情報セキュリティマネジメント(6)
インシデント対応
セキュリティインシデントとは、事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故のことをいう。このセキュリティインシデントが発生した場合の報告・連絡体制が明確になっており、関係する全員に徹底されていることが重要
ISMSの要求事項
- 情報セキュリティインシデントに対する管理層の責任及び手順を確立すること
- 情報セキュリティの事象は、適切な連絡経路を通じて速やかに報告すること
- 従業員や契約相手に対し、発見・疑いを持った情報セキュリティ弱点は記録、報告を要請する
- 情報セキュリティ事象を評価し、情報セキュリティインシデントに分類するか否かを決定する
- 情報セキュリティインシデントは、文書化した手順に従って対応する
- 情報セキュリティインシデントの分析・解決から得られた知識を、活用すること
- 情報セキュリティインシデントの証拠となりえる情報の特定、収集、所得、保存のための手順を定め、適用する
インシデント対応の流れ
平時におけるインシデント対応の準備
セキュリティポリシ等の中で明記
- 連絡先(POC:Point Of Contact)の明確化
- 対応手順の明文化
平時に行われていなければならないこと
インシデント対応を行う際には前提となる平時に行われていなければならないがある
- 定期的バックアップ
- システムの通常状態の把握
- 外部情報収集と修正プログラムの適用
- 予行演習
技術的手段の準備
- 情報セキュリティ侵害を検知することを支援するツール
- バックアップの資源
インシデントの検知
- システムログ、稼働監視システム、侵入検知システム(IDS)、侵入防止システム(IPS)などからの警報によってインシデントを検知する
- 顧客、社員、その他社外の第三者などからの連絡(通報)によって検知する
- インターネット上でやり取りされている情報
情報セキュリティインシデントに対応する
インシデント対応手順の確認
定められたインシデント対応手順を確認し、作業もれや混乱がないようにする
- 問題が発生した場合の連絡網、報告手続きを明確にし、関係者全員に周知徹底させる
- 問題を検知した場合、独自の判断で対処せずに、必ずセキュリティ管理者からの指示に従う
- 事故が発生した場合、速やかに経営層に報告する
(対応が遅れると、重大な社会的問題に発展する恐れがある)
緊急時対応計画の流れ
- 漏えい情報の確認、対応窓口の設置、届け出の準備
- 顧客、報道機関、ホームページによる対外発表の実施
- 被害状況の詳細確認
- お詫びの文書作成(発生経緯、被害状況、会社の対応、セキュリティ対策状況)
- 情報セキュリティ委員会を開催し、再発防止の措置を検討する
暫定的対応と本格的対応
暫定的対応として行うべきことと、本格的対応として行うべきことの内容は異なる
暫定的対応
ネットワーク接続の切断、サービスの停止は、ビジネスの観点から抵抗がある作業だが、上級経営管理者には、サービスを停止する必要がある場合もあることを事前に認識しておいてもらい、迅速な承認を得ることができるようにしておく必要がある
本格的対応
攻撃者にシステム特権を奪われてしまったときには、原則としてクリーンなシステムから再構築する必要がある。今日のコンピュータシステムは、複雑なシステムであり、悪意あるプログラムをしかけられていないことを検出し、それが存在しないことを保証することは不可能に近く、再度、クリーンなシステムを再構築するしかない
オペレーティングシステムの再インストール
信頼できるメディアからクリーンなシステムとアプリケーションを再インストールします
修正プログラムの適用
利用しているシステムについて修正プログラムが提供されている場合、それらを適用します。以前のシステムに適用していたとしても、システムを以前と同じメディアから再インストールしたのであれば修正は適用されていませんので、再度適用しなおす必要があります
しばしば、修正プログラムの適用は、アプリケーションとの相性等の不具合を生じることがあります。また、バージョンアップされたシステムを、いきなり本番のインターネットサーバーで試すのは失敗する可能性があります。本番サーバと同等の実験環境においてパッチの適用や、新しいバージョンのシステムを試すことが望ましいといえます
復旧
設定ファイルの情報やデータをバックアップから復旧します。バックアップが採られていない場合、これらを復旧できません
改善
- 時系列の記録を整理しておく
- 事後反省会を開催し、良かった点と改善すべき点をリストし、経営管理者に報告する
- 公式文書としてのセキュリティポリシや手順書類に、改善点を反映・集約する
- 技術的準備の改善、組織間コミュニケーションの改善もはかる
