ESET/マルウェア情報局

インシデント発生を前提に対策を講じる「インシデントレスポンス」

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「インシデント発生を前提とした「インシデントレスポンス」とは?」を再編集したものです。

 どんなに万全なセキュリティ対策を施していても、一度サイバー攻撃のターゲットになるとこれを完全に防ぐことは難しい。そこで注目されてきているのが、インシデントは発生するものという前提で対策を講じる、「インシデントレスポンス」だ。どのような経緯でこのインシデントレスポンスが注目されるようになったのか、そして企業に求められるインシデントレスポンスのあり方について解説していく。

インシデントレスポンスにおける「インシデント」とは?

 インシデントレスポンスとは、端的に言えばインシデント発生後の事後対応のことだ。情報セキュリティ分野においてインシデントという言葉は、もともと「事故などの危機が発生するおそれのある状態」という意味がある。インシデントに似た用語として、アクシデントという用語があるが、アクシデントには「偶発的・突発的な事故」という意味合いが強い。その一方で、インシデントは偶発的・突発的という意味を含まない、必然性の高い事故、意図的な事故を表す。

 企業の情報システムの進化と同様にサイバー攻撃の手法も複雑化・多様化し、その結果として引き起こされるセキュリティ事故もさまざまとなっている。悪意のある第三者からの攻撃もあれば、内部犯行もあり得る。このような背景から、セキュリティ事故を広く包括的に表す用語として、インシデントという言葉が使われるようになったと思われる。

 近年増加傾向にある標的型攻撃のターゲットになると、攻撃が執拗に繰り返されることになり、完全に防ぐことは極めて難しいとされる。だからといって外部からの攻撃にばかり目を向けていると、内部からの犯行を許すことになるかもしれない。近年では、セキュリティ対策の強化に力を注ぐ大企業を直接的に狙わず、取引先の中小企業を経由するサイバー攻撃も増えてきている。この変化が意味するのは、今やあらゆる企業・組織がサイバー攻撃のターゲットになる可能性があるということだ。セキュリティインシデントはいずれ起こるという前提で、被害の拡大を防ぐための事後対応であるインシデントレスポンスに注目が集まっているのだ。

インシデント、8つの具体例

 それでは、インシデントには具体的にどのような種類があるのだろうか。具体的な分類については、インシデント情報の収集・対応支援を行なう社団法人JPCERT/CCが、8つに分類しているので、そちらを参考に説明する。

 - フィッシングサイト

 利用者のIDとパスワード、クレジット番号などの重要な情報の窃取を目的とするウェブサイトを用いた手法。「パスワード変更のお願い」などの件名でメールをユーザーに送信され、メールの本文中にあるURLをクリックすると、実在する金融機関とそっくりのウェブサイトが表示される。このウェブサイトをフィッシングサイトといい、指示に従ってIDやパスワードなどを入力すると、そのまま情報が奪われてしまうことになる。

 - ウェブサイト改ざん

 不正にウェブサイトの内容が書き換えられ、コンテンツの内容が正しいものではなくなったり、不正なプログラムが埋め込まれたりする。以前は政治的主張などのために改ざんされることも多かったが、最近ではサイバー攻撃のツールとして利用するための改ざんが主になっている。例えば、管理者の知らぬ間にスクリプトが埋め込まれ、そのスクリプトをきっかけにマルウェアをダウンロードさせる、といった手口がある。

 - マルウェアサイト

 閲覧するだけでパソコンやスマートフォンなどの情報機器がマルウェアに感染してしまうサイトや、マルウェアそのものを公開しているサイトのことをいう。近年では、攻撃対象のユーザーがよくアクセスするサイトにマルウェアを潜ませておくなど、水飲み場攻撃を目的にマルウェアサイトの手法がとられることもある。

 - スキャン

 スキャンとは、攻撃対象のシステムに存在するセキュリティホールや、攻撃対象そのものを探索する行為のことをいう。なお、マルウェアなどによる攻撃の試みもスキャンに含まれる。

 - DoS攻撃/DDoS攻撃

 DoS攻撃DDoS攻撃とは、攻撃対象となるシステムやサーバーに大量のデータを送り付け、サービスを利用不能な状態にする攻撃のことだ。従量課金制のクラウドサービスがDoS攻撃やDDoS攻撃受けると、莫大な金銭被害に発展する可能性もある。

 - 制御システム関連インシデント

 インターネットで制御可能なプラントなどのシステムに関連するインシデントのこと。インシデント発生が大規模被害につながりやすく、サイバーテロが発生するとこういったインシデントに対するリスクが高まるといえる。

 - 標的型攻撃

 特定の企業やシステムを標的にする攻撃のことで、近年増加傾向にある。一度標的にされてしまうと、攻撃に成功するまでさまざまな方法が試みられる可能性がある。

 - その他

 上記のいずれにも属さないインシデントのことで、脆弱性をついたシステムへの不正侵入や、ブルートフォース攻撃が含まれる。

インシデントレスポンスの位置づけ

 インシデントレスポンスは、あくまでインシデントが発生した時の直接的な対応にすぎない。インシデントの発生から解決までの一連の処理にあたるのが「インシデントハンドリング」だ。インシデントハンドリングは、インシデントの発生を検知することから始まる。インシデントを早期に発見できなければ、被害が拡大しかねない。日ごろからログの分析を行ない、攻撃の兆候を早期に見抜く力が求められる。このような背景から、SOC(Security Operation Center)を設置し、インシデントの発生を監視・分析する企業も増えてきている。

