インシデントレスポンスとは何か――自動車事故に置き換えて考える：セキュリティ事故の被害を回避するインシデントレスポンス（1/3 ページ）

セキュリティ上の重大事故や障害での対応とはどのようなものでしょうか。自動車事故における対応の流れを例に解説します。

[吉澤亨史，ITmedia]

　「インシデントレスポンス」とは、企業などの組織でインシデント（障害など）が発生した際に対応を行うことを言います。最近ではベネッセや日本年金機構での大規模な情報漏えい事故の発生を受けて、主にITセキュリティに関係する問題への対応という文脈で語られています。

　インシデントレスポンスは、そのためのチーム「CSIRT（Computer Security Incident Response Team）」を構成し、普段の事前対策から問題発生の検知、事後対応までの「インシデントハンドリング」を行うとされています。本稿ではインシデントレスポンスについて、自動車事故での対応を例に説明します。

セキュリティ対策の基本と経緯

　独立行政法人 情報処理推進機構（IPA）によると、「コンピュータセキュリティインシデント（事件）とは、組織が定めるセキュリティポリシーやコンピュータの利用規定に対する違反行為または差し迫った脅威、あるいは、標準的なセキュリティ活動に対する違反行為または差し迫った脅威を示す」としています。具体的には、DoS（サービス妨害）攻撃、マルウェア感染、不正アクセス、そしてこれらを原因とする、あるいは内部の人間による情報漏えいなどが挙げられます。

　こうしたセキュリティインシデントが発生しないように、企業などの組織ではセキュリティ対策を行っています。しかし、最近のサイバー攻撃は複雑化、巧妙化しており、マルウェア対策やファイアウォール、IDS/IPS（不正侵入／防御システム）といった従来のセキュリティ対策だけでは守れなくなってきました。そこで、サンドボックス機能を搭載した次世代ファイアウォールやUTM（統合脅威管理）、Webアプリケーションを保護するWAF（Webアプリケーションファイアウォール）などによる対策が進みました。

　最近ではさらに進化し、各所に設置されているセキュリティ機器やネットワーク機器のログを収集して脅威を見つけ出すSIEM（セキュリティインシデント・イベント管理）、グローバルで最新の脅威に関する知見を共有するインテリジェンスなどが採用されています。従来の「外部から侵入を食い止める」対策から、侵入や内部犯罪を前提とした対策に変わってきています。

　そして現在は、組織内にSOC（Security Operation Center）やCSIRTを構築するケースが増えています。SOCは24時間365日、インシデントの監視や検出、セキュリティ製品やシステム、ネットワーク機器、クライアント機器などを管理する部署です。またCSIRTは、セキュリティインシデントの予防から事後対策までの流れをハンドリング（運用）します。SOC、CSIRTともに外部に委託するケースが多く、またCSIRTは組織を横断したバーチャルなチームとして兼任するケースも多くなっています。

インシデントレスポンスは、それ単体としてではなく、リスクマネージメントの中で取り組むものと位置付けられています（JPCERT コーディネーションセンター「CSIRTマテリアル 構想フェーズ資料より引用）