万一の情報漏えい発生時、企業や組織にはどんな行動が求められるのだろうか。後編ではインシデント対応に必要な取り組みや、再発防止策などにおける留意点を取り上げる。
企業や組織にとって故意による情報漏えいは、いまも深刻な情報セキュリティリスクであり、万一の場合ではその対応(インシデントレスポンス)が被害の最小化での鍵となる。前編では2008年の情報漏えい事件でインシデントレスポンスを担当した日本IBMの徳田敏文氏に、初動時に求められる点を聞いた。後半ではインシデントレスポンスのための体制作りや再発防止策などにおけるポイントを聞く。
2008年9月、日本IBMが受託した神奈川県教育委員会のシステム開発に関する資料がネットの匿名掲示板に投稿された。漏えい元は業務再委託先企業の関係者のPCで、このPCが「暴露ウイルス」に感染し、業務データがファイル共有ネットワークに流出。さらに、悪意のある人物が個人情報などを含むデータを「再放流」したり、日本IBMを挑発したりするなど、悪質な事態に発展。日本IBMはこの人物を追跡し、著作権侵害で刑事告発した。犯人は2009年6月に逮捕されている。
初動調査を踏まえて漏えいした情報の内容や漏えい範囲を特定できれば、それらの状況を分析し、重要度を決め対応方法を策定していく。ここでは企業内で具体的にどのような対応組織を構成するか、対応組織内での役割分担と担当者間の調整、対応策の実施内容などについて決める。
この対応組織は「セキュリティインデントレスポンスチーム(SIRT=サート)」と呼ばれる。特にコンピュータセキュリティに関連する場合は「CSIRT(シーサート)」とも呼ばれている。
SIRTを構成するのは経営層や経営管理部門(法務や人事、広報など)、IT部門からインシデントに関連する業務部門まで多岐にわたる。さらに、状況に応じて外部のセキュリティ専門機関に協力を仰ぐ。法令などにも関与する場合は警察など当局との連携も必要になる。
ここで最も重要なのが、「コーディネーション」と呼ばれる関係者間の連絡・調整と対応全体を管理する役割だ。コーディネーション役は、それぞれの担当責任者と密に連携して状況を共有・管理しつつ、SIRT全体をコントロールし、経営層の意思決定をサポートする。
コーディネーション役が不在の場合、それぞれの担当者が独自に行動してしまい、徐々に収集が付かなくなっていく。最悪の場合、責任のなすり付け合いが起きたり、特定の担当者(部署)に負荷が集中したりするなどして対応が長期化し、被害が拡大しかねない。
「当時の日本IBMにはインシデントに事務的に対応する部門しかなく、初期から専門のアドバイザーが加わり、CISO(最高情報セキュリティ責任者)を中心として米国本社の法務部門も参加した。何度も議論を重ねて、関係者全員が事態を確実に収束させるとの方針に合意し、対応にあたった」(徳田氏)
SIRTの必要性は、ここ数年で大規模組織など機密性の高い情報を多数取り扱う企業を中心に、その認識が広がり始めた。SIRT構築を支援するというサービスも幾つか登場している。
万一の際にSIRTが適切に機能するかどうかは、平時の備えをどれだけできているかに左右される。「SIRTを構築してもインシデント発生時のマネジメント手順が浸透していなければ、混乱を招いてしまう。いざ起きた場合を想定し、だれが何をするのか、連絡はどうするのかといったさまざま点を平時から確認しておく」(同氏)
また、実際のインシデント対応は当事者の企業が主体的に意思を決定し、行動しなければならない。対応を進めていく中では、ある問題や課題に関する専門家が社内にいないこともある。その場合は外部の専門家に協力を得ることになるが、どのような協力を依頼するのか、協力内容のアウトプット(例えば調査報告書など)に対してどのように検討・評価するかは当事者企業にしかできない。
例えば、原因究明の調査を外部の専門家に丸投げしてしまうと、人的・金銭的なリソースの多くを割いてしまいがちになり、初動対応で本来最優先すべき「被害の最小化」に必要な作業が後回しになりかねない。これを防ぐには、当事者たる企業が「被害の最小化」を最優先するとの方針をしっかり持ち、マネジメント視点で対応の優先度やその内容などを判断することが求められる。
こうしたインシデント対応におけるSIRTや協力体制を整備し、いつでも迅速に行動を起こせる準備をしておくことで、前項に示した初動対応が取りやすくなる。最優先すべき「被害の最小化」が可能になり、事態の収束化、再発防止のための施策へとつなげられるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.