インシデント対応に備えるシーサート構築の最終ステップ：インシデントと戦うCSIRT（2/2 ページ）

[ITmedia]

コミュニティーへの懸念に答える

　コミュニティーに参画するに際して、「情報の共有が義務」だと考え、「情報はほしいが情報の提供には抵抗がある」という企業も少なくないと思われる。しかしこの点においては、少なくともFIRSTや NCAでは杞憂である。情報は必ずしもコミュニティー内のすべてのチームと共有するわけではない。コミュニティー内の全メンバーと共有すべきと判断した情報は共有すればいいし、特定のチームとだけ共有すべきと判断した情報であれば、そのチームとだけ共有すればいい。共有する必要が一切ないと判断すれば共有しなくてもいい。あくまで自社のセキュリティポリシーに照らして、「出せないものは出せなくても構わない」のである。

　もちろん、コミュニティーを単なる情報源とだけ考えて自らは何も情報を提供しなければ、コミュニティーから信用を得られず、結果的に必要な情報が得られないことも確かである。まず、前もって「どこまで出せるか」「誰の権限で出せるか」「逆に何は出せないか」をおおまかに整理しておく。その上で、実際に加盟した後に既存のチームとのやり取りを行う中で、どのような情報を提供するのが適切かを再び検討すればいい。

　コミュニティーと共有することでメリットのある情報の種類はいくつかある。例えば、自社に対して継続して行われている不審なアクセスが、自社だけを狙ったものなのか、複数のサイトに対して行われているかといったことは、自社に対するアクセスの概要やアクセス元のIPアドレス情報を共有することで判明するかもしれない。このほか、何らかの経緯で入手した（知るに至った）攻撃予告に関する情報を、攻撃対象とされているところとだけ共有することもある。

　それでも提供した情報に対して、秘匿性が担保されているのか不安に感じることもあるだろう。しかし、FIRSTやNCAはコミュニティー内でやり取りする情報を第三者へ漏らさない、厳密な情報管理が行えるどうかを加盟に際してシステム設計と運用（ポリシー）の両面から審査する。厳しい審査を経た上で加盟したチームであれば信頼できると言えるだろう。

セキュリティのアウトソーシング活用

　シーサートに限らず、何らかのインシデント対応体制を構築する際にはすべての要素を自分たちの中だけで構築しようとすることがある。しかし、IT企業であればともかく、単にITを利用しているだけの企業内でインシデント対応体制のすべてを構築することはほぼ不可能であろう。特にインシデントの発生など異常を検知するための24時間体制の監視やインシデント発生の原因分析などは専門の業者に委託するのが適切である。

　また、多くのセキュリティベンダがシーサート機能（の技術的な部分）を請け負うサービスを提供している。そのようなサービスを利用するのもいいだろう。しかし、ここで重要なことは、「丸投げはNG」であるということだ。シーサート機能を外部に委託しても、インシデント対応において重要な意思決定――特にミッションクリティカルな状況における意思決定――は必ず自社内で行わなければならない。

　そのためには、外部の委託業者からの技術的な説明を理解できる担当者を自社内に置き、意思決定責任者（経営層など）が迅速かつ的確な意思決定を行えるような体制を用意しておく必要がある。

情報セキュリティの保険

　インシデント発生時には、技術的な対応支援を外部の専門業者へ委託したり、場合によっては被害を与えた相手に損害賠償をしなければならなくなったりするなど、想定外の経費が発生することが珍しくない。このような事態に備えて、いくつかの保険会社が提供する「情報セキュリティ保険」に加入しておくことも推奨する。

　保険サービスの中には、セキュリティ対策のコンサルテーションや監査が含まれる場合がある。サービスの内容を吟味し、上手く活用しよう。

既存の枠組みを適用する

　連載の第1回でも説明したが、インシデントは「いつ起こるか分からないが、いつかは起こる」という前提で備えなければならない点において、自然災害と類似している。また、その対策も想定されるリスクの分析や緊急時の連絡体制と事業継続性、復旧に際しての優先順位付け、意思決定など、さまざまな点で似たところがある。

　そこで、多くの企業が既に持っている「災害対策」（リスク管理）の枠組みを、セキュリティインシデントの対応に適用することを検討してみてはいかがだろうか。

予行演習や予防接種

　インシデント対応体制を構築しても、それが実際に機能しなければ意味がない。定期的にその体制が機能することを確認するために、予行演習を実施するのが望ましい。緊急時の連絡体制や意思決定のエスカレーションパスが適切に機能することを特に確認する。

　また、技術的に防ぐことが困難な標的型攻撃――例えばソーシャルエンジニアリング攻撃――を防ぐには、社員を教育する以外に方法がない。そのための効果的な手法がJPCERT/CCが提案する「予防接種」である。

　詳細は、JPCERT/CCの公開文書「標的型攻撃対策手法に関する調査報告書」（PDFファイル）を参照してもらうとして、概要は次の通りだ。

　1.あらかじめ社員向けに標的型攻撃の脅威とその防御策についてレクチャーする。

　2.適切な期間を経た後に、抜き打ちで社内に実在する人物や部署をかたった偽の電子メールを社員に送付する。この電子メールには添付ファイルがあり、それを開かせるように誘導する文章が書かれている。この添付ファイルは、開くとあるサーバ上のファイルを参照するように作られており、そのサーバへのアクセスログを見ることで、誰が添付ファイルを開いたかが分かるようになっている。一方、添付ファイルを開くと、この電子メールが教育目的の偽の攻撃メールであること、このような電子メールや添付ファイルを受け取った場合には、関係者に確認を取るなどの適切な対応方法が表示される。

　3.さらに適切な期間をあけて2回目を実施し、1回目に比べて添付ファイルを開く割合がどれくらい減ったかを見る。

　「予防接種」は、その企業に適した微妙なチューニュングが必要なため、実施に際してはJPCERT/CCに相談するといいだろう。

　上記で紹介したそれぞれの事項は、インシデント対応体制の構築・整備において必ずしも必須となる要件ではない。しかし、いずれも効果的で効率的なインシデント対応を行うために、一度は検討するに値する事項である。自社の事情に合わせ、ぜひ検討してほしい。

　最後にあるシーサートを取材した際に聞いた言葉を紹介する。そのシーサートは、常にさまざまなインシデントを想定して準備をしている。自らの基本姿勢を「居安思危」（こあんしき）と表現する。これは「安に居て危を思う」、つまり「平安無事な時こそ、危機に備えなければならない」という意味で、「有備無患」（備えあれば患いなし）に先立つ言葉である。

　まさに「シーサートの心得」と呼ぶに相応しい言葉であろう。

過去のセキュリティニュース一覧はこちら