今回と次回は事故の発生を前提に考えるインシデント対応の手軽な訓練手法、「サイバー防災訓練」を紹介する。火災や地震を想定した避難訓練と同じように、サイバー攻撃を想定した訓練を実施してみよう。訓練や演習でインシデント対応をイメージし、何ができるのか、何をするべきなのかを考える。いつインシデントが発生しても適切に対処できるようにしておこう。
企業や政府組織を狙ったサイバー攻撃が日々、新聞やテレビで報じられる時代になった。中小企業のサーバーも他への攻撃の踏み台などに使われる。中小だからといって「うちは関係ない」と安心はできない。
サイバー攻撃は被害者のセキュリティ対策を回避したり無効化したりできる弱点を探して突いてくる。これらすべてを事前に防ぐのは不可能だ。そこで事故(インシデント)の発生を前提に、「発生以後の対応」を考えなければならない。それが「インシデント対応」である(図1)。
図1●「インシデント対応」とは何か?
不正アクセスやウイルスの侵入などセキュリティに影響を及ぼすあらゆる事故をセキュリティ業界では「インシデント」と呼ぶ。対応は4つの手順からなり、それぞれの手順での訓練が被害拡大の防止につながる。
[画像のクリックで拡大表示]
多くの企業や組織がサイバー攻撃を受けるのは想定外のタイミングである。準備や訓練が不十分であったり、想定が甘かったりといった理由で適切な対応を取れないケースが多い。このためみすみす被害を拡大させてしまいがちだ。
PART 1 サイバー防災訓練を自ら実施
3ステップで手法を紹介
図2●自前でコストを掛けずに行う「サイバー防災訓練」のメニュー
「サイバー防災訓練」と言われても、具合的に何をすればいいかわからないという読者の方も多いはずだ。そこで今回は、規模別に3段階の訓練メニューを紹介する(図2)。
まず、システム管理者のチーム1~6人で実施する「ディスカッション」、次にシステム管理者に加え、関連する担当者を交えて行う「机上演習」、最後は10~数十人規模で、実機を使って実施する「模擬訓練」である。
