フォレンジックから経営層への状況説明まで GSXのインシデント包括支援サービスとはセキュリティインシデントの「駆け込み寺」に

大規模なマルウェア感染被害に遭い、「何から」「どう対応すればいいのか」戸惑う企業も多い。そんなときに頼りにしたいのが、GSXの緊急対応サービスだ。

» 2021年02月25日 10時00分 公開
[PR/ITmedia]
PR

 新型コロナウイルス感染症の影響によりテレワークが促進され、ビジネスにおけるデジタル領域は拡大した。それに伴い、セキュリティインシデントがビジネスに及ぼす影響も増大している。2020年に流行したマルウェア「Emotet」のような標的型攻撃への対応を一歩でも誤れば、情報漏えいにより社会的信用を失い、企業の存続を揺るがす大きな事態に発展することも少なくない。

GSX 執行役員 教育事業本部本部長 サイバーセキュリティ研究所所長 鈴木貴志氏

 グローバルセキュリティエキスパート(以下、GSX)の鈴木貴志氏(執行役員 教育事業本部本部長 サイバーセキュリティ研究所所長)は、「これまでの想定を超えるサイバー攻撃が増加して企業の手に余るケースが珍しくなくなってきた」と語る。

 「複数の拠点で20台以上のPCが同時多発的にEmotetに感染して手が回らなくなったり、『Windows Server』のデータが軒並み暗号化されて業務システムやファイルサーバ、メールサーバ、入退室管理システムなどが利用できなくなったりして相談を受けたことがある」(鈴木氏)

幅広い支援を提供 インシデント発生後の「駆け込み寺」サービスとは

 大規模なセキュリティインシデントは業務に甚大な被害を与える。生産管理システムや調達システムなど企業の根幹を支えるシステムが被害を受けた結果、工場の操業を停止せざるを得なくなり復旧に数カ月を要することもある。

 「震災や水害など自然災害を想定した事前対策は一般的だ。サイバー攻撃によるシステムの停止はなかなか想定されていないため、被害に遭って初めて『何をすればいいか』を考えるケースは少なくない」(鈴木氏)

 サイバー攻撃への事前対策はもちろん重要だが、セキュリティインシデント発生時に「どのように動いて事業を継続させるか」という観点も同じく重要だ。インシデントに向けてCSIRTを設置する企業もあるが、全ての企業にこうした体力があるわけではない。

 GSXの「緊急対応サービス」は、専門的な知見や経験を基にセキュリティインシデントにおける原因分析や被害範囲の特定など幅広い支援を提供する。一言で言えば、サイバー事案で困ったときの「駆け込み寺」だ。

 緊急対応サービスには、「怪しいファイルを開きマルウェアに感染した」「Webサーバがサイバー攻撃を受けた」「データを改ざんされた」などから、企業から盗み出した機密情報を公開すると脅迫して金銭を要求する「二重の脅迫」に関する相談まで、マルウェア関連の問い合わせが幅広く寄せられる。

 サイバー攻撃以外の問い合わせには、情報漏えいや情報持ち出しなどの内部不正調査の他、「誤って消去した重要なデータを復旧してほしい」「退職した元従業員しかパスワードを知らないファイルを解除してほしい」など、セキュリティ関連の日常的な相談も寄せられる。

 鈴木氏によると、緊急対応サービスの強みは柔軟な対応や料金体系にある。保守契約やチケット制を導入するセキュリティインシデント対応サービスも少なくない。「サービスは自社で購入した製品のみ」というケースもある。

 緊急対応サービスは、他社で購入した製品でも利用できる。その都度対応した料金を支払うシステムのため、本当に困ったタイミングで利用するだけでよい。GSXと事前にNDA(秘密保持契約)を締結しておけば、スピーディーなインシデント対応が実現する。

