セキュリティ事故現場から見える経営リスクと対策 Vol.1

IT・IT製品TOP > Key Conductors > 江尾 一郎(ソフトバンク・テクノロジー株式会社) > セキュリティ事故現場から見える経営リスクと対策 Vol.1
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

セキュリティ事故現場から見える経営リスクと対策 Vol.1

ネットワークセキュリティ 2014/04/14

 セキュリティ事故発生時に現場担当者は何から手を付ければいいのか?そして、その際経営トップが同席することの重要性とは?本連載(全4回)の第1回ではセキュリティインシデントの根底要因を捉え、どのように企業の重要なリスクを回避していくべきなのかを考えていきたいと思います。

セキュリティ事故で重要なインシデントレスポンスとは?

 インシデントレスポンスとは、セキュリティインシデント発生から初動対応(証拠保全、調査、応急措置、告知等)・再発防止策(復旧〜回復)を組織的・体系的に行うことです。
 セキュリティ対策は事前に対策を実施することが重要ですが、昨今の標的型攻撃に見られる特定企業向けの独自専用ツールでの攻撃やゼロデイ(未知の脆弱性に対する)攻撃により検知が難しくなっております。
 例えば、“社員が不審なメールを開いてしまった、そのあとPCが重くなったので不安になり情報システム担当に報告して調査してもらったら標的型メールだった。また、その後内部ネットワークで不審なパケットを検知して調査した結果、仕掛けられたマルウェアはバックドア通信で内部ネットワークのリサーチをしていた。状況をつかめた頃にはその内部ネットワークは悪意ある攻撃者に掌握されて、重要機密情報が漏洩した後であった…。”こうした事態・被害を最小限に留めるためにインシデントレスポンス(事後対応)がますます重要になってきております。

適切な初動対応とは?

 初動対応で重要なことは、分析調査といった技術面よりも事業継続性を優先するという点です。例えば、ER(緊急救命室)に救急患者が運ばれてきた時に病気や怪我の原因分析をしません。まず、第一優先に生命維持です。出血を止め、呼吸・血圧を安定させ、応急措置(治療)をとります。情報セキュリティインシデントも同様に、企業の生命維持は事業継続に当たります。原因を分析して犯人を特定することも大切ですが、まずは事業継続のために必要な復旧措置を行います。インシデントの影響範囲や顧客との関係を把握し、インシデントの告知方法などすべてにわたって全力で対応する必要があります。
 上記のインシデントでいうと、まず情報流出を疑い、内部から外部への通信を一時的に止めます。最大のリスク(情報漏洩)の応急措置(食い止めること)です。それから、感染PC(乗っ取られたサーバーなど)をあぶり出し、侵入経路や影響範囲を調査、安全確認ができたところから随時復旧(通常運用)に戻します。回復措置として、安全点検と再発防止対策にてクロージングです。このような手順が望ましいといえます。

インシデント要因の本質を探る

 様々な企業のセキュリティインシデントの緊急対応サポートに走り回ってきた筆者の経験から、インシデント要因の本質にはマネジメントレベルでのインシデントの想定や対策改善で回避(歯止め)できるケースは多分にあるかと思われます。以下にその要因をあげます。

設定作業ミスや作業漏れなど品質管理の低下はないか?

導入時や定期診断では対策をしっかりしているが、機器障害等でセキュリティ対策の作業の手順漏れが要因であった
⇒チェックシート準備とダブルチェックは励行すべき

要員不足や予算調整の課題で対策未実施

景気低迷でやむなく予算削減しなければならなく診断と改善が未実施(延期)
⇒代替策やリスク低減策を検討、上位の判断が必要

経営・管理部門との認識不足から予算・計画の対象外になる

システム移行期による旧システムの並行稼働で期限後も存続させていた(放置)
⇒廃棄までの管理体制がまったく抜けていたといえる

指揮系統の注意点

大企業では支社や工場など独立した運営体制の事業体では、事業責任者の判断に委ねられる
⇒環境の問題や判断基準の相違で事故発生後の本部統括管理の調整に後手になるケースが発生し、事故後の対応が遅れることが散見された(平時と有事の色分けが重要です)

