【Bizクリニック】セキュリティー被害、事前に対応検討を

 □グレスアベイル代表取締役・澤井祐史

 サイバー攻撃者の技術レベルは日々進化している。まずはセキュリティー対策の導入が望まれる。一方で、被害が発生した場合の対応方法も構築しておかなければならない。多くの個人情報・機密情報を扱うような企業・組織では、被害発生から時間経過とともに被害範囲が拡大する。「インシデントレスポンス」と言われるが、文字通り被害事象(インシデント)への対応(レスポンス)を迅速かつ適切に行う必要がある。

 インシデントレスポンスで重要な点は、報告を受け付ける窓口を統一し、事前に決められた連絡フローに従って被害状況を含めた情報がすべて集まるようにすることだ。そのうえで得られた情報やインシデント内容に応じて被害状況の把握、拡大防止、原因調査から対応策の検討・実施までを統括できるようにする。組織化・体系化したインシデント対応チームを形成することで、迅速に対処できる。

 このセキュリティーインシデント対応チームは「CSIRT(シーサート)」と呼ばれる。企業・組織内にCSIRTを編成することを考えてほしい。人的リソースの問題から専任チームとすることが難しい場合は、部署ごとに数人ずつ役割として任命しておき、インシデント発生時のみ集まって臨時編成するようなやり方でもいいだろう。重要なことは発生時に組織的に活動できるようにしておくことだ。

 CSIRTによるインシデントレスポンスを有効なものとするには、インシデント対応フローなどを自社の実態に合うように作成しておくことも必要だ。さまざまな被害のケースを想定して作成しなければならず、高度なノウハウが要求される。自社にまだCSIRTが編成されていない場合は、専門家に相談することを勧める。

 被害の原因調査や被害範囲の特定などは、高い解析技術力が要求されるため、セキュリティー対策のサービスを提供している企業でも対応できないことが多い。ウイルス・マルウェアなどの侵入が疑われる場合は、その検体解析が必要であり、不正アクセスが疑われる場合にはデジタル・フォレンジック調査と呼ばれるデジタル証拠の解析や保全が必要になることもある。当社ではクラウド対応の次世代セキュリティー対策製品の自社開発で培った高度な解析エンジンを有し、専門セキュリティーアナリストが分析に当たることで、これらに対応できる。CSIRTを支援するサービスや技術支援を行うサービスもあるので相談してほしい。

 ITシステムは、クラウド環境と自社所有型のシステムとが複合的に絡み合い、セキュリティー被害発生時の対応がより複雑化するケースもある。自社の実態に即した被害発生時の対応を検討しておこう。

                   ◇

【プロフィル】澤井祐史

 さわい・ゆうじ ITインフラ、セキュリティー技術を専門領域として数々のプロジェクトを経験し、コンサルティング企業の立ち上げ、経営に携わる。2015年6月グレスアベイルを設立し、現職。クラウド対応の次世代セキュリティー対策製品の開発および関連サービスの展開をリード。35歳。兵庫県出身。