インシデント対応におけるシーサートの活動とは？：インシデントと戦うCSIRT（2/2 ページ）

[ITmedia]

シーサートの実装に欠かせないこととは

　シーサートが実際にインシデントに対応する上で、最も重要な要素は何であろうか。前回紹介した一般的なインシデントの対応フローでも説明したように、インシデントの発生を速やかに検知し、対応を始めることが大切であり、さらに「意思決定」という重要なポイントが存在する。

　例えば、最近頻繁に見られるインシデントとして、自社のWebサイトが何らかの理由で改ざんの被害を受け、マルウェア配布サイト（利用者がアクセスするとマルウェアに感染してしまうサイト）にされてしまうというものがある。

　このようなインシデントが発生した場合、一般的には顧客保護、利用者保護の観点から、Webサイトのサービスを停止することが推奨される。しかし技術的には適切であっても、Webサイトの停止が業務全体に与える影響を無視して安易に停止することは適切ではない。

　特にWebによるサービスが事業の根幹を成しているような企業であれば、サービスの停止は死活問題につながる。また安易にサービスを停止することで、ほかのサービスへ悪影響を及し、二次被害を生まないとも限らないのである。このような場合、本当にサービスを停止しなければ復旧や原因究明ができないのか、またサービス全体ではなく一部の停止だけで済まないのか、さらに当該サービスの停止がほかのサービスや業務にどのような影響を与えるのか、といったさまざまな点を冷静に分析し、適切な解を選ぶ必要がある。

　この適切な解を選択する意思決定を速やかに、かつ的確に行うことがシーサートに求められる重要なポイントだ。つまり、理想的にはこのような意思決定を行える権限が経営層からシーサートに委譲されていることが望ましいということである。

　しかし現実には、事業の根幹に関わるような決定事項を経営層以外の部署や「機能」に委譲することは難しい。多くのシーサートがある程度の権限を委譲されていても、すべての権限を委譲されているわけではなく、いくつかのランクに分けられたもののうち、最も深刻度の高いものに関しては経営層による意思決定を待たなくてはならないのである。

　このような場合、シーサートに求められるものは何であろうか。それは、インシデント対応という一刻を争う状況に際して、経営層が速やかに的確な意思決定ができるような材料を集めて整理し、経営層へ説明することである。

　現実のインシデント対応において、ベストな方法が存在するケースはほとんどない。実際には複数のベターな方法からいずれかを選択することになる。そのために、シーサートは複数のベターな方法を提案し、それぞれのメリットとデメリットを経営層へ的確に説明できなくてはならない。

　経営層への説明に必要な材料の収集には、さまざまな情報源がある。それらの情報源を普段からリストアップしておくなどの準備が必要であること言うまでもないが、ほかにも公開されていない情報で信頼できるものを入手する先として「コミュニティー」の存在が挙げられる。

　シーサートが効果的に機能するための最も重要な要素の1つといえるのが、このコミュニティーへの参画である。コミュニティーについては、改めて詳細に紹介しよう。次回は、一刻を争う状況における意思決定の速さがいかに重要であるかを示す例として、情報漏えいのインシデントをモデルケースに解説する。情報漏えいは、意思決定が遅れ、情報開示に失敗すると企業イメージを大きく失墜させる。その点で特に「意思決定の速やかさ」が求められるインシデントだ。

過去のセキュリティニュース一覧はこちら