セキュリティインシデントに備えた組織体制（３／３）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
前回に続き、セキュリティインシデントに備えた組織体制であるCSIRT(シーサート：Computer Security Incident Response Team)を核とした、インシデント発生時の対応における留意点について解説します。

●インシデントマネジメントにおける留意点

前回は下図の①～③について解説しました。今回は④以降について解説します。


インシデントマネジメント/インシデントハンドリングの流れ（前回より再掲）

④ 脅威の封じ込め／影響範囲の特定／応急処置

・CSIRT は、対応を要するインシデントについて、検知されたマルウェア等の脅威を封じ込める策を最優先で行うとともに、被害の拡大を回避するために必要な処置を行うようシステム管理者等に指示する

・CSIRT は、SOC（Security Operation Center）のアナリスト、システム管理者、契約しているセキュリティベンダー等と連携し、インシデントの影響範囲を特定するとともに、暫定的な復旧処置（応急処置）を行う

・インシデント対応の内容について確実に記録を残す

一連のインシデント対応において発生している事象の正確な確認と被害の最小化、証拠となるログ等の確保を行う必要があります。
サイバー攻撃によるインシデントの場合には、被害を受けたと思われる機器をネットワークから切り離すとともに、インシデントの内容や原因を分析するため、関連するログやストレージ（ハードディスク等の記録装置）の内容を別な媒体に物理的にコピーする等して、インシデントの痕跡や証跡を保全します。

⑤対応策（復旧措置・連絡・広報等）の決定／実施

・CSIRTは、インシデントの内容やレベルに応じ、セキュリティベンダーにデジタルフォレンジックスを依頼するとともに、復旧のための対応策を検討し、決定する

・インシデントの内容や影響度、対応状況などについて、顧客をはじめ、社内外の関係者に適時説明する

・決定した対応策に必要な各種リソースを確保し、実施する

・対応策の内容について、必要に応じて社内外の関係者に説明する ・インシデントの収束が確認されたら、顧客や社内外の関係者に対し、その旨を連絡・公表する

インシデントの原因究明には多くの時間を要する可能性があるため、原因究明よりも復旧のための対応策を優先します。発生したインシデントが顧客や取引先等に影響を及ぼしている場合には、その関係者に適時説明するとともに、監督官庁や個人情報保護委員会等に状況を報告する必要もあります。

そのほか、ホームページを通じたインシデントの説明、問合せ窓口の設置、正式な調査結果報告等の対応を迅速に行うことも求められます。したがって、CSIRTはインシデントの正確な情報を集約し、経営者や関係部門の責任者などに対して適時伝える必要があります。

インシデントを公表することにより、顧客や関係者からの問合せが殺到することも想定されるため、そうした場合の説明内容やFAQ等を明確にして社内に周知しておきます。

また、インシデントの復旧後に同様の事象が再発しないよう、当面の間はシステムの状態を細心の注意を払って監視し、わずかでも異常が見つかった場合には、直ちに対応できる体制を整えておく必要があります。

⑥インシデント収束後の対応

・一連のインシデント対応の結果について関係者で評価し、問題点を洗い出すとともに、改善策を検討・決定する（SLA，体制，手順，検知システム，対応方法の見直し等）

・インシデントの再発を防止するための対策（即時実施すべきもの、中長期的な取組みを要するもの等）を検討・決定する

・インシデントの評価結果に基づき、必要な各種リソースを確保し、改善策、再発防止策を実施する

・新たに必要となった各種リソース（要員、設備、システム、サービス等）を確保・整備する

・顧客との契約内容（SLA、責任範囲など）について見直す

・インシデント対応体制、対応手順について見直す

・見直した内容に基づき、要員の教育・訓練を実施する

インシデントの判断基準や手順に不備や誤りなどがなかったか、対応者のスキルレベルに対して十分であったか、状況判断が適切に行われ、余分な時間を費やすことはなかったか等、様々な観点から評価し、問題箇所を確認します。

インシデントの発生原因が自組織のIT環境にあったのか、あるいは業務内容や従事している人間の問題であったのか等により、見直すべき点は異なってきます。
ITを取り扱う要員の認識不足や注意不足、連絡体制の不備等による問題であった場合には、IT管理体制をはじめ、業務内容や手順、要員の教育方法等の抜本的な見直しが必要となります。

●サイバーレジリエンスとOODA

インシデントマネジメントにおいては、組織のレジリエンス（resilience）を高めることが重要です。レジリエンスとは「回復力」や「復元力」を意味する用語であり、サイバー攻撃によるインシデント発生時に、その影響を最小化し、元の状態に回復させる組織の能力がサイバーレジリエンスです。

サイバーレジリエンスを高めるためには、OODA（ウーダ）ループによる取組みが重要とされています。OODAループとは、次に示すように、観察（Observe）、状況判断（Orient）、意思決定（Decide）、実行（Act）を繰り返すことです。


OODAループの例

OODAと似たものとして、PDCA（Plan-Do-Check-Act）があります。PDCAは計画に基づいて、1年など長期的なスパンで取り組むのに対し、OODAは対象を常に観察し、その状況に応じて素早く臨機応変に対応する（高速でループを回す）ことを前提としています。
そうすることで、突発的なセキュリティインシデントに迅速に対応し、サイバーレジリエンスを向上させることが可能となります。