仕組みを整えておく役立つ手引を発行
セキュリティインシデント(事故)が発生した際、誰がどのように、何から行えばよいのか?
これを理解してあらかじめ対応する仕組みを整えているのといないのとでは、同じ事象の問題が起きたとしても受ける被害の大きさは全く異なる。特に、サイバー攻撃を受けた際は、より迅速な対応が必要である。
独立行政法人情報処理推進機構(IPA)では「中小企業のためのセキュリティインシデント対応の手引き」(以下、手引き)を発行している。今回は、手引きを基に、インシデント発生時の対応のポイントを三つの段階に分けて解説する。
①検知・初動対応
インシデントが疑われる兆候や実際の発生を検知したり、外部からの通報を受けたりした場合は、速やかに情報セキュリティ責任者や経営者に報告する。経営者は、インシデントが事業や顧客に与える影響を踏まえ、速やかにインシデント対応のための体制を立ち上げ、対応方針を指示する。
初動対応においては、被害の拡大防止を意識することが重要である。対象となる情報が外部からアクセスできる状態にある場合や、被害が広がる可能性がある場合は、ネットワークの遮断、情報や対象機器の隔離、システムやサービスの停止を行う。ただし、対象機器の電源を切るなどの不用意な操作でシステム上に残された記録を消さないように気を付ける必要がある。
被害拡大を防ぐ再発防止策も検討
②報告・公表
インシデントの被害拡大を防ぐために、二次的な被害が想定される場合などは、本人にその事実を報告する。本人への報告が困難な場合や、インシデントの影響が広く一般に及ぶ場合は、状況をウェブサイトやメディアを通じて公表する。公表によって余計な被害の拡大を招かないよう、時期、内容、対象などは考慮する必要がある。また、被害が発生・拡大した場合には、専用の問い合わせ窓口を開設するなどして、その動向を速やかに把握し対応する。
インシデント対応完了後は、被害者や影響を及ぼした取引先など関係者に対して、インシデントの対応状況や再発防止策などについて報告する。また、個人情報やマイナンバーの漏えいの場合は個人情報保護委員会、業法などで求められる場合は所管の省庁、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合はIPAへ届け出を行う。
③復旧・再発防止
インシデントからの復旧に当たって、原因を調査し、対応を検討する際は、発覚・発生日時や表面化している事象・被害・影響、発覚から現時点までの時系列での対応経過、現時点で想定される原因などの情報を整理しておく。原因に応じて、修正プログラムの適用、設定変更、機器の入れ替え、データの復元など必要な対応を行うが、自社で調査や対応が難しい場合は、IT製品のメーカー、保守ベンダーなどの外部専門組織や公的機関の相談窓口などに支援や助言を依頼する。
また、訴訟対応が見込まれる場合は、調査において事実関係を裏付ける情報や証拠を保全し、必要に応じてフォレンジック調査(パソコンのハードディスク、メモリ内データ、サーバーやネットワーク機器のログなどの調査)を行う。インシデント対応後は、停止したシステムやサービスを復旧し、経営者に対応結果を報告する。さらに、インシデントを再発させないために根本原因を分析し、新たな技術的対策の導入、ルールの策定、教育の徹底、体制整備、運用の改善など、抜本的な再発防止策を検討して実施する。
手引きでは、インシデント対応に役立つ情報をまとめている。手順書作成などの参考にしていただきたい。
「中小企業のためのセキュリティインシデント対応の手引き」についてはこちら
(独立行政法人情報処理推進機構・江島将和)
