セキュリティインシデントの対応は事前準備に勝算あり――シマンテック：Maker's Voice

高度なマルウェア感染などが企業や組織で次々に発覚する状況にシマンテックは、緊急時だけでなく平時にインシデント対応体制の強化する新たな支援サービスへ乗り出す。

[國谷武史，ITmedia]

　シマンテックは、2015年から高度なマルウェア感染などのセキュリティインシデント発生時に緊急で対応を支援するサービスを提供している。企業や組織からの対応の要請が相次いでいるといい、4月13日から平時にインシデント対応体制の強化を支援する新サービス「インシデントレスポンス リテーナーサービス」を提供すると発表した。

シマンテック サイバーセキュリティサービス インシデントレスポンス担当 アジア太平洋地域・日本責任者のポール・ブラック氏

　サイバーセキュリティサービス インシデントレスポンス担当 アジア太平洋地域・日本責任者のポール・ブラック氏によると、緊急時の対応支援サービスには毎週2、3件の依頼が寄せられているという。「日本での事案は業種にかかわらず、非常に高度な標的型サイバー攻撃が多い状況です。私の活動拠点であるオーストラリアではランサムウェア（身代金要求型マルウェア）の事案が多いのですが、いずれも企業の事業継続にかかわる問題です」（ブラック氏）

　ブラッグ氏が対応したある企業の事案は、対応を依頼された時点での内容がサーバのCPUリソースが通常より多く消費されているため、調査してほしいというものだった。「サーバのCPU以外は特に異常が見られませんでした。しかし、IT部門の担当者が不審に感じて調査を依頼され、実際に調べてみると、非常に高度なマルウェアの活動が見つかりました。この企業のケースはとても幸運だったと思います」

　企業や組織を狙う近年の標的型サイバー攻撃は、巧妙な手口を駆使して長期的に行われ、企業や組織が攻撃を受け続けている状況に気が付けないという。そのことを知るのは、情報漏えいを疑う顧客からの問い合わせや、サイバー攻撃を監視するセキュリティ企業からの通報といった場合が多い。

　この時点で既に多くの情報が漏えいしていたり、悪意ある人間に乗っ取られた自社のコンピュータが別の企業や組織にサイバー攻撃を仕掛けたりしているケースもあり、当事者になった企業や組織は被害の拡大阻止といった緊急対応に追われてしまうという。

　同社が4月に始める新サービスは、事前の契約に基づいてインシデント発生時に、同社が必ず24時間以内か48時間以内、もしくは可能な時間内（ベストエフォート）に対応支援を開始するという、SLAを保証するサブスクリプションサービスとなっている。

新サービスのコンセプト

　依頼から対応支援を始めるまでの時間は、契約を結ぶ企業や組織のインシデント対応能力に応じて選択できる。例えば、インシデント発生時にCSIRTなどが初期対応できる企業では48時間以内、インシデント対応の体制が整っていない企業では24時間以内といったイメージになるようだ。ブラック氏は、サービスの特徴について「インシデント発生時の負担を小さくするためです」と話す。

　国内では日本年金機構に対するサイバー攻撃事件をきっかけに、インシデントの有無などを調べたいというニーズが急増。だが、調査には数日から数カ月を要するため、シマンテックに限らず調査サービスを提供するセキュリティ企業では依頼に応えづらい状況が続いているという。

　このためシマンテックは、企業や組織のインシデント対応能力を平時に強化していくサービスメニューに力を入れる。「インシデント時に社内の体制やプロセスが適切なものになっているのかといった診断や、強化点などのアドバイスを提供します。また、実際のインシデントを基にした訓練や脅威の侵入調査なども実施します」（ブラック氏）

　企業や組織が平時からインシデントに対応できる体制を準備しておくことで、有事の際に円滑な対応を速やかに実行でき、結果的に情報漏えいやシステム障害といった被害の抑止につなげられるという。それに、同社が必ず契約した時間内のうちに対応支援を始めるという保証を付けることで、「顧客に安心してもらえることがサービスの狙いです」（ブラック氏）としている。