逆に、対処する中で推奨されない行動もある。アンチウイルスソフトなどによる「フルスキャン」だ。
「のちのち調査するつもりなら、フルスキャンはおすすめできません」(秋良さん)
これも状況次第のため絶対にやってはいけないとまではいえない。しかし、アンチウイルスソフトであればリアルタイムにウイルスのスキャンをやっていると考えられるため、改めてフルスキャンしても意味がない可能性もあるという。
フルスキャンを実行すると、大量のログデータが発生して事後のログ調査が大変になったり、ディスクへの書き込みが発生してデータの復元に支障が出たりする可能性もある。
侵入段階や偵察段階で対処できず、暗号化を許してしまった場合は、もう「業務継続のために、いかにデータを復元するか」という方向性になっていく。復元とは、暗号化を解くのではなく、バックアップなどからデータを取り出すという意味になる。
「捜査機関などが復号のためのキーを手に入れられれば元に戻せるかもしれないですが、そういうケースは復号できるとして1、2年先の話になるので、現実的ではないかなと思います」(秋良さん)
データの復元とは別に、再度攻撃者が侵入しないよう攻撃者を排除し、セキュリティホールをつぶす作業も並行して実施することになる。もう一つ必要なのが、関係者などに被害状況を伝えるための調査だ。
これらの作業は、インシデント発生時に経営陣と専門家などで構成される“緊急対策チーム”などが主に対応する。
CIO(最高情報責任者)やCISO(最高情報セキュリティ責任者)など、ある程度情報セキュリティに関する知識を持った人員が経営層にいるとスムーズに対処しやすいという。大企業の場合はCSIRT(シーサート:コンピュータセキュリティインシデント対応チーム)という組織を持っている場合もある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR