「マニュアルは整備しています」……それでホントに役に立つ？：年末緊急特番！ボットネット対策のすすめ（2/3 ページ）

[JPCERT/CC，ITmedia]

大田：「マニュアルに従って行動します。例えばサーバのレスポンスが遅いというような通報があった場合、それが一時的なネットワークの輻輳（ふくそう）によるものか、サーバトラブルによるものか、またはDoS攻撃を受けているものかをまず確認します。携帯電話の当番には、その確認作業用の専用PCも預けてあるので、担当者はまずそのPCで自宅から確認作業を行います。それで特に問題がなければ、その確認作業の経緯と結果をわたしに電子メールで報告します。

　何らかのインシデントが発生している可能性がある場合は、速やかにわたしに電話します。連絡を受けたわたしが改めて状況を確認した上で、わたしをスタートポイントとして情シス全員に対して連絡網に従って連絡をします。電話がつながらない場合は携帯電話のメールアドレスに『緊急連絡あり、折り返し電話するように』といった内容のメールを送付します。そして実作業が必要な場合は必要な社員を呼び集めます」

図1●緊急時連絡体制の例

梶原：「なるほど……ところでこの体制で実際に動いたことはあるか？」

大田：「ネットワークの輻輳で一時的にサーバのレスポンスが落ちてしまい、そのことでA社から緊急連絡を受けることはしばしばあります。しかし実際に担当者が確認してみるとサーバ側に異常がないので、そのまま事後報告がわたしに送られてくるというだけで、実際に連絡網を使って社員を呼び集めたということはありません」

梶原：「予行演習をしたことは？」

大田：「この体制を敷いたばかりの去年の秋に1度行いましたが、あとは……」

梶原：「それはだめだろう。1年に1度は演習をすべきだし、去年の秋以降から社員も一部変わっているだろう？」

大田：「はい、おっしゃる通りです……申し訳ありません。この1年ほどはインシデントらしいインシデントがなかったもので……」

梶原：「それは分からなくもないが……とにかくできるだけ早急に予行演習を実施してくれ」

大田：「はい、了解いたしました……」

インシデントは忘れたころにやってくる

　インシデントはいつ発生するか分からない。したがって、いつ発生しても速やかに対応できるよう、常に準備しておくことが重要だ。

　そのための第一歩は予行演習の実施。理想的には、想定できるあらゆるパターンのインシデントについて演習を行うべきだが、それは不可能である。そこでまずは最近のインシデント関連情報を収集し、その中で発生頻度が高いインシデントを想定して訓練を行うとよい。例えば2006年について言えば、ゼロデイ攻撃、社内PCのボット感染、自社をかたったフィッシングサイトの登場、サーバへのDDoS攻撃などを想定してみればよいだろう。