経営トップの認識と判断の重要性

 緊急対応サポートの中で、経営と情報システムとのギャップを感じるケースは多くあります。インシデントのエスカレーションがトップにうまく伝わっていない状況はどのような問題があるのでしょうか?
 緊急対応サポートに駆けつけた時に、経営トップが自ら玄関で待ち受けてくれている場合は、安心できる状態と言えます(インシデントを経営リスクとして認識されているため)。筆者が駆けつけてからのヒアリング時に、経営トップが不在のまま対策会議は進められていたりすると、状況によっては一旦会議を中断してもらい、経営トップの同席を求めることもあります。なぜなら、現場の判断は調査結果で「経営トップに報告」というシナリオを想定します。調査結果後の報告会にて、ようやく経営者がことの事態に気が付く場合がよくあります。
 セキュリティインシデントにおいては一瞬で数億円の被害損失を想定しなければならないことが多々あり、リスク回避のための経営判断もトップがすべき重要事項です。必ず、経営トップが対策本部の議長を務め、初動対応での状況把握と判断・指示をすべきです。そのため側近の幹部・スタッフは最悪のシナリオを想定しつつ、事実を冷静に把握する習練が必要と言えます。

優先課題(トリアージ)と事業継続を重視

 事業継続上停止できないシステムであっても顧客の影響を優先し、実態をつかめていない状況下では最悪のケースをまず想定して下さい。緊急対策本部が設置され、幹部・情報部門・システム関係の取引先や専門家を招集のうえ、情報収集・冷静な判断を下していく必要があります。場合によっては要因追求が困難で応急措置に時間がかかり、顧客被害の拡大の可能性がある場合は、しばらくそのシステムを停止する必要があります。その判断は最終的に経営トップが関係者と議論したうえでの判断が必要となります。経営者の思い切った決断は、一時的な売上減少はあるものの一年後には信頼回復され、事故による風評被害がかえって知名度を上げる結果となり売上増で伸びた企業様も少なくありません。逆境をチャンスに変えたドラマを見ているようです。
 医療現場では大災害などの事態では、“トリアージ”という考え方で院長・医師・看護スタッフが連携して患者の救済にあたります。これは、手を尽くしても駄目な場合は厳しい判断を行い、助かる患者を識別・優先して治療にあたります。企業の場合でも同様に、延命措置(事業継続)に必要な取捨選択を取ります。
 例えば、通常(平時)受注業務で多忙なコールセンタがインシデント発生後、すべてのクレーム対応に切り替えで数ヵ月落ち着くまで顧客フォローが対応されます。致命的な売上業務の停止となり一見上記の逆説と捉えがちですが、被害にあった顧客を優先して対応することが重要な対応となります。
 リスクマネジメントでも大地震災害発生時の急務は、社員(および家族)の生命の安全確認です。その次に施設や事業再開のための把握です。

改善プロセス(復旧・回復)

 従来では、セキュリティベンダの製品を導入すればある程度は改善(課題解決)ができました。しかし、不正アクセス(犯人)側も商売ですので、これでダメならこれでと進化し続けてきました。そこでどのような対策が必要になってくるのか?医療現場での「癌細胞の脅威」に例えてみます。
 癌細胞が1センチ程度の大きさになるまでかなりの時間がかかるそうです。普通の細胞のコピーが悪性に変異してしまったものです。しかし、1〜2センチに成長するとそこからは非常に増殖・転移が早いそうです。原因は解明されていませんが生活習慣病の方の発症率が高く、早期発見と生活習慣病の改善が一番の治療法だそうです。早期発見で摘出手術を受ける。そのためには定期的に診断を受け、早期発見に繋げることが80%以上の手術の成功率を実現するのだそうです。その次に、予防(癌の発生を抑える)としては生活習慣病の改善だそうです。
 これをIT情報セキュリティインシデントの対策と予防に置き換えてみますと、不正侵入や内部犯罪の巧妙な手口は、発見が遅れれば遅れるほど深刻な事態に陥ります。不正侵入の手口も1〜2年でますます進化・変遷していきます。出入り口での防御体制にも限界があり、これからの重要な施策として内部で何が起こっているのか?(内部監視体制の強化早期発見予防策(変化する手口の学習と大量の通信から不審な振る舞いの絞り込み/危険行為のパターン)を自社やアウトソースの監視、もしくは新たな手法の取り組みの導入が必要不可欠になってきております。
 
 次回はこれらの課題について引き続き説明をしていきます。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007242


IT・IT製品TOP > Key Conductors > 江尾 一郎(ソフトバンク・テクノロジー株式会社) > セキュリティ事故現場から見える経営リスクと対策 Vol.1

このページの先頭へ

キーマンズネットとは
某セキュリティ事業会社にて、日本最大のセキュリティ監視センターの設立後、運用責任者として従事。その後、大手通信事業のCIO補佐官、自ら設置した日本初のセキュリティインシデント対応サービスの総責任者を歴任。現在はソフトバンク・テクノロジーにてセキュリティのコンサルティングおよび事業のサービス展開を行っている。

ページトップへ