セキュリティインシデントに備えた組織体制（２／３）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

今回はセキュリティインシデントに備えた組織体制であるCSIRT(シーサート：Computer Security Incident Response Team)を核とした、インシデント発生時の対応における留意点等について解説します。

●インシデントマネジメント及びインシデントハンドリングの概要

前回解説したように、CSIRTには、インシデント発生時に対応を主導し、情報を集約して関係者に適時報告したり、現場組織等に適時対応を指示したりするほか、平常時の活動として、インシデント発生に備えた各種の対応等が求められます。

CSIRTが核となって行うこうした一連の業務をまとめて「インシデントマネジメント」もしくは「インシデント管理」、インシデントを検知してから収束させるまでの対応を「インシデントハンドリング」と呼びます。
CSIRTを核とした一般的なインシデントマネジメントの流れを次の図に示します。


インシデントマネジメント/インシデントハンドリングの流れ

●インシデントマネジメントにおける留意点

以降はインシデントマネジメント/インシデントハンドリングの流れに沿って、それぞれ留意すべき事項について解説します。

①インシデント発生に備えた対応

インシデント発生に備えた対応として、体制や対応手順の整備、インシデントを早期に検知し、被害を最小化するためのシステム導入等が必要です。その具体例を次に挙げます。

・インシデント対応体制（CSIRT）の整備
・CSIRTの活動範囲、対象とするインシデントの明確化
・インシデント対応計画（中長期計画、年度計画など）、規程類の策定
・想定されるインシデントに対する個別の対応手順、連絡体制の整備
・インシデント発生に備えた設備、機器（代替設備、代替機器、交換部品、バックアップデータなど）の整備
・セキュリティベンダとの契約（セキュリティ監視サービス、インシデント対応サービス等）
・インシデントの検知・対応に必要なシステム（IPS、IDS、SIEM等）の導入・構築
・セキュリティ情報（脅威動向、脆弱性、インシデント事例等）の収集及び対応（周知、影響度分析、パッチ適用、対策強化等）
・インシデント発生に備えた教育・訓練の実施
・他のCSIRT関連組織（JPCERT/CC、日本シーサート協議会、他社のCSIRT等）との連携・情報交換
・サイバー保険の契約

近年サイバー攻撃により製品の製造やサービスの提供に多大な支障を及ぼすインシデントが多発しているように、セキュリティ対策/対応の不備が企業の事業継続や存続にかかわる重大な問題にまで発展する可能性があります。
したがって、セキュリティ対策やインシデント対応の検討・強化にあたっては、権限を有する経営層が関与するのが望ましいでしょう。

②インシデントの検知・連絡受付

・ネットワーク機器のログ、サーバのログ、EPP、EDR、IDS、IPS、SIEM等からインシデントを検知
・顧客、取引先、自組織の従業員、その他社外の第三者などからの連絡（通報）によってインシデントを検知

上記のように、ログやセキュリティ機器によるインシデント検知の仕組みと、人による検知の仕組みの両方が必要です。
この二つの仕組みによるインシデント検知の例を次に示します。

【ログやセキュリティ機器によるインシデント検知の例】
・認証サーバのログからの不審なログイン失敗／成功の検知
・EPPやEDRからのアラートによるマルウェアの検知
・IDS，IPS，SIEMからのアラートによるサイバー攻撃の検知
・ファイアウォールやプロキシサーバのログからの不審な通信の検知

【社員や顧客などからの連絡・通報などによるインシデント検知の例】
・PCを紛失した社員からの連絡による検知
・システムダウンや動作異常を発見した社員からの連絡による検知
・取引先や顧客からの連絡によるマルウェア拡散の検知
・第三者からの通報による情報漏えいの検知

これらのほか、SNSやインターネット上の匿名掲示板、攻撃者が開設しているウェブサイト等によって情報漏えいの事実を知るというケースもあります。
そのため、インシデントを早期に検知するためには、日ごろからネット上でやり取りされている情報等にも注意する必要があります。

③インシデントのトリアージ・対応要否の決定

・インシデントを検知したSOC（Security Operation Center）のアナリスト、あるいはインシデントの連絡を受けた窓口担当は、インシデントの内容、状況等をCSIRTの担当者、組織の管理者等に適時報告（エスカレーション）する
・CSIRTはインシデントの内容を確認の上、あらかじめ定められた判断基準に従ってトリアージ（優先度を決定して選別）し、対応の要否や方法を決定する

インシデント発生時にはその状況等を速やかにエスカレーションするとともに、当面の対応方針等を決定する必要があります。
軽微なものまで含め、CSIRTがすべてのインシデントに対応することはできないため、トリアージの判断基準を可能な限り詳細に定めておく必要があります。



今回はインシデント発生に備えた対応から検知、トリアージ等における留意点について解説しました。
次回はそれ以降の対応について解説します。

●用語解説

IPS（Intrusion Prevention System）
ネットワーク上で攻撃や不正アクセスをリアルタイムに検知し、防御する機能を持つ機器。

IDS（Intrusion Detection System）
ネットワーク上で攻撃や不正アクセスをリアルタイムに検知し、通知する機能を持つ製品/サービス。

SIEM（Security Information and Event Management）
ネットワーク上でサーバやネットワーク機器等のログを収集し、それらを相関分析してサイバー攻撃等を検知・通知する製品/サービス。

EPP（Endpoint Protection Platform）
ウイルス定義ファイルによるパターンマッチングを主とした一般的なウイルス対策製品。
※詳しくは3分でわかる!用語解説「ウイルス対策ソフト（EPP）」

EDR（Endpoint Detection & Response）
パソコン、サーバなどのエンドポイント環境で発生している様々な事象を分析することによってマルウェアの侵入やその後の振る舞いなどを検知し、対処する製品/サービス。
※詳しくは3分でわかる!用語解説「EDR」