インシデントレスポンスとは何か――自動車事故に置き換えて考える：セキュリティ事故の被害を回避するインシデントレスポンス（2/3 ページ）

[吉澤亨史，ITmedia]

自動車事故を例に理解するインシデントレスポンス

　それではインシデントレスポンスについて、自動車事故における対応を例に見ていきましょう。

予防

　誰でも自動車事故は起こしたくはないものです。そのため、普段から自動車の点検整備を行います。例えば、エンジンオイルを交換してエンジンを良好な状態に保ったり、ブレーキの効きが落ちないようにブレーキパッドのチェックをしたり、ライトやウィンカーなどが切れていないか、タイヤの空気圧は適正か、などを点検します。

　これは、セキュリティ機器の設定確認やアップデート、サーバやクライアントのOS、アプリケーションなどの脆弱性パッチの適用、ユーザー情報の更新や権限設定の確認などに相当します。また、ログの分析などからインシデントの兆候を捉え、事前に対応することも予防といえます。

初動対応

　どんなに対策をしても、「セキュリティに100％はない」といわれるように、自動車もどんなに注意しても100％事故に遭わないとはいえません。事故が起きてしまったら、まずは落ち着いて状況を確認し、判断します。

　例えば、「怪我人はいるのか」「ガソリンやオイルが漏れていないか」「この事故が原因でさらに事故を誘発しないか」といったことを確認し、まずは自動車を安全な場所に移動したり、警察や消防（救急車）、保険会社に連絡したり、別の自動車に注意を促すために三角停止表示板を置いたりします。これは事故の拡大や二次被害を食い止めるために重要なことです。

　セキュリティインシデントが発生した場合も、初動対応は非常に重要です。外部への不正な通信を検知したり、データベースの重要なファイルに不正なアクセスがあったり、サンドボックスが新たなマルウェアを検出した、Webサイトが改ざんされたといった場合には、通信やアクセスを遮断したり、マルウェアが侵入したPCを隔離する、Webサイトを一時閉鎖するなどの対処を行います。まずは発生している事象を食い止め、被害の拡大を防ぐわけです。

　インシデントの発生を確認したら、CSIRTなどが状況の把握とハンドリングを開始します。なお、初動対応を実際にCSIRTが行うわけではなく、必要な処理について担当部署が行うよう指示をしたり確認したりして、全体の状況の把握と関係部署や担当者間の連絡・調整、また、それらの管理を担います。

損害状況の把握

　初期対応が完了したら、自動車事故の場合は、自車および相手の損害状況を把握します。ここでの判断の基準は「このまま安全に走れるか」になります。ただし、事故後の状態を後から分かるようにする必要があります。保険会社が現場に到着すれば問題ありませんが、例えばスマートフォンのカメラで自動車の損害状況を撮影しておくことも一つの方法です。

　エンジンがかからなかったり、ボディや足回りの破損が大きく、走行できない場合は、レッカー車を手配する必要もあります。また、オイルやガソリンが漏れている場合には、漏れを止めるといった対処も必要になります。さらに相手が救急車で運ばれてしまったような場合には、相手の車の損害状況も把握します。ただし、これらは基本的に保険会社や警察に任せるべき作業です。

　セキュリティインシデントの場合には、初動対応が完了したら損害状況を把握するために、分析と検証を行います。分析と検証も、基本的にはCSIRTではなくSOCなど現場が対応します。また、分析や検証を第三者機関に依頼するケースもあります。分析や検証のためには、証跡としてログやキャプチャが必要になります。自動車事故と異なり、サービスに関連するインシデントの場合はサービスを一時停止するべきでしょう。分析と検証をした結果、安全であると判断されるまでは、どんなリスクが潜んでいるか分からないためです。

自動車事故の対応とインシデントレスポンスの流れ