コラム
» 2021年02月17日 07時00分 公開

サイバー攻撃が発生! 「いつ、誰が、何を、どのように対応すべきか」を事前に整理せよ 「プレイブック」のすすめニューノーマル時代のセキュリティ(1/2 ページ)

日本企業でも「インシデントの発生を前提に対策する」という考え方は広がりをみせているが、まだ根付いていないように感じる。インシデントからの回復を強化する「プレイブック」について解説する。

[辻大輔(PwCコンサルティング合同会社),ITmedia]

 「東京オリンピック・パラリンピック競技大会に向けて、企業のサイバーセキュリティ対策は何を実施すべきか」を調査するために、筆者は過去大会の開催国に何度か足を運び、複数の企業にインタビューを行った。

 結果として、セキュリティ機能の採用状況は、日本企業と大きな違いは認められなかったが、セキュリティ対策での「回復力」の位置付けについて、日本企業とのギャップを強く感じた。

 例えば、インタビュー先企業が未導入であるセキュリティ機能を挙げて「採用を検討しなかったか?」と尋ねると、「検討していない」と回答があり、その理由に「全てのサイバー攻撃を防御することは不可能なのだから、これ以上の投資は現時点で不要だ。有事の対処方法が十分に確立できていれば、サイバー攻撃に臆することはない。何に不安を感じているんだ?」と逆に質問を受けた。

 さらに「大会期間中にマルウェアには感染したものの、すぐに対処し業務が再開できたため、わが社のセキュリティ対策は成功だ」と誇らしげな企業も複数存在した。マルウェアに感染した事実だけで「失敗」と判断してしまう日本企業とは、大きな違いだ。

photo 写真はイメージです

 日本企業でも「インシデントの発生を前提に対策する」という考え方は広がりをみせているが、その考えを取り入れた文化はいまだ根付いていないように感じる。なぜなら、サイバーセキュリティの投資は、変わらずマルウェア感染という、失敗を防ぐための予防策や検知策が中心となり、インシデントからの回復に関わる投資が限定的なためだ。

 本稿では、過去大会の開催国企業が重要視していた回復力を、いま一度読者に検討いただくために、その強化ツールである「サイバーセキュリティプレイブック」の必要性について解説する。

サイバーセキュリティプレイブックとは?

 サイバーセキュリティプレイブック(以下、プレイブック)は、簡単に言うと、サイバーセキュリティインシデント発生時に「いつ、誰が、何を、どのように対応すべきか」について定めた、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)に向けた手順書のことだ。

 インシデント対応手順書は、ISMSやPマーク対応などでも求められることから、整備していない企業のほうが少ないはずだ。ただ、整備済みの手順書は、代表的な1つか2つのインシデントシナリオを例とした“共通の手順書”となっていないだろうか。

 共通の手順書は、実際のインシデント対応現場では、効果が限定的になってしまいがちだ。なぜなら、現場ではインシデントの性質、あるいは刻々と変化する状況や判明した事実に即して、柔軟な対応が求められるためだ。

 極端な例だが、サーバでの情報漏えいが疑われる現場では、事実確認や原因調査が優先され、端末のマルウェア感染では、感染拡大の防止を目的とした嫌疑端末の隔離が優先される。これはインシデント対応の手順が、発生したデバイスや事象によって異なるという顕著な例だ。

 また、端末のマルウェア感染という同様の事象であっても、利用者による申告がトリガーとなるケース、SIEM(Security Information and Event Management)などのアラートメッセージがトリガーとなるケースでは手順が異なり、端末が社内LAN環境に存在するか、あるいはリモートワーク環境であるかによっても手順が異なる。

 このような特性を持つインシデント対応の手順を、共通の手順書や1つのフローチャートとして整理することに限界があるのは明白であり、実際の現場では手順書が機能せずに、経験を有する担当者の属人的な判断に依存してしまうのは致し方ない。

 ただし企業では、インシデント対応が一部の担当者の不在や不足によって破綻してしまう恐れがあることを経営課題として受け止め、改善を検討いただきたい。

 プレイブックは、これまでの手順書とは異なり、自社に発生し得るインシデントシナリオに沿って、その状況ごとに何を行い、どのように判断するのかを整理した手順書の集合体を指す。調査手順、判断基準、実行手順といった詳細を記した1つ1つの手順書の中から、シナリオの場面ごとに必要なものを呼び出し、一連の対応手順を形成するイメージだ。

 重要なシステムを停止する、あるいは停止状態を解き、業務を復旧させる際の判断基準が漠然と「止めるべきリスクがある」「再発防止と安全性が担保できている」という内容であれば、おそらく合意に時間を要し、ビジネスへの影響を拡大させてしまうだろう。

 速やかな意思決定を導くためには、合意に必要とされる情報を定め、その情報を導くための手順が欠かせない。また、プレイブックでは手順の整備にとどまらず、このような停止や復旧を判断する条件をあらかじめ合意し、その実行権限を得ることが重要だ。

プレイブックをどう整備すべきか

 ここからは、どのようにしてプレイブックを整備するべきかについて解説する。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセスランキング
  • 本日
  • 週間

    Digital Business Days

    - PR -