1. ホーム
  2. ブログ
  3. システム運用
  4. セキュリティインシデント発生、その時あなたはどうする?

セキュリティインシデント発生、その時あなたはどうする?

こんにちは、ユニリタの高岡です。

 

日本の企業はセキュリティに関して、どの程度危機感を持ち対策を講じているかご存知ですか?

試しに「日本 セキュリティ 意識」でGoogle検索をしてみてください。

 

私も検索してみたのですが、出てくるトップ記事のほとんどが、日本のセキュリティに対する意識はとても低いということでした。

 

「セキュリティが心配だからクラウド利用をしない」というような、危ない橋を渡らないイメージである日本ですが、世界で見ると対策が遅れているようです。

 

今回のブログでは、日本で発生したセキュリティ関連のニュースを振り返り、企業全体でどのようなことに取り組まなければならないのかについて、お話ししたいと思います。

 

最近ニュースで取り上げられたセキュリティ問題のニュース

一番最近話題になったのは、「コインチェック」のNEM流出事件、知らない方がいらっしゃらないぐらい問題になっていますよね。

他にも、企業に送られてきたなりすましメールを受け取った担当者が、本物の取引先と勘違いし大金を振り込んでしまうニュースも記憶に新しいです。

 

情報処理推進機構が選出した、2017年に発生したセキュリティ事件の脅威候補に対し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」にて審議・投票を行い、「情報セキュリティ10大脅威 2018」を発表しました。

出典:情報処理推進機構 「情報セキュリティ10大脅威 2018

https://www.ipa.go.jp/security/vuln/10threats2018.html

 

「ランサムウェアによる被害」が個人、組織共に2位に選出されました。

これは、日本企業だけでなく、世界150カ国の23万台以上のコンピュータに猛威を振るったランサムウェア「WannaCry」の影響でしょうか。

 

こういったマルウェアは、決して「大人」が作り出したものとは限らず、最近では中高生によるサイバー犯罪が増加しているというニュースも非常に多く取り上げられましたね。

デジタルネイティブである若者によるサイバー犯罪は、多くの人を驚かせたのか、個人の7位には「情報モラル欠如に伴う犯罪の低年齢化」もランクインしています。

 

このようなサイバー犯罪は後を絶たず、対策をしてもいたちごっこのように新しい攻撃が生み出され続けています。

そこで大切なのは、起きてしまったセキュリティの問題にどう対処するかということです。

社内の「消防署」、持ってますか?

日本には、ジェイピーサート コーディネーションセンター(以下、JPCERT/CC)という団体があります。

JPCERT/CCは、コンピュータセキュリティインシデントに対応する活動をしており、技術的な立場における日本の窓口的存在です。
主にセキュリティインシデントについて、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。

 

同団体のホームページでは、セキュリティインシデント年表を発表しています。
1年間でどのくらいのセキュリティインシデントが報告されているか、みなさまご存知でしょうか。

………なんと、2016年だけで16,466件。過去にさかのぼると2013年は29,746件ものセキュリティインシデントが発生しています。
(引用:JPCERTコーディネーションセンター 「JPCERT/CCセキュリティインシデント年表」

 https://www.jpcert.or.jp/magazine/chronology/)

 

ご存知の方も多いかと思いますが、ここで今一度「セキュリティインシデント」についておさらいしたいと思います。

セキュリティインシデントとは、簡単に言うと情報システムの運用におけるセキュリティ上の脅威となる事象の事を指します。
例を挙げると、マルウェア感染、不正アクセス、情報漏えい、Webサイトの改ざん、Dos(DDos攻撃)などです。

前述した通り、対策を投じてもセキュリティに関する攻撃は減る事なく、もっと高度な攻撃方法が生まれ、いたちごっこ状態です。

もちろん「セキュリティインシデントが発生しないよう未然に防ぐ」ことも重要ですが、IT社会になった今、完全に防止することは不可能に近いでしょう。

 

ここで重要になってくるのが、「シーサート(以下、CSIRT)」の構築です。

CSIRTが聞きなれない方の為に、いったい何を指すのかご説明しておきます。

 

■CSIRTとは
CSIRT(Computer Security Incident Response Team)とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。
インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。

 

要は、セキュリティインシデントに関連する事象に対処する組織ということになりますね。

 

前述した通り、新しいマルウェアの出現等、年々脅威が拡大し続けるこの世の中で、セキュリティインシデントをなくすことは難しいことはおわかりかと思います。
そこで、セキュリティインシデントが発生することを前提として、起こった問題に対し素早く対処したり、関係者への情報連携を行う組織を担う「CSIRT」が注目されているのです。

 

日本シーサート協議会のホームページに、CSIRTの存在がわかりやすく説明している図がありましたのでご紹介します。

出展:日本シーサート協議会

http://www.nca.gr.jp/

 

CSIRTはいわば、消防署的な役割であり、発生した火事に対し、窓口となって対応していく役割を担います。

 

日本では、未だCSIRTの構築がなされていない企業も多く、構築はしているものの、明確な行動規範や指針が定まっていない企業も存在します。

今後も拡大を続ける脅威から企業を守る為には、自社内で「消防署」の役割をしっかりと持つ必要があることが大切であることは明白です。

セキュリティインシデントの管理をしていますか?

発生した事象に対し、みなさまはどのように管理・対応していますか?

マルウェア感染などを含む攻撃に対し、被害範囲の拡大を防ぐために大切なのは、「誰が、どこまで(進捗)、どのような対処をしたか」が把握できるようにしておくことです。

 

簡単にセキュリティインシデントの対応スキームをまとめてみると…

 

【セキュリティインシデントの対応スキーム】

■検知

 被害者からの通報、危機からのアラート受信

■連絡

 関係者に連絡、事象の記録

■調査・分析

 過去対応履歴の検索、社外へ調査依頼

■対応

 対応前後に関係者へ連絡、対応履歴の記録

■再発防止・注意喚起

 ナレッジへ登録、セキュリティ機関へ報告

 

上記のように、セキュリティインシデントの対応状況などを管理することが重要です。

例えCSIRTが構築されていても、しっかりとしたセキュリティインシデント管理ができていないと、名ばかりで効果は見込めません。

 

よく見受けられるケースは、メール等でやり取りを行い情報共有しているというものですが、これでは本来情報を伝達すべき人に伝わらない恐れもあります。

スキームにも記述させていただいた「過去の対応を調査する」にもメールを検索することは非常に困難です。

 

今後もより高度になるサイバー攻撃への対処に向けて、今一度セキュリティインシデントの管理・対応方法について見直してみていただければと思います。

おすすめ記事