セキュリティ・インシデントは対応が重要
発生後の対応と事前の対策について
セキュリティ・インシデントには、事前に十分な対策が求められます。特に注意しておきたいのは、インシデント発生前の対策だけではなく、インシデント発生後の対応も事前に決めておく必要があるということです。それによって、万一インシデントが発生しても素早くスムーズに対応することができます。
この記事では、インシデント対応の重要性と、発生前・発生後の対策を紹介します。
セキュリティ・インシデント対応はなぜ重要なのか
セキュリティ・インシデントとは、企業のセキュリティ上の脅威となる事件や事故のことです。情報セキュリティインシデントとも言います。
セキュリティ・インシデントについて、詳しくは「セキュリティ・インシデントとは?事例を交えてご紹介」の記事を参考にしてください。
セキュリティ・インシデントの対応が重要な理由
セキュリティ・インシデントの対応は、企業にとって欠かせないものです。それには次のような理由があります。
- 情報漏えいや改ざんは、企業にとって大きな問題
企業に蓄積した情報は情報資産とも呼ばれ、情報そのものが価値を生むと考えられているほど重要なものです。そのため、セキュリティ・インシデントにより情報が漏えいしたり改ざんされたりすることは、企業にとって大きな問題となります。
情報資産については、「情報資産とはどこまで含む?適切な管理とセキュリティ対策とは」を参考にしてください。
- 顧客にも損害を与える
セキュリティ・インシデントの被害に遭うと、自社が損害を受けるだけでなく、情報が漏えいした顧客にも被害が及びます。それは、顧客が個人であるか法人であるかは関係ありません。
その場合、自社はセキュリティ・インシデントの被害者であるだけでなく、顧客に対する加害者として、賠償や謝罪を行う必要があります。
- 社会的な信用低下
セキュリティ・インシデントの被害に遭うことで、自社はセキュリティ対策の甘い企業、情報をきちんと扱っていない企業と見なされます。これは社会的信用の低下や顧客離れにつながり、信用回復には、長い時間が必要です。
- 原状回復が大変
被害を受けてからの原状回復には、被害に遭う前の対策よりも、ずっと大きなコストや手間、時間がかかります。
このため、セキュリティ・インシデントの発生をできるだけ抑えること、さらに発生したら速やかに対応して被害をできるだけ小さくすることが重要です。そのためには、事前の対策が求められます。
インシデントレスポンスとの違い
セキュリティ・インシデント対策と似たものに、「インシデントレスポンス」があります。インシデントレスポンスはインシデント発生後のフローを指したものです。
それに対して、セキュリティインシデント対策は、包括的にインシデント発生前の準備から発生後のフローまでを含みます。
インシデントレスポンスについては、詳しくは「インシデントレスポンスとは?重要性や対応フローについても紹介」を参考にしてください。
セキュリティ対策を行っていてもセキュリティ・インシデント対策は必要
不正アクセスや情報漏えいを防ぐため、セキュリティ対策を強化している企業はたくさんあります。しかし、それとは別にセキュリティインシデントの対策は必要です。
どれほど強固なセキュリティ対策を行っても、未知のマルウェアや新しい脆弱性はあとからも出てきますので、絶対に被害に遭わない対策というものはありません。
そのため、事前の対策として、セキュリティインシデントが発生したらどうすればいいのか、あらかじめ決めておくことが重要です。そうすることで、実際にセキュリティインシデントが発生した場合にも素早く対応でき、被害を最小限に抑えることができます。
セキュリティインシデント発生後の対応フロー
被害を最小限に抑えるためには、セキュリティインシデントが発生する前に、対応フローを作成する必要があります。
セキュリティ・インシデント発生後の一般的なフローは次のとおりです。ただし、インシデントの種類によっては異なる手順になったり、異なる作業が発生したりする場合もあります。
1.インシデントの検知
管理者の目視、システムのログチェック、検知ツールのアラートなどにより、異常な状態を検知します。
検知したら、当該部署や管理職など、社内の関係者と対策チームで情報共有を行います。
そのあとは事前に決めていたとおりに行動します。
2.ネットワークからの遮断
