インシデント発生時にスムーズな対応を実現するためには、実際に誰が、どのように動くのかという担当や手順を定めておかなければならない。これが定まっていないとインシデント発生時に何をしていいかわからない状態になってしまうからだ。
「Secureworksでも、台本となるCSIRTポリシーはもちろん、その先にあるプロセスガイドとPlaybookといったものの策定を助けるサービスを提供しています。CSIRTポリシーは業界標準を参照しながら作成しますが、プロセスガイドやPlaybookは経験を踏まえて独自の形で策定しています」と大沼氏。
同社で提供する策定サービスでは情報漏洩、マルウェア感染、サーバ侵害という攻撃に対してプロセスガイドでは誰がどう動くかという手順を策定する。どのサーバのログを参照するのか、誰に詳細を尋ねるのか、誰にどのような指示を出すのか、どういう事態になったら経営者の判断を仰ぐかといった手順だ。そしてPlaybookではさらに詳細な、具体的にどんなコマンドを利用して対処するかということを決めておく。
「実際に策定作業を始めてみると、該当する担当者が誰だかわからない、そういう事態を想定したことがなく、担当者を決めるところから始めなければならない、というようなことが起こります。それをきちんと定めて行くことで、CSIRTと各部門との繋がりができていくきっかけにもなります」と大沼氏は語った。
具体的にシステムを止める判断を行う人も定めておかなければならない。独立したCSIRTであっても、社内的なシステムだけならばともかく、外部と連携し、ビジネスインパクトの大きいサービスやシステムの停止を単独で決定することは難しいだろう。このサービスについてはCSIRTの判断で止める、こちらについては状況をまとめて経営層へ進言する、というようなことまでは決めておきたいところだ。
そうした担当者やプロセスを確認し、策定した上で、実効性を確認するための訓練を行う必要がある。担当者を集めての机上訓練はもちろん、外部からの攻撃を受けて実際に対応するような訓練を行うケースもあるという。
「我々がよく行うのは、担当者を集めてシナリオを読み上げながら行う机上訓練です。あるサーバにこういう攻撃がありました、さあどうしますか、と問いかけます。サーバを止めるとこれくらいの被害がありますが本当に止めますか、というような形で考える機会を持ってもらいます。これで事前の腹づもりができるわけです」と大沼氏は語った。
同社では、机上訓練だけでなく、事前にシナリオを公開して打ち合わせをした上で実務演習を行い評価する「Purple Team」サービスや、予告なしに長期的な攻撃を行うことでより厳しい訓練と評価を行う「Red Team」サービスもある。
また、CSIRTの日常的な運営をサポートするものとして、脅威の情報提供サービスやリモートで関しするMSS、インシデント発生時に実務対応を行うインシデントレスポンスも提供する。
「インシデントレスポンスは、事前契約がない状態でもアクティブインシデントとして対応しています。しかし、契約や状況の把握からのスタートになりますので、どうしても時間がかかってしまいます。インシデントは発生しないかもしれないと考えると契約に抵抗があるかもしれませんが、CSIRTのない企業や成熟度が低い企業における保険的な利用もあります」と、大沼氏は自社に不足する能力は、専門家のサービスを上手く利用して備えてほしいと語った。
