4.タダで始めるインシデント対策
前回、前々回と自社や委託先におけるセキュリティ体制づくりの重要性について述べてきました。今回はその中でもインシデント対応組織の強化について取り上げたいと思います。
サイバーセキュリティトレンド
- 2017年11月07日公開
はじめに
今回は先日テレビで見たトーストに雪見だいふくを乗せる、という食べかたを紹介します。
トーストにチーズと雪見だいふくを乗せて焼くだけ。2口目ぐらいまではおいしい。
すみません。ブログっぽい記事を意識しすぎて関係ない写真を載せてしまいました。
やり直します。
前回、前々回と自社や委託先におけるセキュリティ体制づくりの重要性について述べてきました。今回はその中でもインシデント対応組織の強化について取り上げたいと思います。(急にまじめ)
近年のサイバー攻撃の増加や高度化に伴い、「CSIRT(Computer Security Incident Response Team、シーサート)」と呼ばれるインシデント対応組織を設置し組織的なセキュリティ対策を講じる企業が増加しています。日本シーサート協議会の会員数は2017年9月1日現在で250チームに達し、また各種メディアや講演会などにおいて各社CSIRTの取り組みや成果が発表されるなど、社会的な認知度も高まりつつあります。
・技術者がいない、セキュリティ機器も未導入
・対策強化のための予算がない
といったものが多いようです。確かに上記のような状況で担当に任命されたら途方に暮れてしまうかもしれません。そこで今回は「タダで始めるインシデント対策」と題して、このような状況でも始められるインシデント対策をご紹介したいと思います。
CSIRTあるある「オーバースペックな手順書作りがち」
CSIRTを構築する際にまず始める作業のひとつとして、手順書や帳票、規約などのドキュメントを作成するケースが多く見受けられます。組織的な対応を行うためこれらのドキュメントを作成することは非常に重要です。ですが経験が浅いメンバーが多い場合はネットで公開されるガイドラインやサンプルをほぼそのまま取り込んでしまい、結果自組織の実力に反して過剰なドキュメントを作成してしまうケースも少なくありません。
要員スキルや稼動量に反して膨大なチェックリストや高度な技術を要する作業手順、または逆にあいまいすぎて何をしてよいか分からない作業手順は実効性がなく、誰もみないドキュメントに成り下がってしまいます。
同様に、高額なセキュリティ機器を導入したものの技術や要員の不足により機能を十分に使いこなせず費用対効果がだせていないというケースもあるでしょう。実は本ブログの冒頭に載せたトーストもテレビで見たときに、これ絶対おいしい、毎週食べたい、と思い込み材料をたくさん買い込んだものの初日で飽きてしまいました。
これも自身に合うかどうかを確認する前にモノだけ入れてしまうという点で同じ事例と言えます。(食材はそれぞれバラバラにおいしくいただきました。)
やったことを記録。これだけ
ではこのような中で、今すぐできるインシデント対策とは何でしょうか。
上記見出しで言い切ってしまいましたが、それは「やったことを記録する」ということです。
インシデント対応のガイドラインでも対応記録を取るという作業はよく出てきますが、実際にこの記録をきちんととれている企業はそれほど多くないと考えています。
記録をとるというのは、単に決められたフォーマットに沿って報告書を記載するということではありません。現在自社でできること、できないことを明らかにすることです。
前々回のブログで「敵を知り、自らを知ることが重要」と述べましたが、記録をとることはこの中の「自らを知る」という点で非常に重要な役割を担います。具体的には、記録をとることで以下のようなメリットが得られます。
・対策強化の根拠となる
例えば「セキュリティ強化のため自社では何が必要か」と聞かれたとき何と答えますか?セキュリティ機器の導入、技術者の育成、社員のセキュリティ教育、いろいろな意見がでると思いますが、何から手をつけるべきでしょうか?インシデント対応結果を記録することで、何が一番自社に足りないか(何ができていないか)が見えてきます。
すなわち、優先的に実施する対策の根拠となります。
対策強化は上記のように費用がかかるものばかりではありません、帳票や運用フローの改善などすぐに着手できるものも多くあります。前述したように現在の作業手順がオーバースペックなものである場合は実際にこの手順にそってできたこと、できなかったことを記録することで身の丈にあったドキュメントに改善することも可能となります。
・効果予測が可能となる。
次に各セキュリティ対策でどのような効果が得られるかを予測することが可能となります。現在セキュリティ機器は多岐にわたり、さまざまなセキュリティベンダが製品を紹介してきます。セキュリティ製品のカタログは抽象的な記述が多く、実際自社にどの程度効果があるか机上で予測することは困難です。だからといって実機で検証するにはコストや稼動が必要となります。
そのような場合過去のインシデント対応の記録があれば、その製品を導入した際の効果予測がある程度可能になります。例えば、マルウェア感染について事象の検知よりも原因分析に多くの稼動がかかっている場合は、検知力の優れたアンチウィルス製品よりも動作ログの収集が充実した製品を導入する方がより高い効果が得られるでしょう。このように実績に基づいた効果予測ができるようになります。
記録をとる際に考慮すべきポイント
記録を効果的に活用できるようにするため、記録をとる際は以下のような点を考慮するとよいでしょう。
・5w1hで記述
いつ(When)、どこで(Where)、だれが(Who)、何を(What)、なぜ(Why)、どのように(How)、したのかを記録。
・証跡残す
主観的な記録とならないよう、後に第三者の確認が可能となるように関連するメールやログ等のデータもあわせて
残すようにします
・事実と推測を区別する
・フェーズに分けて記載
インシデントの検知、暫定対処、原因分析、復旧/対処、再発防止などフェーズにわけて記載すると、あとで振り返りやすくなります。
・対応が終わったら振り返り、反省点を記録
・わからなかったこと、できなかったことも記録
最後にもう一つ重要なことを。情報収集は社内外のさまざまな人の協力が必要です。
継続的に気持ちよく協力してもらうため、お礼は欠かさないようにしましょう。
一番下のやつがひどい。お礼を言うときはきちんと気持ちを込めましょう。
おわりに
NTTテクノクロス株式会社
クラウド&セキュリティ事業部
第一事業ユニット