 インシデントの検知後は、対応すべきインシデントであるかを判断するための「トリアージ」を行なう。大規模なインシデントであれば、インシデントに優先順位をつけて適切な処置をしなければならない。そもそも組織的な対応が不要な、軽微なインシデントの場合もあるかもしれない。冷静かつ確実なインシデント対応をするために、トリアージは重要なプロセスとなるのだ。

 検知からトリアージを経て、実際にインシデントへの対応にあたるインシデントレスポンスを進めていくことになる。インシデントレスポンスでは、インシデントを分析し計画的に適切な対応をとらなければならない。必要に応じて経営層やIT部門と連携しながら、インシデントレスポンスを実行に移すことが求められる。日ごろからインシデントの発生に備えて情報収集や訓練を実施しておかねばならない。また、インシデントレスポンスへの対応過程で、メディアや消費者に向けたプレスリリース、あるいは株主への説明資料の作成なども検討する必要がある。対応を誤ると社会的な信頼を損なう恐れもあるため、インシデントレスポンスにおける重要な対応の一つと考えるべきだろう。

インシデントレスポンスを組織的に強化するために

 インシデントレスポンスを組織的に強化するために注目されているのが、CSIRT(Computer Security Incident Response Team)SOC(Security Operation Center)だ。

 - CSIRT

 インシデント発生時にインシデントレスポンスを主体的に担うチームのこと。一般的には、インシデントマネジメントを全般的に担当し、インシデントレスポンスだけではなく、情報収集やインシデントハンドリングマニュアルの作成などを担う。

 - SOC

 ファイアウォールやネットワーク機器、アプリケーションなどのログを監視・分析するとともに、インシデントの発見を担う運営組織のこと。巧妙化するインシデントの兆候を見抜くためには、高いセキュリティスキルが求められる。こうした背景から「セキュリティ監視サービス」をはじめ、SOCをアウトソーシングサービスとして展開する事業者も増えており、セキュリティ人材を確保することが難しい中小企業などで利用されはじめている。

 インシデントレスポンスを組織的に実行するうえで重要な役割を果たすことになるCSIRTとSOCだが、日々の業務の中で、インシデントの発生前、発生時、発生後それぞれどのような役割を果たすことになるのだろうか。

 - インシデント発生前

 インシデントに関する情報の収集と、企業のリスク分析を進めて脆弱性に対処するなど、可能な限りインシデントの発生リスクを最小化する活動が重要となる。その際、CSIRTがインシデントマネジメントを主導しながらも、SOCと連携することが求められる。SOCと密接なコミュニケーションがとれていれば、迅速なインシデントレスポンスが可能となる。CSIRTとSOCは別々の組織として区別されがちだが、事態の収拾に向けてベクトルを合わせ、緊密に連携していくことが求められる。

 さらに、インシデント発生前の段階では、必要に応じて従業員への情報共有や教育を行なう必要もある。従業員教育には、内部犯行によるインシデントの発生を抑止するという効果もあるため、CSIRTも積極的に関与しながら従業員教育を進めることが求められる。インシデントレスポンスを迅速化するため、インシデントハンドリングマニュアルの整備もCSIRTの重要な任務の一つとなる。

 - インシデント発生時

 インシデントの発生時にはCSIRTが主導して対応しなければならない。事前に準備したインシデントハンドリングマニュアルを確認しながら、被害を最小化し、速やかに復旧を推進していく。IT部門や経営層など、関連する部署と連携しながら、ハードウェアやソフトウェアに対する必要な措置を行なう。また、トリアージ*1を前提とした対応計画に基づき、発生したインシデントから被害範囲や侵入経路を特定し、復旧に向けた対応を迅速に行うことが求められる。

 *1 もともとは大事故や災害によって多数の傷病者が出ている場合、患者の重症度に基づいて優先順位を判断し、治療に当たることを指す。ここではインシデントの緊急度や影響度に応じて対応する優先順位つけることを指す。

 - インシデント発生後

 インシデントの発生後は、再発防止策を立案して実行計画に織り込んでいくことになる。インシデントの分析結果を参考にしながら、必要なセキュリティ対策も検討すべきだろう。また、インシデントレスポンスの対応プロセスに問題があるようであれば、整備されたマニュアルを再度見直していくことになる。要するに、発生したインシデントを教訓にPDCAサイクルを回すことで、以降のインシデントに対する組織的な対応力の向上を目指していくのだ。

さいごに

 近年の多様化・巧妙化するサイバー攻撃に対し、インシデントの発生を完全に防ぐことは難しくなってきている。そのため、セキュリティ対策も、一つでも突破口を作れば成功となる攻撃側が圧倒的優位な立場であるという前提に立った対応に変化しつつある。不利な状況となる防御側は、侵入対策だけでなく侵入された場合に備え、被害の最小化と迅速な復旧までを考慮せざるを得なくなっているのだ。

 残念ながら今後も、サイバー攻撃の勢いが落ち着く気配はない。起こりうるインシデントに適切に向き合い、粛々と対策を進めておくことが求められている。時代が変わればビジネスのあり方も変わるように、セキュリティ対策も変わっていくことを認識し、時代に即した対策を講じてほしい。