インシデント対応の流れと
平時の取り組み

皆さんの中にも、ランサムウェアやEmotet、そして情報漏えいなどのインシデント対応を経験したことがある方がいるのではないだろうか。筆者自身も標的型攻撃やランサムウェアへの対応を経験してきたが、インシデント発生時にどのように対応すれば良いのかなどをあらかじめ把握しておくことが被害の拡大を防ぐためにも重要だと感じている。今回は、これまでにインシデント対応未経験の方向けに、基本的な対応の流れや平時の取り組みについて説明する。経験者の方も、復習の意味で目を通していただきたい。

インシデント対応の基本的な流れ

 インシデント対応は大きく五つのフローに分けられる。(図1)

①インシデントの検知・受付
 インシデントは、UTM※1やファイアウォール、EPP※2/EDR※3などセキュリティ対策製品で検知したり、不審な通信やメール・電話などを受けたとする外部からの連絡を受け付けたりすることで把握する。

②トリアージ
 検知・受付の後は、その内容の正否や緊急度合いなどを確認する。ネットワーク機器からのアラートであれば、不正アクセス検知以外に故障の可能性も考えられる。EPP/EDRからのアラートであれば、マルウェア検知以外に正常なファイルをマルウェアと誤って検知した可能性も考えられる。このようにさまざまな可能性が考えられるため、その正否を確認することは重要だ。併せて、検知した内容がセキュリティに関するものの場合は、緊急度を確認する必要がある。「社外向けサービスが侵害を受けた」「ランサムウェア感染の影響で不正な外部通信を検知している」など緊急度が高いものや、「大量のスパムメールが送られてきている」「検知したマルウェアは既知のものであり最新のパターンファイルを適用したEPPであれば検知・駆除できる」など緊急度が低いものもある。この緊急度で次のフローで何をするかが変わってくる。

③インシデント対応
 緊急度が高い場合、正確な事象(攻撃元、インシデント発生日時、攻撃手法など)や、影響範囲(侵害を受けているシステムやPC、漏えいした情報、感染拡大の状況など)を把握し、暫定対策(感染拡大阻止、情報窃取の阻止、取引先や顧客への影響拡大の抑止など)を検討する。そのためには、「コンピューター・フォレンジック」と呼ばれる高度な調査により、侵入経路、影響範囲、漏えいした情報の特定、証拠保全などを行うことが重要だ。また、インシデント対応プロセスを取りまとめ、管理するPMO※4や、意思決定を行う責任者も必要となる。対応を推進するために対策本部を設置し、定期的に情報共有、指示、進捗管理、意思決定などを行う。

 それから、インシデント対応費用の確保や外部に向けた対応も忘れないようにしてほしい。外部への対応で必要なものとしては、監督官庁や警察への連絡、ホームページやメールなどによる社外への状況報告、社会への影響が大きい場合は記者会見などのマスコミ対応がある。これらを実施するためには、広報部門や社長室などを巻き込んで対応に当たることが必要だ。

④レポーティング
 インシデント対応状況については定期的に経営層や従業員にも共有する。そして、外部への最終報告や再発防止、ノウハウ蓄積のために文書にまとめておくことも重要だ。

⑤再発防止策の検討
 検討に当たり、まずは詳細を把握する。

<被害の詳細>
 下記内容を把握することで、おのずと暫定対策や本対策の方向性が見えてくる。
・インシデント発生原因
・脅威の潜伏開始時期
・攻撃開始時期
・被害範囲
・被害拡大の原因 など

<インシデント対応の詳細>
 時系列に実施した対応を並べることで、どこに時間を要したかが明確になる。インシデント対応体制や意思決定プロセスの準備不足、連絡網の整理不足、支援してくれるITベンダーの有無など、さまざまな原因があらわになるはずだ。

 弱点を洗い出し、プロセス、人・組織、ツール・システムの観点で分析し見直していくことで、再発防止策を網羅的に検討できるだろう。インシデント対応の流れの詳細については、一般社団法人 JPCERT コーディネーションセンター「インシデントハンドリングマニュアル」※5も参考にしてほしい。

図1:インシデント対応の流れ

経営層とのコミュニケーションの重要性

 再発防止策を検討すると、平時において必要となる予算確保とそのための説明、インシデント対応時の迅速な意思決定といったように、経営層の理解と協力が欠かせないことが分かる。そのため、セキュリティ活動について日頃から経営層とコミュニケーションをとることが重要だ。参考までに経営層向けの月次報告の項目例を挙げておく。(図2)

 詳細については、特定非営利活動法人 日本ネットワークセキュリティ協会「JNSA全国セミナー向け MY CISOハンドブック・テンプレート Verα00」※6を参照いただくとして、情報セキュリティ関係部門の方々には、ぜひ、組織全体で情報を共有し、セキュリティ活動に関して協力を得られるように推進していただきたい。

図2:経営層への月次報告内容の例

※引用元:特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
「JNSA全国セミナー向け MY CISOハンドブック・テンプレート Ver α00」



※1 Unified Threat Management:複数の異なるセキュリティ機能を一つのハードウェアに統合し、統合脅威管理を行う。
※2 Endpoint Protection Platform:マルウェアの検知および感染防止を支援。
※3 Endpoint Detection and Response:エンドポイントのセキュリティ脅威を検知し、対応を支援。
※4 Project Management Office:企業における各プロジェクトのマネジメントを支援する部門。
※5 一般社団法人 JPCERT コーディネーションセンター「インシデントハンドリングマニュアル」
https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20211130.pdf
※6 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)「JNSA全国セミナー向け MY CISOハンドブック・テンプレート Ver α00」
https://www.jnsa.org/result/2019/act_ciso/data/myciso-handbook_v0.pdf