子供の病気はインシデント!?
私個人の話ですが、先日、1歳の息子が感染症で保育園に数週間登園できなくなったため、病児保育を活用しながら夫と自分で対応しました。日頃から体調管理に気を付け、予防接種も受け、人混みは避けていましたが、残念ながら感染しました。この経験から、子供の病気対応を企業におけるセキュリティインシデント(以下、インシデント)対応と比較すると共通点が複数あることに気づきました。さらに我が家のように祖父母が遠方で頼れない等、予算や人材が不足する中でもできることがあるのではと考えています。
図:子供の病気とセキュリティインシデントの対応の共通点の例
ポイント(1)異変を早期に気づけるようにする
子供の病気は早期の発見・治療が重要ですが、症状が軽度な場合は様子見をしてしまい、悪化させることがあります。これはインシデント対応でも同じことが言え、異常を早期に検知・対処することで被害の軽減が実現できます。早期検知にはSIEM(※3)の導入やSOC(※4)の構築が有効ですが、すぐに導入・構築するのは困難であり、導入・構築後に組織に合わせた運用を実現するには時間が必要です。
そんな中でもすぐに着手できることもあります。そのひとつとして自組織のCSIRTへの連絡体制を整備することが考えられます。もちろん、人手だけですべてのインシデントを検知することは困難です。しかし、インシデントを検知した場合の連絡体制が整備されれば、これまでよりも早くインシデント対応を開始できます。意外かもしれませんが、「CSIRTを設置したが、社内で認知されておらず連絡先もわからない」(※5)というケースがあるのです。
ポイント(2)頼れる専門家を確保する
子供の病気の多くは市販薬での対処ができないため、急ぎ小児科を受診することになります。ただ、病院によって診察できる領域や治療方針等に差異があり、信頼できるかかりつけ医に加えて、医療機関間の連携が必要です。
大規模インシデント等、限られた自組織のCSIRTのメンバーだけで対応できないことも起こりえます。インシデント発生後に支援してくれるベンダーを探そうにも、サービスの調査・比較が必要になり対応が遅れてしまいます。現在、弊社グループのNTTデータ先端技術株式会社の「セキュリティ・インシデント救急サービス」(※6)をはじめ、複数のベンダーがインシデント対応支援サービスを提供しています。事前にサービスを調査・比較し、自組織に最適なサービスを選定し、インシデント発生時にすぐに利用できるようにすることを推奨します。
ポイント(3)現状を把握できるようにする
子供が保育園に登園できず、病児保育も利用できない場合は夫か自分のどちらかが仕事を休まねばなりません。我が家でも双方の仕事の状況、休んだ場合の影響を基にどちらが休むかを決め、対応にあたります。この際、関係者との調整等、迅速なオペレーションの変更が可能なのは現状の把握ができているからです。
システムでも同様、インシデントによる影響の特定にはシステムの現状把握が欠かせません。緊急時のシステム停止まで想定すると、システムの構成、稼働するサービス、他システムとの連携等、詳細に把握することが必要です。しかし、社内では多数のシステムが稼働し、限られたCSIRTのメンバーだけでは対応が困難です。そこで、最低限、各システムの担当者を特定し、いざという時の連携体制を整備することが必要です。
終わりに
インシデントと考えると難しくとらえてしまいがちですが、意外に身近に起きている事象と共通点が多くあり、シンプルに考えることができます。予算や人材が不足する中でもできることから取り組んでいただき、少しでも早くインシデント対応を実施できるCSIRTを実現していただきたいです。
図:子供の病気対応から考えるセキュリティインシデントの改善ポイント
「Computer Security Incident Response Team」の略であり、コンピュータセキュリティにかかるインシデントに対処するための組織を指す
「Security Information and Event Management」の略であり、セキュリティイベントやログの一元管理および、横断的な分析をし、セキュリティ機器単体では見つけられない不正アクセスの痕跡や兆候を検知、分析、可視化する製品を指す
「Security Operation Center」の略であり、24H365D体制でサーバやコンピュータ、ネットワーク等を監視し、サイバー攻撃の検出・分析等を実施する組織を指す
このような状況のCSIRTは「名ばかりCSIRT」と呼ばれることがある
http://www.intellilink.co.jp/security/services/consulting/10.html