事件・事故対応に生かす実践的なコンプライアンスとは?企業セキュリティをあるべき姿に(1/2 ページ)

情報漏えいのようなセキュリティ事故・事件での対応はまさにコンプライアンスの成果が問われる瞬間です。未然に防ぐことに加え、発生後に迅速かつ確実な対応を行うことが損害を最小限にして企業の存続を確かなものにします。今回は対応における実践的なコンプライアンスを考えてみましょう。

» 2009年12月03日 07時15分 公開
[米澤一樹,ベライゾンビジネス]

 コンプライアンスとして代表的なPCI DSSが定める要件のほとんどは、事故・事件を未然に防ぐ対策を目的にしたものです。前回はPCI DSSを参考に対策の実例を取り上げました。それらは実際の事故・事件発生時にどのように活用されてくるのでしょうか。PCI DSSの要件には被害を最小限に抑えるためのものも含まれています。今回は実際の事故・事件発生時の対応例を挙げつつ、それらがPCI DSSの要件にどのように根ざしているのかを紹介します。

発生の検知

 事故・事件の対応はその発生を知った瞬間に始まります。発生を知るきっかけは、内部における検知によるものと、外部からの通報によるものの2つに大きく分けられます。一般的に前者の方が後者に比べて対応を迅速かつ確実に行え、被害を最小限にとどめられます。内部における検知を容易にするのが、PCIDSSの要件10「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する」です。前回に紹介したような代替コントロールも含めて監視体制を設けて確実に運用していることで異常を早めに検知し、迅速な初動を行えるのです。

初動

 初動は、事故・事件の発生もしくは発生の少なくない可能性が検知された瞬間に始まります。具体的には、異常を検知した担当者が、しかるべき立場の人間に異常を報告し、その報告を受けて詳細に調査することになります。異常の検知には、要件10.6「少なくとも日に一度、すべてのシステムコンポーネントのログを確認する」が確実に行われていることが重要です。また、その後の調査には下記に挙げる要件10.1〜10.5の確実な実施が調査の精度を保証する土台となります。

要件10.1:システムコンポーネントへのすべてのアクセス(特にルートなどの管理権限を使用して行われたアクセス)を各ユーザーにリンクするプロセスを確立する

要件10.2:以下のイベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する

要件10.3:イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する

  • 要件10.3.1:ユーザー識別
  • 要件10.3.2:イベントの種類
  • 要件10.3.3:日付と時刻
  • 要件10.3.4:成功または失敗を示す情報
  • 要件10.3.5:イベントの発生元
  • 要件10.3.6:影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前

要件10.4:すべての重要なシステムクロックおよび時間を同期する

要件10.5:変更できないよう、監査証跡をセキュリティで保護する

また、下記の要件10.7が初動の迅速さを助ける土台となります。

要件10.7:監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 カ月はすぐに分析できる状態にしておく(オンライン、アーカイブ、バックアップから復元可能など)

 同様に、要件11「セキュリティシステムおよびプロセスを定期的にテストする」の実績と記録も「いつの時点でどうであったか」を把握する際には有効です。

 この際に重要なのは、事故・事件の対応では時間の経過が不利に働くことを念頭に置いて「発生が確実になった時」ではなく、「発生の少なくない可能性が検知された時」には直ちに対応を開始すべきということです。そうでないと、誤検知の可能性にちゅうちょして動かないことで事態を悪化させてしまいます。これは、誤検知の結果として空騒ぎをしてしまうよりもはるかに問題であり、このことを関係者全員がしっかり認識しておく必要があります。

 そのためには、普段から積極的な行動を妨げない組織風土を形成しておくことが必要です。具体的には誤検知の責任追及を不必要に厳しくせず、誤検知の経験を必要以上に重視して、検知の基準を不必要に厳しくしないことです。誤検知があまりにも多いのも問題ですが、誤検知の責任追及を特に担当者の個人レベルで不必要に厳しくすると、行動を起こす際に担当者がちゅうちょする結果となり、ひいては本当の事故・事件の際に迅速な対応を妨げる結果になります。また、誤検知の結果をしゃくし定規に捉えて、「今後は○○システムからの□件以下のデータ送信は正常とみなす」というような基準に反映してしまうと、実際の発生を見逃す結果にもなりかねません。

 つまり、誤検知は対応の「良い訓練」として行動の迅速さと確実さを評価・検討し、対応策の改善に役立てることを基本方針にし、その上で検知の精度を高めることを検討すべきなのです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