ニュース
» 2015年05月19日 07時30分 公開

標的型攻撃を受けたヤフー、語られた対策とは?(3/4 ページ)

[國谷武史,ITmedia]

起きる事故への対応

 サイバー攻撃の検知や阻止ができれば守る側の勝利といえるが、被害を避けられない場合もあり得る。そこで求められるのが、最悪の事態にさせないための「事故対応」だ。ヤフーにおける対応のゴールとは、「ユーザーファーストであり、顧客の利益と当社への信頼を守ること」になるという。

 事故対応においても、やはり攻撃の状況を知らなければ動きようがない。状況を知るための方法は「検知」や「阻止」で高氏が紹介したポイントの実践だ。その上で最善を尽くして動けること、被害をコントロールできる体制が要となる。

 高氏によれば、事故対応では「発生検知」「初期対応」「事態収束」の3つの段階があり、各段階では時間の流れや作業で中心となる人員も異なってくるが、特に初期対応が重要である。

ヤフーにおける対応の考え方の1つ
段階 作業 人員
発生検知 異常検知、判断と初動対応、エスカレーション、緊急事態宣言 インシデント対応チーム、システム担当者、監視運用、経営層、サービス責任者
初期対応 被害拡大防止、影響範囲の特定、原因分析、対応方針の決定 上記+広報、カスタマーサービス、法務、人事・総務
事態収束 情報開示、顧客対応とフォロー、課題の振り返り、再発防止、効果の確認 上記+ツール開発担当者など

 2013年の事件の際、同社は初期対応においてパスワードの変更、アカウント侵害の有無を判定するツールの提供、メールやログインページにおけるユーザーへの注意喚起といった措置を最優先で講じた。事故対応おけるポイントは、特に迅速なエスカレーション(上層部への報告)と意思決定、そして、リソースの積極的な投入になるという。

 人員体制では「案件対応責任者」「意思決定者」「時系列記録者」「対応支援者」の4つが必須だ。上の表にあるように、事故対応は組織横断的な動きが求められることから責任者と意思決定者がいないと、適切に行動てきない。また、「忘れがちだが時系列記録者も必要。その時にどのように行動したのかを振り返ることができないと、再発防止策も講じられない」とのことだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