インシデント発生、対応に“成功”する企業と“失敗”する企業は何が違うのか？：Cybersecurity Dive

最近ランサムウェア被害に関する報告が頻繁に挙がっている。セキュリティインシデントにうまく対処できている企業とできていない企業は何が違うのか。

[Sue Poremba，Cybersecurity Dive]

　いつかはどの組織も何らかのセキュリティインシデントに直面し、対処しなければならない。

　このとき、全員が自らの役割を果たし、データ侵害に対応する計画の中で何度も練習した通りに攻撃後の対応が完璧に実行されるのが理想だ。しかし多くの場合、インシデント対応はサッカー場に若い子どもたちが集まった状態に似ている。全員がゴールを取り囲み、同時にボールを蹴ろうとするが、誰も成功しないのだ。

　それは校庭ではかわいらしく見えるが、セキュリティチームのこのような反応は、多額の罰金やビジネスと評判の損失、場合によっては従業員の解雇につながる。

　サイバー攻撃そのものを避けるのは困難だ。KPMGの調査によると、2021年には62％の企業がセキュリティインシデントやデータ侵害に対処している（注1）。最大の問題はインシデントそのものではなく、インシデント後、組織がどのように対応し、どのような出口にたどり着くかだ。

インシデント対応で最も重要なのは内外のコミュニケーションだ

　十分に準備された企業はデータ侵害が発生する前から、セキュリティやIT部門、法務、マーケティング、広報、人事などの代表者からなるインシデント対応チームを立ち上げている。

　適切に構成されていれば、このチームは十分な頻度で机上演習を実施しているため、全てのメンバーが何をすべきかを正確に把握している。そのためデータ侵害時にパニックに陥らず、訓練した通りに反応できる。

　コンサルティングファームBrunswick Groupのシボーン・ゴーマン氏は「データ侵害への技術的な対応はもちろん重要だが、侵害に対応するチームにとって最も重要なのはコミュニケーションである。チームの連携が適切に実施されているかどうかは、コミュニケーションの質に依存する」と話す。

　また、ゴーマン氏は「外部に何を公表し、何を公表しないかで、多くの法的問題が発生するだろう」とも述べている。

　よくあるのは、データ侵害に関する情報を過剰に共有してしまうことだ。インシデントの詳細が明らかでない初期段階で情報を過剰に公開すると、推測を招く。不正確な情報や誤解を招く情報の公開はさらなる混乱につながる。

　コミュニケーション戦略には複数の層がある。まずインシデント対応チーム内で始まり、それから全社に向けて、その後、顧客や第三者の契約業者、メディアなどに向けて情報を公開するとよいだろう。

“机上の空論”は硬直的であり、柔軟性に欠ける

　ヘルスケア事業を展開するCVS Healthのシニア・バイスプレジデント兼CISO（最高情報セキュリティ責任者）であるチャンドラ・マクマホン氏は「データ侵害に対応するためには、迅速さや柔軟性、拡張性が必要だ」と話す。

　インシデントに関するプレイブックはガードレールを提供する。だがそれだけでなく、侵害後の次の1時間、次の1日、そして次の1カ月に起こりうる事態に対応しつつ、対応を拡大する意欲が必要だ。

　データ侵害においては、ビジネスを継続させる最善の方法や身代金を支払うかどうかなど、多くの不確実性がある。インシデントの影響が完全に判明するまで、これらの決断を下すことは困難だ。

　Raytheon TechnologiesのCISOであるブラッド・マイオリーノ氏によると、多くの企業は美しいインシデント対応計画を持っている。文章もよく書かれ、詳細な情報が盛り込まれ、フローチャートも含まれていて、あらゆることをカバーしているように見える。しかし、実際にインシデントが発生すると、その計画は活用されるのだろうか。残念ながら多くの場合、答えは「いいえ」である。

　「それらの対応計画は机上の空論で、硬直的であり、柔軟性に欠ける」とマイオリーノ氏は言う。

外部へのインシデント報告の質が対応の明暗を分ける

　不確実性は、インシデント対応チームのコミュニケーションスタイルにも表れる。インシデント発生時、チームが最初にする決断は以下の2つだ。

• 企業は取締役会や顧客、メディアの誰に最初に知らせるべきか
• また、是正プロセスのどの時点で通知が実施されるべきか

　ゴーマン氏は「あまりにも早く外部に情報を公開し、曖昧な内容しか伝えられない場合、信頼を得ることは困難だ。同時にインシデントに関する完全な詳細を外部に報告することも難しい」と述べる。

　インシデントが発表されると、質問があらゆる方向から押し寄せてくる。これにどのように対応するかが、侵害に関する組織の認識証明になる。

　「把握した情報を企業が適切に処理できるかどうかが、サイバーインシデントへの対応の成功と失敗を分ける。うまく処理できれば、人々は『この企業は大丈夫だ。対応が手厚いし、信頼できる』と考える。反対にうまく処理できなければ、人々は『この企業はうまく対応できていない。質問に答えられていないから、きっと何が起こっているのか分かっていないのだろう』と考える」（ゴーマン氏）

インシデントに備えてチェックリストを作成せよ

　悪名高いサイバーインシデントの一つであるSolarWindsへのサイバー攻撃の後（注2）、同社は一定期間、自社の電子メールシステムを信用していなかった。

　サイバーセキュリティ事業を営むWhite Cloud Securityの理事長であり、情報通信技術専門家の国際団体であるISACAの理事でもあるロブ・クライド氏は「電子メールシステムを信用できなくなったことで、SolarWindsでは社内コミュニケーションシステムが使えなくなり、従業員は最新情報を手軽に把握する手段を失ってしまった」と話す。

　ヘルスケア事業を営むMedecisionでセキュリティを担当するバイスプレジデントであり、ISACAの理事長でもあるパム・ニグロ氏は「SolarWindsでは、サイバー攻撃がインフラストラクチャに及んでいるかどうか確認できなかったため、コミュニケーションを維持する方法について指示できなかった」と語る。

　プレイブックに従えば解決できたかもしれないが、より良い解決策は、対応が進行中の時に従うべきチェックリストをプレイブックに追加することだ。

　ISACAはランサムウェア対応のために、チェックリストを作成しており（注3）、これはあらゆるタイプのサイバーインシデントの指針として使用できる。

原因を解明する

　通信が成功し、システムが安全だと判断されるなど、最悪の事態がおさまったら、侵害の原因を解明し、他の潜在的な脆弱（ぜいじゃく）性が次の攻撃に利用されるリスクがないかどうかを確認する必要がある。

　マイオリーノ氏によると、適切な人材をチームに配置し、必要であれば外部から適切な人材を招くことがインシデント対応の鍵になる。

　これらの備えが、全国ニュースにおいて1行のみで発表される程度のデータ侵害になるか、CISOが転職先を探すような大惨事になるかの分かれ目になるだろう。

（注1）A triple threat across the Americas: KPMG 2022 Fraud Outlook（KPMG）
（注2）A conversation with SolarWinds’ CISO（Cybersecurity Dive）
（注3）Ransomware Incident Management（ISACA）

原文へのリンク