"彼を知り己を知れば百戦危ふからず"。中国の春秋時代の孫子の兵法のあまりにも有名な一節だが、専門的な要素が複雑に絡むセキュリティに関する分野では、敵を知ることも己を知ることもできない。そんなケースも多いのではないだろうか。各組織のレベルに違いはあるとしても、少なくとも何かが起こった場合にどう対応するか?を決めておくことは組織防衛には必要になる。Symantec Cyber Security ServicesのIncident Response部門のDirectorであるShawn Dorsey氏がインシデントレスポンスプランの有効な回し方をSymantec Blogsに寄稿している。
同氏は、セキュリティ担当は予測できない事態に備えインシデントレスポンスプランを事前に設定しておくことを推奨している。セキュリティ問題が起こった時にプランに則った対策をチームが取ることができる。そのため、被害を最小限に抑えることができるからだ。このインシデントレスポンスプランが最大の効力を発揮するために、セキュリティベンダーのSymantecは次の7つを紹介している。
1.機能するプランを
大企業ならセキュリティ事件に対してよく考え抜かれた計画を持っていると思いがちだが、Dorsey氏はPonemon Instituteの2015年の調査(3分の2が1,000人以上の従業員を持つ)の60%が「インシデントレスポンスプランがない」「アドホック型のプランならある」、「きちんとしたプランを全社導入している」という回答が17%にとどまることを例示。3年前の事例だが、驚くべき事実でよくよく考えると"ぞっとする"と率直な感想を述べる。自社が深刻なインシデントにどのように対応するのか「考えられてはいる」では不十分だ。自社にしっかりと形式化されたプランがないのであれば、最初のステップは全員がプラン作成に合意することだと指摘している。
2.「インシデント」を定義する
なにが「インシデント」なのかをきちんと認識し、種類と深刻度に合わせてカテゴリ化すること。奇妙に感じるかもしれないが、きちんと効果をうむインシデントレスポンスプランを組み立てるにあたってインシデントを定義する必要がある。Dorsey氏は、具体的な例を挙げインシデントの定義がレスポンスのレベル決定に影響することを示す。
・自社のファイアウォールに開いているポートがないかとランダムなスキャンがあった場合
・誰かがネットワークに侵入しようとアクティブに試みている場合
・システムになんとかアクセスし、今度はPII(個人を識別できる情報)のリポジトリへのアクセスを試みている場合
・あるいは出社するとランサムウェアがデータを人質に身代金を求めている場合
これらではレスポンスは違ってくる。レスポンスプランの一部として、インシデントの種類を定義する必要があり、定義を行なったら、レスポンスの適切なレベルを決定しよう。これにより、スタッフがプランを使って適切にインシデントとして昇格させたり、どの時点でインシデントレスポンスチームを発動させるかのガイドラインを設けることができるようになるとその重要性を指摘する。
3.プラン(と補足するドキュメント)を最新のものに
しっかりとしたプランが策定されていても移り変わりの早い情報セキュリティの分野では更新が不可欠になる。同氏は、企業がレスポンスプランを実際に使うほどのインシデントがなかったとしても、人が異動していたり、電話番号が古くなっていることがあると述べ、プランの定期的なアップデートを忘れないようにとステップに組み込んでいる。人の問題だけではなく企業によっては資産管理、ネットワークのドキュメント化、部門間でのポリシー共通化などがきちんとできていないことがある。特に企業の吸収合併があった場合は、ネットワークとネットワークのセキュリティポリシーが親会社のものに連携するまでに時間がかかるとし、ネットワーク関連のドキュメントとインシデントレスポンスプランを定期的にアップデートすることで、いざという時の混乱を最小限にできることを説いている。
4.プランを立てたらテストを
Shawn Dorsey氏はインシデントレスポンスプランを持つ企業のうち、3分の1を上回る企業がプランを策定した後に何もしていないことを明かし、これでは必要な作業を行うための「チェックシートを記入した」だけに過ぎず、その結果としていざという時にテストされていないプランをいきなり行うことになると述べる。また、現実の運用環境でやってみたことがないプランを非常事態にいきなり実行することは、場合によっては計画が全くない状況よりも危険かもしれいと定期的なテストの実施を訴える。また、プランがちゃんとしたものかどうかを知る1つの方法としてtabletop exercise(緊急時における議論や役割をシミュレーションで行う机上訓練)を薦めている。大型のインシデントにどのように対応できるのか、企業の各部署がきちんと協調的に作業できるのかを試すことができるためだという。
5.適切な人がテストをする
テストに誰が参加すべきか?も重要な決定事項になる。組織におけるセキュリティ対策という意味ではたしかにこの部分が大きな意味を持つ。Shawn Dorsey氏は、中核となる情報セキュリティチームはもちろんだが、それだけでは不十分で、幹部、広報なども大きな役割を果たすし、法務も参加すべきだろう。さらには、情報技術チーム(情報セキュリティではなく)も机上訓練に入るべきで、実際のインシデントで重要になるサードパーティやパートナーも同じだと述べる。単に顔をあわせておくだけでも意味があり、例えば、情報セキュリティチームは通常の業務で法務や広報とやりとりがほとんどないはずで、問題が起こった時に全く知らない人といきなり協調するのは難しいと至極当然だが、重要なポイントを挙げている。
6.テストを頻繁に
テストは最低でも年1回行うようにと具体的な頻度を例示している。大企業であれば、もっと回数が多くても良いが、机上訓練を2日連続して行うが、毎日4時間だけにするなど、参加者のスケジュールを調整しながら実施していくことが肝要であることを述べている。シナリオでは、実行レベルでいくつかの意思決定をする必要が出てくるため、訓練目的の意思決定を処理する専任者を任命しておくことをポイントに挙げている。専任者は流れを経験でき、簡潔にリーダー陣に説明することができるそうだ。
7.インシデント後のアクションプランを
残念ながらインシデントが発生して、レスポンスプランを実行した後は、うまくいったこと、うまくいかなかったことを書き出して、次回のためにレスポンスプランに反映させようと記録、形式化しておくことを最後の項目に掲げている。学びが重要なことはわかっていても、レスポンスプランの修正を優先順位をつけてプランに入れておかないと後回しになりやすいそうだ。インシデントの後の復旧作業も残っているだろうが、レスポンスプランの見直しや修正も、インシデント後の作業の1つにしたいとShawn Dorsey氏は述べている。
最後にレスポンスプランの策定、テスト、修正から改善していくことは、簡単ではないが何かが起こった時に被る被害と比べると安価であり、全てのインシデントを予防することは不可能だが、プランがあることでインパクトを抑えることはできる。ぜひ取り組むべきだとレスポンスプランを奨めている。
