情報セキュリティ対策で「インシデントレスポンス」という用語が使われることが多くなってきました。
情報セキュリティということが叫ばれだした頃から使われていた用語ですが、ここ数年発生した大規模な情報漏えい事故などの対策から、再び注目されていますので復習も兼ねて解説したいと思います。
インシデントレスポンスとは?
悪意ある攻撃などで情報セキュリティに何らかの問題が発生することを前提としておき、その際の攻撃をかわしたり被害を最小とするための対策となります。
これまで、多くの企業では「事前対策」に重点を置いたセキュリティ対策が行われてきており、いかに強固な情報セキュリティ対策を構築するかに予算やマンパワーを費やしていました。
しかし、ここ数年で発生した情報漏えい事故では、不審な侵入が検知されてからの調査に時間を費やしてしまい、それにより被害が拡大してしまった事例が多くあります。
そのような事例の反省から、不審な侵入を検知してから調査・原因解明までの時間を短縮し、被害を無くしたり最小化しようという「事後対策」が注目される傾向にあります。
情報セキュリティにおけるインシデント
これは、「情報セキュリティに関連した事件、事故」という意味となります。
悪意ある不正アクセスや攻撃、悪意はないが不注意による事故も含まれ、情報セキュリティを脅かす事象全般のことを指します。
例えば、以下のような事象が該当します。
・ウイルスなどのマルウェア感染
・不正アクセス
・なりすまし(アカウントの乗っ取り)
・Webサイトの改ざん
・情報漏えい
・迷惑メール
・DoS攻撃
・ノートPCやUSBメモリーの盗難・紛失
・情報システム障害
事後対策には事前準備が大切
情報セキュリティ分野のインシデントは、悪意ある外部からの攻撃に限らず、不注意によりものも発生する可能性があります。
「もしも起きたら」ではなく「起きた時は」という考え方が必要です。
万一、インシデントが発生してしまったら、迅速に対応して被害が出ることを防いだり、たとえ被害が発生したとしてもその被害を最小に止める「事後対策」を日ごろから確認しておく必要があります。
以下に、インシデントレスポンス(事後対策)の一例をご紹介します。
(1)インシデントレスポンス・ポリシーの策定
・何を守らなければならないのか?
・優先すべきものは何なのか?
・どのようなダメージが想定されるのか?
(2)インシデントを発見するための手順
・ログ情報の取得と確認する手順
・不審なネットワーク通信の検知手順
(3)インシデントへの対応
・不審な事象の報告体制
・ポリシーに則した対応、復旧手順
(4)再発防止
・再発防止策の検討、改善
まとめ
情報セキュリティでは、どうやって外部からの攻撃を防ぐか、どうやって従業員の不注意やミスによる事故を無くすことができるか、に着目しがちですが、起こってしまった時の対策も構築しておくことが大切ですね。
「事後対策」が決まっていないと、重大なインシデントが発生してしまった時にパニックに陥り、被害を拡大させてしまうことも想定されますし、そのような事例もあります。
また、報告が遅れたがために企業の信用を低下させてしまったという事例もあります。
万一の際は、一時的に業務が停止しても被害を食い止める、拡大を防ぐといった「事後対策」をしっかりと検討し、手順を作成しておく必要があります。
「もしも起きたら」ではなく「起きた時は・・・」です。
企業として絶対に守らなければならない情報は何なのか?
何から優先して守らなければならないにか?
などを整理して、そのための手順を社内で共有しておくことが大切ですね。