被害の拡大を防ぐため、被害に遭った端末を社内ネットワークから遮断します。PCならLANから切断し、サーバーなら停止します。
3.状況確認・原因分析
インシデントによる被害状況を確認したあと、インシデントのプロセスや原因を分析します。
4.復旧作業
原因分析が終わったら、原状復帰を行い、対策チームの管理者が確認します。
同時に、分析結果をもとにした再発防止策を用意しなければなりません。
5.報告、再発防止
被害状況、分析結果、再発防止策などの情報を社内の関係者に報告します。
6.社外への状況報告
セキュリティインシデントが発生したこと、解決したことを、Webサイトやプレスリリースなどで発表します。顧客には個別に報告した方がよいでしょう。
サイバー攻撃の被害は信用低下につながると考えがちですが、隠蔽する方がより信用を低下させます。何が起きてどう対処したのか、再発防止策はあるのかをきちんと説明しなくてはなりません。
セキュリティ・インシデントを起こさないための事前の対策
セキュリティインシデントが発生する前に、日ごろから次のような対策を行っておきましょう。事後の対応と事前の対策を合わせて、はじめて十分なセキュリティインシデント対策と言えます。
- セキュリティ体制の見直し、再編、指揮系統の確認
現在のセキュリティはどうなっているのか、冗長性は十分か、強化すべきところはないか、などを見直します。指揮系統をはっきりさせることも重要です。
- システムチェック、バックアップ
現在のシステムはどう構成されているかを確認します。正常な状態が分からないと、異常時に対応できません。定期的にバックアップを作成することも重要です。
- インシデント対策チームの編成
セキュリティインシデントが発生する前に、知見のある社員を集めて、対策チームを編成しておきます。チーム内で非常用の連絡先を交換し、インシデント発生時の連絡方法を確認しておきましょう。土日や夜間でも対応できるような体制を整えることが重要です。
- 対策チームの行動やルール制定
インシデント発生時、対策チームはどう動くかというルールやマニュアルを作成しておきます。また、機密保持や優先順位、行動の権限などにもルールが必要です。
余裕のあるときにシミュレーションを行うとよいでしょう。
- 従業員教育
一般社員にも、定期的にITリテラシーやセキュリティに関する教育を行います。これは人的ミスによるインシデント発生を減らす効果があります。
- セキュリティに関する情報収集
情報システム部門では、日ごろからセキュリティや脆弱性に関する情報を集めるように心がけます。脆弱性が発見されたら、できるだけ速やかに対応するためです。
- IT資産管理
社内のIT資産について、現在の状況を確認しておきます。それによって、異常があったら速やかに発見できます。
→ IT資産管理については、「IT資産管理とは?IT資産の適切な管理はセキュリティ強化にもつながる」や「端末管理は情報システムにとって必須業務!テレワーク下での管理方法は」を参考にしてください。
- サイバーハイジーンの実現
普段からアカウントの管理、セキュリティパッチの更新などを行い、システムの健全性を保ちます。
→ サイバーハイジーンについては、詳しくは「今の時代こそ求められるサイバー衛生管理の必要性を徹底解説!」を参考にしてください。
まとめ:日ごろからセキュリティ・インシデントの発生を意識しての対策が必要
セキュリティ・インシデントはいつ発生してもおかしくありません。いつ発生しても慌てずに対処できるように、セキュリティ・インシデントの対応フローを作成し、事前の対策をしておくことが必要です。それによって、被害を最小限に抑えることができます。
また、攻撃を受けにくくなるように、普段から脆弱性を排除してシステムの健全性を維持しておきましょう。そのためにはサイバー・ハイジーン(衛生管理)の実現が重要です。
セキュリティ・インシデントに十分な対策を行うには、タニウムのようなトータルなセキュリティを実現するプラットフォームの導入がおすすめです。
Tanium Platformでは、セキュリティを総合的かつ効率的に管理し、トータルで高いレベルのセキュリティを容易に実現可能です。 またサイバーハイジーンといった、セキュリティインシデント発生前の対策もサポート可能です。
Tanium Platformについてはこちら