一度でもサイバー攻撃を受けると、その対応にかかる費用は膨大になる場合があります。近年、大企業のみならずサプライチェーンを構成する中小企業もサイバー攻撃の標的になっており、適切な脅威検出と復旧計画を策定しておかなければ企業の存続に関わる深刻な被害を受ける恐れがあります。本稿では、情報セキュリティリスク対策に欠かせないサイバーインシデント対応計画を策定する方法を5のステップに分けて説明します。
目次
ガートナーの調査では、ナレッジワーカーの60%がリモートワークを行っており、その内の少なくとも18%はオフィス勤務に戻らないであろうと予想しています。そのため、オフィス環境だけではなく在宅で従業員が利用しているセンシング、コンピューティング、制御、ネットワーキング、アナリティクスなどのあらゆるサイバーフィジカルシステムが攻撃を受ける恐れがあり、攻撃による金銭的な影響が拡大することが予想されています。またガートナーの2022年取締役サーベイによると、サイバーセキュリティ関連のインシデントに対して最高経営責任者 (CEO) が個人的に説明責任を担っている組織は、85%に達しています。
中小企業であっても、ネットワークセキュリティソフトの導入やサイバーインシデント対応計画の策定によって、使用しているシステムを正確に把握、監視し、セキュリティインシデントを迅速に検知し、予防や復旧の方法を実施し、損失を最小限に抑えることができます。
策定方法の詳細を説明する前に、まず、サイバーインシデント対応計画の基本事項とその必要性を押さえておきましょう。
サイバーインシデント対応計画とは?
サイバーインシデント対応計画とは、迅速かつ効率的にサイバー攻撃を検知し、影響を受けた可能性があるシステムやネットワークを隔離し、攻撃による影響を復旧するための一連の作業指示を文書化したものです。
サイバー攻撃は、企業や組織のあらゆる領域に影響を及ぼす可能性があります。そのため、人事、財務、カスタマーサービス、法務、サプライチェーン、従業員とのコミュニケーション、ビジネスオペレーションなど、すべての部門や領域を考慮して連携しながら計画を策定しなければなりません。
次の表に、サイバーインシデント対応プロセス (CIRP) を確立している企業と確立していない企業で、インシデントの発生時にどのような違いが生じるのかを示します。両社が同じ攻撃を受けた場合、企業Bは適切な対応計画を策定しているため、攻撃の影響を軽減できます。
ステップ1:行動計画を策定する
行動計画の策定は、インシデント対応計画の中核です。行動計画書には、次のような内容が含まれている必要があります。
行動指針
行動指針はインシデント対応計画の目的を明確に定義し、従業員や他のステークホルダーが、対応時の作業範囲を理解するために役立ちます。計画の策定に関わる各ステークホルダーは、セキュリティやリスクの専門家ではない場合もあります。そのため、行動指針で使用する各用語について分かりやすく定義して説明すると良いでしょう。これにより、関係者が同じ認識のもとで重要な決定を下すことができます。
行動指針のいくつかの例を以下に紹介します。
- サイバーの脅威から企業を保護する。
- インシデント対応チームを構築する。
- サイバー攻撃とそのタイプを調査し、業務への影響を公表する。
- 攻撃の痕跡を収集し、迅速な復旧を目指す。また、必要な場合には、警察と連携して対応を図る。
役割と責任の明確化
ステークホルダーの役割と責任を明確にすれば、それぞれがすべきことを理解できるようになり、混乱を避けながら、計画の策定を推進できます。推進者、承認者、貢献者、報告先を決定する意思決定フレームワークであるDACIモデルのチャートを作成すれば、役割と責任を明確に定義できます。
DACIチャートはRACIチャートとも呼ばれ、各ステークホルダーがどの段階で関与し、何をすべきかが定義されます。DACIチャートは各ステークホルダーが果たす機能的な役割を視覚的に表現したものです。こちらのDACIの解説を参照しながらDACIチャートを作成できます。
ステップ2:役立つツールやリソースを導入する
計画を策定したら、役立つツールやリソースを導入します。例えば、ネットワークセキュリティソフトはコンピューターをあらゆる不正アクセスやサイバー攻撃から守る上では欠かせないシステムです。他にも、データ漏洩のリスクがある場合には、情報漏洩対策ソフト (DLPツール) などのツールを導入することでリスクの軽減につながります。
インシデント対応に役立つツールやリソースを導入するためのいくつかのヒントを以下に紹介します。
セキュリティ監視のユースケースの調査
セキュリティ監視は、インシデントを正確に検知し、インシデント対応計画を迅速に実行するための基盤となることから、非常に大切なステップです。インシデント監視のユースケースを調査しておき、自社の監視プロセスに取り入れると、組織が許容できるリスクを明確にし、その対応の目標を立てることが可能になります。
セキュリティ問題の検知
あらゆる業務におけるセキュリティの問題を検知し修正するための適切なツールやリソースを見つけることは、監視のユースケースを調査することと同様に重要です。インシデント管理ツールを使用すれば、データセキュリティの侵害からシステム障害まで、さまざまなIT関連のインシデントを記録および報告して、対応の優先順位を付けることができます。インシデント管理ツールは、問題が発生するとすぐにIT担当者にチケットを割り当て、関係者に通知し、ダウンタイムを最小限に抑えます。
ステップ3:導入したツールやリソースを対応計画に当てはめる
次のステップでは、これまで計画および導入したツールやリソースをすべて確認し、対応計画に当てはめます。このステップでは、対応計画の成果やタスクの範囲を決定し、収集したデータを分析し、準備した行動計画の各段階にツールやリソースを当てはめていきます。インシデント対応計画の策定を開始することができるか、チームの準備状況を確認することがこの段階の目標です。
セキュリティの専門家からのアドバイス:サイバーセキュリティのインシデント対応計画の策定に携わる各チームメンバーは、実際に使用しているシステムの応答、デジタルフォレンジック、脅威インテリジェンス、メモリとマルウェア分析について理解し、スキルと知識を高めておく必要があります。
ステップ4:対応計画の策定を開始する
この段階まで準備を進めれば、インシデント対応計画の策定を実際に開始できます。行動計画やツールやリソースが、インシデント対応チームのメンバーや他のステークホルダーに十分に伝わっていることを確認してください。これにより、セキュリティインシデントが発生した場合の影響を軽減できます。
ステップ5:学習、最適化、改善
サイバーインシデント対応計画を策定したら、策定プロセス全体を分析し、失敗と成功の両方から得た教訓を文書化し、計画の最適化と改善に役立てる必要があります。最適化には、別のリソースの使用や、計画策定プロセスへのチームメンバーの追加など、さまざまな方法が考えられます。そのためにも、サイバーインシデント対応計画を明確なプロセスのもとで策定しておくことが重要となります。
最適化のために学習とトレーニングを組み入れることができ、プロセスを微調整しながら、チームの効率を最大化できます。
サイバーインシデント対応計画の作成は、最善の防御策
サイバーインシデント対応計画を策定しておけば、セキュリティチームはインシデントに対して一貫性のある行動的な対応ができるようになり、インシデントへの対応力を高めることができます。必要なのは、ネットワークセキュリティソフトなどの適切なツールとリソース、そして対応のフローを決めるための行動計画です。
