課題一覧」と「重点対応領域方針書」を作成する。
(2)組織内CSIRTの態勢の構築ではまず、対策の戦略と方針を定義し、成果物として「組織内CSIRT方針書」を作成する。対象とするインシデントの定義(標的型攻撃や内部不正による情報漏えいなど)、対象システムの定義(オンプレミス、SaaS、アウトソーシング企業など)、インシデントごとのリスク許容度や復旧目標などの戦略の定義、CSIRT体制図とスキルの定義、インシデント対処フローの定義---などを取り決める。
さらに、インシデント発生時の初期対応のフローを策定する。成果物として、インシデントの重要度と対応方法を関連付けた「判断フロー」、CSIRTの「規定」と「連絡網」、ハイリスク領域における「初動対応手順書」などを作成する。
(3)訓練の実施支援では、インシデントの発生を想定した訓練を実施できるようにする。訓練を実行するための各種の方法(シナリオ、運営体制、スケジュール)を定義し、成果物として「訓練計画書」を作成する。訓練の開催準備として「訓練準備実施計画」と「訓練ハンドブック」を作成する。訓練結果を踏まえて「課題一覧」と「訓練報告書」を作成する。なお、プロティビティLLCは、要望に応じて司会進行など訓練当日の運営支援も実施する。
(4)インシデントレスポンスは、発生したインシデントへの対処をプロティビティLLCが実施するサポートサービスである。サーバー機などから情報を収集して証拠を保全して「証拠保全完了報告書」を作成するほか、被害状況を特定して「解析調査報告書」を作成する。また、攻撃が継続中の場合は、攻撃を封じ込めるための処置方法を「緊急対応案」にまとめて報告する。オプションにより、将来の類似事象を防止する「セキュリティ対策中期計画」などを作成することも可能である。
