本当に役立つインシデントレスポンスの基本

【第2回】 すでに構築している企業では

すでにインシデントレスポンスの仕組みがあったとしても、実際に有効なインシデント対応ができるとは限りません。SIRTが形骸化しており、いざという時に使えないプロセスや手順になっていることが少なくないのです。
本コラムの第2回では、本当に使えるインシデント対応とは何か、あらためてSIRTの本質を考えてみます。

すでに構築している企業では

情報セキュリティインシデントへの対応については、SIRT(セキュリティインシデントレスポンスチーム:Security Incident Response Team)の体制や対応フローを整備し、その準備を万全にしている企業が存在します。インシデントが発生するとSIRTを立ち上げ、コマンダーやマネージャ、ハンドラーといったメンバーの役割に応じたプロセスや手順を定めています。そして、そうした対応が適切に実践できるよう、定期的に演習訓練を行うのです。
言うことなしの完璧な感じがしますが、はたして本当にそうなのでしょうか?
実は本音を聞くと、「形だけがある・・・」というか、「形だけしかない!」といった企業が少なくないのです。

いざという時に使えます?

形だけとは、いったいどういうことなのでしょう?

たとえば、あらかじめSIRTのメンバーにアサインされているにも関わらず、インシデント対応の演習訓練へ参加した際に、「えーっ、自分がコマンダーとかいう役割だなんて初めて知った!」との声があるのです。
もちろん、対応フローに応じたプロセスや手順など、頭に入っているはずはありません。「それって、どのドキュメントに書いてあるの?」といった感じで、演習訓練が進んでいきます。
さらには、「おそらく自分が在職中にインシデント対応するなんてまずない・・・この訓練って本当に意味あるの?」みたいな、抵抗勢力になる社員がいたりします。

さすがにこれでは「仏造って魂入れず」で、実際にインシデントが発生するとSIRTは機能しません。

どうして、こんなことになるのでしょう?

一つは、IT用語と同じように、現実離れした専門ワードが多過ぎる点が考えられます。一般社員からすると、まず聞き慣れない言葉に拒否感を抱き、自分には難しすぎる別次元のことだと感じるのです。そうなると、訓練という名の行事に参加しているだけになります。

そしてもう一つは、本当にインシデント対応のプロセスや手順が難解な場合です。セキュリティの専門家じゃないとわからないような、高度で複雑な対応フローになっているのです。これでは、セキュリティ部門の限られた要員だけでインシデント対応を行うしかありません。演習訓練は、一般社員には関係しない特別なイベントになってしまいます。

意味のある仕組みにするには

そんな形だけの使えないSIRTであれば、多くの関係者を巻き込み、毎年のように演習訓練を繰り返すのは何の意味もありません。自社のインシデント対応が、そんな残念な状況になっていないか、実態を再認識する必要があります。

では、本当に使えるSIRTにするには、いったいどう見直せばいいのでしょう?

情報セキュリティインシデントといった、ある種の緊急事態が発生した際には、人は冷静に対処を進めることが困難になります。通常ではあり得ないことが起こっているからです。そうした場合、実施すべき事項は、できるだけシンプルにまとめておく必要があります。そこで複雑なことを求めると、人は余計パニックに陥ります。
工場などの安全管理を徹底している現場では、安全に関わるインシデントが発生した際には、重要なポイントをわかりやすく整理したプロセスや手順が用いられます。特に、工場の業務改善では、「ECRSの原則」が重視されるからです。

ECRSの原則とは

  1. Eliminate(なくせないか)
  2. Combine(一緒にできないか)
  3. Rearrange(順番を変更できないか)
  4. Simplify(簡単にできないか)

のことで、この順番で改善を進めることが重要です。まずは「なくせないか」、それができなければ「一緒にできないか」を深掘りしていきます。

いざというと時に本当に使えるインシデント対応にするには、ECRSの原則でプロセスや手順をよりシンプルに磨き上げていくべきです。

あらためて考えるSIRTの目的

SIRTの目的は、情報セキュリティインシデントが発生した際に、できるだけ被害が広がらないよう適切に対処を進め、インシデントの影響を最小化して収束させることです。そのためには、セキュリティの専門家だけに任せればいいものではありません。最初にインシデント発生の疑いを発見し、インシデントが拡大しないよういち早く初動対応するには、現場に近い社員の協力が必要です。そうしたメンバーがSIRTに参画し、セキュリティに詳しいメンバーとスムーズに連携する体制が必要なのです。
「インシデント対応ガイドライン」などの社内規程を策定するのは、情報セキュリティを主管する部門や、社外の専門家(セキュリティコンサルタント)かもしれません。どうしても自分たちの専門知識を前提に、そのプロセスや手順を考えてしまいます。
実際にインシデントに対処するのは、そうした専門スキルを有するメンバーだけではありません。情報セキュリティといった難解さを軽減し、安全面などの対応と同じように一般視点で考えれば、より有効なインシデント対応になるはずです。

次回は

第3回は、現在SIRTのようなインシデントレスポンスの仕組みがない企業では、今後どのように進めていくのがベターなのかを考えます。残念なインシデント対応にならないためにも、あるべきSIRTの本質を探究します。

この記事を書いた人
Toshihiro Fukuda
Toshihiro Fukuda
ICSホワイトハッカー
最近書いた記事
本当に役立つインシデントレスポンスの基本
【第3回】 これから構築する企業にとって
本当に役立つインシデントレスポンスの基本
【第2回】 すでに構築している企業では
本当に役立つインシデントレスポンスの基本
【第1回】 インシデントレスポンスとは
どうする中小企業のセキュリティ人材
【第4回】 セキュリティ人材の要否論

Twitterでフォローしよう

おすすめの記事