第4回 フロー図で理解するセキュリティインシデントの対応：現場エキスパートに学ぶ実践的サイバー攻撃対策塾（2/2 ページ）

[香取弘徳，ITmedia]

フローの整備と組織の合意

　インシデントと検知方法を把握できれば、自社のCSIRTがどのようにあるべきかが見えてくるはずだ。次のステップでは、インシデントごとに詳細な対策フローを作成し、「誰が」「どのタイミングで」「何をするのか」を図示する。

対策フローのサンプル

　このように、図にすることで解釈の違いによる対応の遅れや、慌てて読み違えてしまうというミスを未然に防ぐことができる。フロー図に対応したチェックリストも用意しておこう。そして、CSIRT設立で最も重要な、「顧客情報の保護を最優先する」というポリシーに対する組織合意を得ておかなければならない。これは、CSIRTにおける必須事項だ。

　もし、インシデント対応のために、CSIRTがネットワーク遮断の判断を迫られた場合はどうなるだろうか。事前に組織の合意がなければ、関係する各部門の責任者にいちいち許可を求めることになるだろう。現場からも同意を得られないかもしれない。右往左往している間に、攻撃者は着々と情報を外部に持ち出してしまう。それにもかかわらず、CSIRTが対策を強行することは難しい。ネットワーク遮断による損失の責任を問われかねないからだ。

　あらかじめ現場の人々や責任者の合意を得ていれば、組織のルールとして迅速な対応ができる。不正侵入が検知されたなら、定められたフローとルールに則って対策を実行し、攻撃者の最終ステップ「目的の実行」の直前でサイバーキルチェーンを断ち切る。ネットワーク遮断のような思い切った対応は、組織へのダメージも少なからず生じる。しかし、ポリシーが組織全体に浸透していれば、CSIRTは揺るぎなく対応に専念できるのだ。

日頃の備えが大切

　インシデントは発生しないことが一番だ。多くのルールを定め、訓練を実施したとしても、生かされるシーンはないかもしれない。その一方で、いかに対策を講じても、標的型攻撃の脅威をゼロにすることはできない。この点において、標的型攻撃は自然災害と似ている。インシデントの予測、対応のルール化は簡単ではない。限界を感じた時には、外部の資料を参考にしたり、コンサルタントの力を借りたりすることも検討しよう。CSIRTが未整備の組織ならば、ぜひ「日頃の備えが、被害の程度を左右する」というコンセプトで、できるところから始めてみてほしい。

執筆者紹介：香取弘徳（かとり ひろのり）

NHN テコラス株式会社 データホテル事業本部SE部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた経験を持つ。現在はフルマネージドホスティングや支援アプリケーションの開発を担当。“Secured Hosting”をテーマに、新プラットフォームの開発にも取り組んでいる。