 近年、海外に構えた工場や支社でセキュリティインシデントが発生するケースは珍しくないが、緊急対応サービスは現地に調査専用ツールを送付してリモートで調査する仕組みを備える。この仕組みはテレワーク環境の調査や対応にも利用可能だ。海外に限らず、現地での調査や対応は日程や時間帯を指定できる。

技術調査以外も充実したサポート 社内外のコミュニケーションを支援

GSX 教育事業本部副本部長 セキュリティソリューション事業部事業部長 脇 智己氏

 緊急対応やインシデントレスポンスは、感染端末をネットワークから切り離した後、PCやサーバ、ログの調査を通じて原因を究明するいわゆる「フォレンジック」のイメージが先行するだろう。GSXの脇 智己氏(教育事業本部副本部長 セキュリティソリューション事業部事業部長)によると、緊急対応サービスは技術調査以外のさまざまな側面でインシデント対応をサポートすることも大きな特長だ。

 緊急対応サービスは、顧客対応やプレスリリースの文面作成、コンタクトセンターの設置、FAQ、現場担当者から経営層への説明支援など、企業内外のインシデントハンドリングに対応する。鈴木氏は、インシデントハンドリングのサービス内容について「現場は当面の対応で手が回らず、経営層向けの説明に慣れているわけでもない。現場担当者の代わりに説明資料や報告書を作成したり、時には役員会に参加してインシデント状況を説明したりする」と語る。

EDRでインシデントの根本原因を調査 本当の「復旧宣言」を可能に

 セキュリティインシデント対応において難しいのは「復旧」と「原因究明」のバランスだ。鈴木氏によると、顧客はシステムの復旧を最優先で考えるが、早期復旧を優先するあまり必要以上にデータを消去してしまい、原因調査の際に証拠を発見できないケースは少なくない。正確な原因調査ができなければ、影響範囲の特定や再発防止策の策定も困難だ。

 GSXは、こうした課題に対応するためEDR(Endpoint Detection and Response)製品による全台調査サービスも備える。

 「マネジメントサービスを通して培ったノウハウをベースに、全台にEDRのエージェントを導入して挙動を収集し、可視化する。不審な挙動をする端末があるかどうか、アンチウイルスソフトで検知できなかった不審な振る舞いをするファイルがないかどうかを調査する」(脇氏)

 全台調査サービスを実施した結果、復旧対応の最前線に立つ情報システム部の端末から外部との不正な通信が上がり、マルウェア感染が判明したケースがあったという。全台を洗いざらい「もぐらたたき」することで、安全を確認した上で「復旧宣言」を出せる。インシデント対応のために期間を区切ってEDRを導入したものの、身をもってエンドポイントの挙動が可視化されることの有用性を実感して、恒常的な対策として取り入れた企業もある。

インシデントの苦い経験を次に生かす 「モノ」と「ヒト」の両面で企業を支援

 GSXは、緊急対応サービス以外にもインシデントの再発防止に向けた根本的な対策の提案が強みだ。セキュリティ製品の構築や導入支援に加えてセキュリティコンサル、従業員研修など、「モノ」と「ヒト」の両面で支援する。

 「製品だけではセキュリティをカバーできないのも事実だ。不審なメールへの対応を学ぶ従業員教育や、セキュリティルールを定めるコンサルティングなどの要望を受けることも少なくない。テレワークが広がったことで『今の働き方に合致したセキュリティルールの策定を支援してほしい』という要望も増えている」(鈴木氏)

 GSXは、標的型攻撃メール訓練や情報システム部向けの実践トレーニング、脆弱(ぜいじゃく)性診断、セキュリティポリシーに関するコンサルティングなど、幅広い分野にまたがるメニューを提供する。経営層向けにセキュリティ投資の必要性を説明したり教育したりすることもある。

 インシデントを自社の強靱(きょうじん)化につなげられるかどうかはその後の対応次第だ。心強いパートナーと共に、スピーディーなインシデントレスポンスを実現する組織を構築していきたい。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:グローバルセキュリティエキスパート株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2021年3月31日

関連リンク