サイバー攻撃が発生! 「いつ、誰が、何を、どのように対応すべきか」を事前に整理せよ 「プレイブック」のすすめ:ニューノーマル時代のセキュリティ(1/2 ページ)
「東京オリンピック・パラリンピック競技大会に向けて、企業のサイバーセキュリティ対策は何を実施すべきか」を調査するために、筆者は過去大会の開催国に何度か足を運び、複数の企業にインタビューを行った。
結果として、セキュリティ機能の採用状況は、日本企業と大きな違いは認められなかったが、セキュリティ対策での「回復力」の位置付けについて、日本企業とのギャップを強く感じた。
例えば、インタビュー先企業が未導入であるセキュリティ機能を挙げて「採用を検討しなかったか?」と尋ねると、「検討していない」と回答があり、その理由に「全てのサイバー攻撃を防御することは不可能なのだから、これ以上の投資は現時点で不要だ。有事の対処方法が十分に確立できていれば、サイバー攻撃に臆することはない。何に不安を感じているんだ?」と逆に質問を受けた。
さらに「大会期間中にマルウェアには感染したものの、すぐに対処し業務が再開できたため、わが社のセキュリティ対策は成功だ」と誇らしげな企業も複数存在した。マルウェアに感染した事実だけで「失敗」と判断してしまう日本企業とは、大きな違いだ。
日本企業でも「インシデントの発生を前提に対策する」という考え方は広がりをみせているが、その考えを取り入れた文化はいまだ根付いていないように感じる。なぜなら、サイバーセキュリティの投資は、変わらずマルウェア感染という、失敗を防ぐための予防策や検知策が中心となり、インシデントからの回復に関わる投資が限定的なためだ。
本稿では、過去大会の開催国企業が重要視していた回復力を、いま一度読者に検討いただくために、その強化ツールである「サイバーセキュリティプレイブック」の必要性について解説する。
サイバーセキュリティプレイブックとは?
サイバーセキュリティプレイブック(以下、プレイブック)は、簡単に言うと、サイバーセキュリティインシデント発生時に「いつ、誰が、何を、どのように対応すべきか」について定めた、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)に向けた手順書のことだ。
インシデント対応手順書は、ISMSやPマーク対応などでも求められることから、整備していない企業のほうが少ないはずだ。ただ、整備済みの手順書は、代表的な1つか2つのインシデントシナリオを例とした“共通の手順書”となっていないだろうか。
共通の手順書は、実際のインシデント対応現場では、効果が限定的になってしまいがちだ。なぜなら、現場ではインシデントの性質、あるいは刻々と変化する状況や判明した事実に即して、柔軟な対応が求められるためだ。
極端な例だが、サーバでの情報漏えいが疑われる現場では、事実確認や原因調査が優先され、端末のマルウェア感染では、感染拡大の防止を目的とした嫌疑端末の隔離が優先される。これはインシデント対応の手順が、発生したデバイスや事象によって異なるという顕著な例だ。
また、端末のマルウェア感染という同様の事象であっても、利用者による申告がトリガーとなるケース、SIEM(Security Information and Event Management)などのアラートメッセージがトリガーとなるケースでは手順が異なり、端末が社内LAN環境に存在するか、あるいはリモートワーク環境であるかによっても手順が異なる。
このような特性を持つインシデント対応の手順を、共通の手順書や1つのフローチャートとして整理することに限界があるのは明白であり、実際の現場では手順書が機能せずに、経験を有する担当者の属人的な判断に依存してしまうのは致し方ない。
ただし企業では、インシデント対応が一部の担当者の不在や不足によって破綻してしまう恐れがあることを経営課題として受け止め、改善を検討いただきたい。
プレイブックは、これまでの手順書とは異なり、自社に発生し得るインシデントシナリオに沿って、その状況ごとに何を行い、どのように判断するのかを整理した手順書の集合体を指す。調査手順、判断基準、実行手順といった詳細を記した1つ1つの手順書の中から、シナリオの場面ごとに必要なものを呼び出し、一連の対応手順を形成するイメージだ。
重要なシステムを停止する、あるいは停止状態を解き、業務を復旧させる際の判断基準が漠然と「止めるべきリスクがある」「再発防止と安全性が担保できている」という内容であれば、おそらく合意に時間を要し、ビジネスへの影響を拡大させてしまうだろう。
速やかな意思決定を導くためには、合意に必要とされる情報を定め、その情報を導くための手順が欠かせない。また、プレイブックでは手順の整備にとどまらず、このような停止や復旧を判断する条件をあらかじめ合意し、その実行権限を得ることが重要だ。
プレイブックをどう整備すべきか
ここからは、どのようにしてプレイブックを整備するべきかについて解説する。
関連記事
VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。
カプコンも襲撃「ランサムウェア」、この数年で“手口に異変” どう対策?
11月、ゲーム大手のカプコンが「ランサムウェア」の被害を受けました。ランサムウェア自体は昔から存在していました。しかしこの数年、ランサムウェアは少しずつやり方を変え、ターゲットを変え、今や多くの企業の脅威となっています。
「社員の座席に駆けつけて対応」はムリ! リモートワーク環境で、サイバー攻撃被害を抑える事前準備
リモートワーク時のVPN接続口を狙った攻撃、二重恐喝ランサムウェアによる攻撃など……コロナ禍でサイバー攻撃の様相も変化。リモートワーク環境での対応について解説する。
結局、どう使う? サイバー攻撃の「脅威情報」を有効活用、正しく対策
近年、サイバー攻撃対策として注目を集めるスレットインテリジェンス(脅威インテリジェンス)。「有用だと聞いてサービスを契約したが、有効な使い方が分からない」という声を聞くこともある。どう使えばよいのか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
注目記事ランキング
FeedBack
ITmediaはアイティメディア株式会社の登録商標です。