企業でのセキュリティ・インシデントは後を絶たない。クラッキングやウイルスなどの外部からもたらされるものもあれば,情報漏えいといった内部犯行も後を絶たない。しかし,同じインシデントが発生しても,企業によって採られる対応はさまざまである。そこで今回のコラムでは,インシデントへの対応はどのような要因によって決まるのかを考えてみたい。それを知ることで,自社で適切に対応するにはどうすればよいのかが浮き彫りになる。
企業の対応を決める3つの要因
セキュリティ・インシデントが発生した場合の企業の対応は,次の3つに大別できるだろう。
- インシデントを検知しても無視する
- 検知後のさらなるインシデント発生を防御(防止)する
- 防御するとともに,攻撃者の特定に努める。場合によっては法的対処も検討する
どの対応を採るのかは企業によって異なるだろうし,発生したインシデントによっても異なるだろう。どのような対応を採るのについて分析すると,次の3つの要因がからみあっていると考えられる。
- ビジネスにおよぼす影響
- 対応する人員のスキル
- 企業の体制
それぞれについて説明しよう。
ビジネスにおよぼす影響
当然のことながら,企業はビジネスを行う営利集団である。そのため,セキュリティ・インシデントがビジネスにおよぼす影響をまず考えることになる。ビジネスへの影響が小さければ,対応も最小限のものとなるだろう。
例えば,Webサーバーのセキュリティ・ホールを悪用されてコンテンツを改ざんされた場合は,セキュリティ・ホールをふさぐことで対応は終了するだろう。だれによって,あるいはどの組織によって企てられたのかを,熱心に調査することは少ないと考えられる。
対応する人員のスキル
セキュリティ・インシデントの対応にあたる人員のスキルも大きな要素である。たとえ攻撃者を特定したいと考えても,対応にあたる人員にスキルがなければ,証拠集めや調査はままならない。
防御すらできない場合もありうる。何らかのインシデントが発生したことは検知できても,技術不足や情報不足のために,結局「見てみぬふり」しかできない場合もあるだろう。
せめてインシデントが発生したことだけでも経営層に報告されれば,今後の人員の補充などにつながるかもしれないが,それも期待は薄い。適切に対応できなかったことを責められる恐れがあるので,インシデント自体を隠ぺいしてしまうのだ。
企業の体制
企業がどのような体制で日々の業務をこなしているのかも,大きな影響をおよぼす。体制というよりも,“企業風土”や雰囲気と言ったほうが適切かもしれない。
上司が“絶対”である企業においては(多くの日本企業がそうかもしれないが),セキュリティ・ポリシーに反する行為が原因で,上司がセキュリティ・インシデントを招いたとしても,セキュリティ担当者は無視してしまう恐れがある。
例えば極端な話として,セキュリティ・ポリシーで業務以外のWeb閲覧を禁止している企業において,取締役がアダルト・サイトの閲覧に1日のほとんどを費やしているとする。そしてある日,そのサイトに仕掛けられたウイルスに感染してしまい,社内に拡散させてしまったとする。その場合,たとえその取締役がそのセキュリティ・ポリシーを承認した人物だとしても,セキュリティ担当者はポリシーに従って取締役を厳罰に処することができるだろうか。
その場しのぎで,「取締役は例外」などとしようものなら,例外対象は徐々に広がって,セキュリティ・ポリシーは有名無実のものとなろう。そうなれば,社内のセキュリティ・レベルはいつまでたっても向上せず,当然意識は低いままだ。
あまりにも自由な企業風土でも,同様のことがありうる。社員を信頼しきって,各ユーザーに最大限の自由と柔軟性を認めている場合も,セキュリティ・レベルの向上はあまり望めない。最初から全員が“例外”だからだ。
上記のような企業では,インシデント対応も重視されず,セキュリティに関する人員や予算は増えることもない。いざインシデントが発生しても,まともな対応はできないだろう。
このように,実際の企業活動の中でのセキュリティ・インシデントへの対応は,3つの要因がからみあって選択される。だが,それが客観的に正しい選択とは限らない。インシデント対応を誤り,企業利益を損ねたり,社会的に指弾されることがないとも限らない。
適切な対応をするために
それでは,適切なインシデント対応を採るためにはどうすればよいだろうか。まず,企業である以上,ビジネスにおよぼす影響を考慮することはもっともなことである。ただし,ここで注意しなくてはいけないのは,影響を“適切”に考慮することである。「ビジネスを最優先しろ」ということではない。
例えば,EC(電子商取引)サイトにおいては,復旧を優先して,本質的な問題解決を後回しにすることがありうる。しかし,これは適切な対応とはいえない。適切に対応するためには,かかるコストと,損害によって失う金額をはかりにかけて,最善の対策方法を採る必要がある。
これを可能にするには,「技術に精通し,企業政策を了解し,企業活動に関する知識を持ち,正確で有用な情報を上位経営層に報告できる能力を持つ担当者」が不可欠である。もちろん,経営層の理解も必要だ。
このような担当者がいれば,スキル不足で適切な対応が採れないこともない。また,経営層の理解もあれば,企業風土が原因で対応ができないということもないだろう。
上記が理想論であることは十分承知している。上述のような“スーパー担当者”がいる企業はまれだろうし,経営層の理解も不十分な企業がほとんどだろう。
しかし,今やセキュリティ・インシデントは企業の死活問題の一つである。そのことを認識した上で,担当者は“スーパー担当者”になるべく頑張っていただきたい。経営層も,セキュリティについての理解はもちろん,そういった担当者の必要性を分かっていただきたい。もちろん,担当者と経営層だけが頑張ればいい話ではない。ユーザー一人ひとりが,セキュリティの重要性を強く認識する必要がある。それが,“スーパー担当者”や“セキュリティに理解がある経営層”を生むのだ。
坂井順行(SAKAI Yoriyuki)
株式会社ラック システムインテグレーション事業本部
sakai@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。