2009年6月22日。政府は情報セキュリティ政策会議で 情報セキュリティ問題に取り組む上での基本方針「セキュアジャパン2009」を決定した。サブタイトルは「すべての主体に事故前提の自覚を」だ。「事故前提」と政府が主張したのはこれが最初である。
それから8年。日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)の会員数は234組織(2017年6月1日現在)まで急増。多くの組織において「事故(インシデント)は起こるもの」という認識の下、インシデント対応に当たるCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)が設置され、日々発生するインシデントに対応している。
対応しているとは書いたが、「対応せざるを得ない」というのが実態に近いだろう。というのも、企業や官公庁のインシデント対応/フォレンジック調査を支援する当社の「サイバー救急センター」では、支援依頼の件数は増加の一途を辿っており、2017年3月期の出動件数は約450件だった。これは前期比で約100件増、セキュアジャパン2009が決定された2009年比で6倍に相当する。
これだけインシデントが身近な存在になると、CSIRT機能の有無にかかわらず、どんな組織でもインシデント発生時の「初動対応」をそつなく実施できることが欠かせなくなってくる。特に、初動対応における「被害拡大防止」と「証拠保全」の2点を実施できるか否かで、その後の影響や結果が大きく異なってくる。
具体的にはこの2点をできなかったため、漏れずに済んだ情報が漏れてしまい顧客に二次被害が及んでしまう組織や、影響範囲や原因を十分に調査できずにステークホルダーへの報告が中途半端となりズルズルと対応が泥沼化する組織などが出てくるだろう。
インシデント対応の途中で「初動対応の時にああしていれば、こうしていれば……」と思っても後の祭りだ。初動対応のまずさから、ネット上で「隠蔽体質」や「無能」などとレッテルを貼られ、組織の価値を下げてしまう恐れもあるだろう。
本記事では筆者がサイバー救急センターの活動を通して得た実際のインシデント対応を基に、組織が陥りやすい初動対応の罠を紹介していく。他山の石として参考にしていただけると幸いである。
