特集
» 2018年01月26日 08時00分 公開

アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題ITmedia エンタープライズ セキュリティセミナーレポート(2/4 ページ)

[タンクフル,ITmedia]

 「欧州の本社から第一報を受けたのち、正確な情報が出たのが金曜日の夜。最新情報を集めながら、土曜日にかけて全てのサーバ、エンドポイントを確認し、マネジメントにもパッチの適用率を逐一報告した。日曜日には、全社アナウンスの体制を整えた。

 月曜日の朝には、エレベーターの中、ビルの入り口、オフィスのドア、PCの壁紙、デジタルサイネージなどで脅威の発生を告知し、怪しいメールは開封せず、出勤後すぐにPCをリブートするよう周知できた。危機管理のフレームワークという下地があったので、危機管理・事業継続部や社内広報との連携などがスムーズにできたと思う」(川添氏)。

“本気の”サイバー演習で見えた課題

 このようなインシデント対応体制とともに、川添氏はサイバー演習の必要性も訴えている。「攻撃者に本気で狙われたら、いくら防御しても完全には防げない。インシデントは起きるからこそサイバー演習は必要」という考えから、同社では毎年サイバー演習を実施している。

 「2017年は標的型攻撃メールにより個人情報30万件が漏えい、そのうち、ヘルスデータが8万件含まれるというシナリオで演習を実施し、マネジメントのリアクションとビジネスへのインパクトを重点的に分析した」(川添氏)

 今回のサイバー演習で同社は、初動対応でシステムを止める決断に挑戦した。原因究明とマルウェアの駆除が終わるまで、外部へのWebアクセスやメールの送信、ファイルサーバへのアクセスを遮断する提案をしたのだ。ここでマネジメントがどう決断するかを見たのだが、川添氏は結果について「机上では把握できていなかった多くの課題を演習によって認識することができた」と評した。次回の演習に向けた一番の課題は、ビジネスへの影響範囲の分析を、危機発生時にどこまで詳細にまとめる体制ができているかという点だという。

 また、総合的な演習を1日かけて行うのは非効率だという課題も浮上したため、2018年は、1つのセグメントを深堀りした演習を複数の日程で実施する予定だという。演習を実施して、課題を抽出することで「マネジメントとのタッチポイントが増える」と川添氏。その意味でも、サイバー演習は“次につながる”と感じている。

 こうした取り組みは、結果ありきではなく、「まず取り組んでみることが重要だ」と川添氏は強調する。

 「サイバー演習もインシデントレスポンスプロセスも、初めから結果を出そうとするのではなく、まずはやってみること。トライアンドエラーの精神で取り組むことで、ユーザーの賛同と経営層の関与が得られると実感した。

 CSIRTの取り組みは、ログ解析など技術面にスポットが当たりがちだが、ソフト面も重要。ポリシーを作成し、サイバー演習を全社で実施して、経営層の参加意識も高めていく。テクノロジーに頼りすぎず、ガバナンス強化や教育啓もうで情報セキュリティ力を強化することが、CSIRT、ひいてはインシデントレスポンスの最終形だと思う」

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