お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

第10回 「インシデントレスポンスの重要性」

2003/06/11 10:00
  • このエントリーをはてなブックマークに追加

 これまで、情報セキュリティマネジメントの重要性について、いくつかの対策事例を交えて説明してきたが、今回は何らかのインシデントが発生した場合の対応、インシデントレスポンスについて取り上げる。様々な脅威が存在し、その脅威に対して、組織としてリスク分析に基づいた適切な情報セキュリティ対策を施していたとしても、障害やトラブルは発生するものである。その時に適切な対応を行わなければ、更なる問題に発展する場合も多く、その結果、組織の信用は失墜するばかりではなく、責任を問われることも少なくない。では、そうならない為には一体どのように対処すれば良いのかについて、以下で述べていくことにする。

インシデントレスポンスとは

 情報セキュリティにおけるインシデントとは、コンピュータセキュリティに関連した事故や事件のことで、人為的事象であること、意図的・偶発的なもののを指す。そのため、単なるシステムの問題で生じるものだけとは限らない。情報セキュリティインシデントは、様々な要因で発生し、また種類も多岐に渡る。従って、その全てのケースに対応した準備を行うのは実際には不可能で、それ故になおさらその事象が発生してしまった場合の対応をいかに適切に行うかが重要なこととなる。このような対応のことを、インシデントレスポンスと言う。

何をやるべきか

 では、このインシデントレスポンスを適切に行うには、一体どんな事をすればいいのだろうか。まずは、各システムや業務毎に想定されるインシデントを洗い出し、そのインシデント例に対して、事前に予防(防止)を施すことと、そして事故が発生した時に、その対応・対策を確実に実施できるようにすることが大事であり、また普段から、高いセキュリティ意識を持って望み、準備をすることも同じく重要だ。

 そして、これらはその担当者が個別に検討・実施するのではなく、組織として検討し対応していく必要がある。ただし、それらは一度準備すれば対策準備が完了するというものではないため、継続的な見直しや教育・訓練も、非常に重要になってくる。

 この際に、考慮しなければならない重要な事柄は、対象となる情報資産のリスク分析結果から、事業継続性計画や危機管理計画に基づいて、事前の対策を実施することだ。

 例えば、ウイルス対策ソフトの導入率は非常に高く、また、ここ数年はIDS(Intrusion Detection System:侵入検知システム)を導入する組織も以前とは比較にならないほど増えている。しかし、これらのシステムを導入さえすれば、それで十分な対策となり、手離れさせても構わないいうものではない。常に新たなウイルスやワーム、様々な脆弱性をついた攻撃手法が発見されており、それらに対応したものに更新して運用を継続していくことが必要だ。

 また、感染した場合や攻撃を受けた場合は、その痕跡を追求し、確認した上で、組織内外に対して、その対応措置を行う必要もある。インシデントレスポンスの実施を考える時に、これらのシステム運用は非常にイメージし易いものと言える。実際に何らかのインシデントを検知した時、その対応が発生する。その対応は事前にルール化され、教育・訓練を行っていないと、的確に実施することが非常に難しい。

 以下に、インシデントレスポンスを実施する上で、各フェーズにおいて実施すべき事項を記載する。これらは、一般的な事後の対応として、予め検討・準備すべき項目である。

 なお、これらはあくまで一例であり、各組織のポリシーやシステム状況、組織体制など実情に応じたものが、別途必要になる場合があることを念頭において読んでいただきたい。

 PHASE 1:予習・準備

情報資産の洗い出し、リスク分析、ポリシー作成、対応人員確保、データ(バックアップ)、ソフトウェア、およびハードウェアの事前準備、関連情報の入手、予備品確保、輸送手段の確保、スペース・電源・環境の整備、各種ドキュメントの整備、緊急時の連絡体制および連絡手順、各種ログの取得などを事前に準備しておくこと。

 PHASE 2:インシデントの発見・識別

データやアクセスの証拠などを確実に取得したログについて、それをチェックする手順の確立、データの改ざんや破壊が行われていないかを確認する手順の確立、署名による比較、汚染されていないことが確実に保証されている同じシステムとの比較などを行う。

 PHASE 3:封じ込め

対象システムのパスワードを変更し、その状況のバックアップを取得、汚染される前の信用できる状態への復旧作業を開始する。

 PHASE 4:根絶

原因と兆候を確定し、再発防止を講じて改善する。

 PHASE 5 :回復・復旧

必要が、あれば危険なコードが含まれていないバックアップデータから、リストアする。危険なコードが含まれていないバックアップデータがない場合は、最初からシステムを再構築する。無事に復旧したかをテストし、バックドア等が残っていないかを見るため、しばらくはモニタリングしておく。また、この復旧フェーズでは復旧作業の責任者を定め、個々の作業において的確な判断を行える者を明確にする。そして、各作業の記録を残す。

 PHASE 6:フォローアップ

組織内で、この教訓をもとにした勉強会や経営者向けの報告会を行う。また、再発防止策を検討し、実施していく。さらに、発生したインシデントに関係していると思われる関係機関へ報告を行う。問題があれば、運用ポリシーや手順書等を改善する。
連絡する関係機関の例としては、以下のような機関がある。
警察機関ハイテク犯罪相談窓口
コンピュータ緊急対応センター(JPCERT)
情報処理振興事業協会(IPA)

インシデントレスポンス実施のポイント

 もし、インシデントレスポンスを実施しなければ、ならない状況になった場合、その時のポイント整理してみる。

  1. 冷静を取り戻し、決して慌てない
緊急事態発生時は、混乱を来たし、些細なミスや失敗を犯しがちである。ここでミスを犯してしまうと、その代償は非常に大きくなる。
  1. 周知の知識を活用して対応する
現状を的確に把握し、確実に1つずつ問題を解決していく。決して普段やらないようなことは実施しない。
  1. よく記録メモをとる
「誰が、何を、いつ、どこで、どのように、なぜ」を、その都度確実に記録することが重要である。その時、ICレコーダやカメラ等を活用するのも有効である。指示を仰いだりした場合は、それを忠実に実行する。その対応には関連コンピュータ等は使用しないで、電話やFAX等を使用する。
  1. 問題を制御し、二次災害を防ぐ
問題事項を確実に解決し、二次災害が発生しないよう対応していく。連絡ミスや実施ミスは決して起こさない。
  1. システムのバックアップと各種証拠を収集する
まず、現状のバックアップを取得し、必要な情報や証拠は集めて整理する。ネットワークを接続し続けて侵入者を捕まえ<るより、切り離して安全に隔離することが、通常は先決である。
  1. 問題の根絶と業務復帰を確実に
問題を抑制する対応、システムのバックアップ取得、証拠の収集が完了したら、次は問題の根絶に努める。問題が根絶されたら、その後はモニタリングできる環境を整え、業務復帰を行う。
  1. この経験を習得し、次に活かす
一連の対応を教訓とし、十分に習得する。また、同様なインシデントが発生した場合はこの経験を活かす。

 インシデントは事前の対策を十分講じていても、発生するものである。その為にそのインシデントレスポンスの準備と併せて、組織の運営や事業を継続する為のビジネスコンティニュイティプランニングや危機管理を行うコンティンジェンシープランをきちんと確立しておくことも非常に重要である。

筆者略歴
宮地 章
株式会社 富士総合研究所
システムコンサルティング部 シニアコンサルタント

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社