第5回 脅威に備える最終防衛ライン、インシデント管理システムとは?現場エキスパートに学ぶ実践的サイバー攻撃対策塾(1/2 ページ)

セキュリティインシデント発生時は、対応フローに基づく的確な作業を実施できるかがポイントになる。今回はその中心的な役割を担う「インシデント管理システム」について紹介しよう。

» 2016年11月01日 08時00分 公開
[香取弘徳ITmedia]

 今回は、情報セキュリティインシデント(以下、インシデント)の対応で中核的な役割を果たす「インシデント管理システム」について考えてみたい。この連載の前回の記事で取り上げたインシデントの対策フロー図でも少し触れたが、インシデント管理システムは、対策フローの管理や、事後の本格的な対策を行う際の情報源として幅広く利用できる。防災の一環として、インシデント管理の構築を検討してみよう。

インデント管理システムの利用シーン

 まずは、サイバー攻撃を受ける前の備えから事後までの流れを4段階に分け、各段階におけるインシデント管理システムの利用シーンをみてみよう。

 「事前(備え)」については、これまで述べてきたとおり、標的型攻撃に対する自組織の脆弱性を把握し、起こり得る事態からもたらされる被害を最小限に留めるためのフローを登録する。ここでは、インシデントと対策フローの関連付けを行うことが重要だ。想定される全てのインシデントについて、組織内で合意された対策フローが関連付けられれば、備えは万全と言える。

 次に、実際にインシデントを「検知」した時はどうだろうか。できれば外部機関から寄せられたアラートをトリガーとして、自動的に採番されたレコード(検知レコード)が作られるのが望ましい。仮にアラートが誤報であった場合でも、検知レコードの履歴が残ることによって、「なぜ誤報だったのか」といった確認作業を重ねていけば、検知精度の改善につなげることができる。

 また、インシデントを検知した時点で、備えの際に登録しておいたインシデントに関連付けられている対策フローを自動的に呼び出す仕様であると、緊急時の作業時間の節約になる。備えができていれば、誤ったフローに沿って効果のない対策をしてしまうというような、人為的なミスを未然に防ぐことができるだろう。

検知時におけるインシデント管理システムの動作イメージ

 3つ目の段階の「応急措置」については、前回に述べたとおりだが、例えば、被害拡大を防ぐためにネットワークを遮断する措置などをとることによって、組織が一時的にダメージを被るリスクがあり、事前の通知が欠かせない。しかし、ネットワークが攻撃を受けている状態では、効果的な通知が行えない可能性もある。またCSIRTは、攻撃を受けた際の応急措置と、その後の再発防止策について検討を行う。再発防止策は、以前紹介した「多層防御の見える化テンプレート」が役立つので、参考にしてほしい。

 最後の「事後対応」は、防御対策を検討・導入することも含むが、最も重要なのが、被害の規模を正確に把握することだ。被害状況を把握するために必要なログなどをインシデント管理システムに保管しておくことで、後の対応が行いやすくなる。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