インシデント対応とは、フィッシングサイトやWebサイト改ざん、マルウェアなどの脅威が起こった際に検知や分析、復旧を行う取り組みです。ここではインシデント対応とはなにか、発生時の対応計画や対策方法を解説します。
インシデント対応(インシデントレスポンス)とは
インシデント対応はインシデントレスポンスとも呼ばれ、セキュリティを脅かす事象が起こった際の早急な検知、分析、復旧を行う体系的な取り組みを指します。かつてインシデント対応は、セキュリティを強化し、いかにインシデントを発生させないかという対策に重点を置いて考えられていました。しかし、近年増加傾向にあるサイバー攻撃は年々巧妙かつ高度化の一途を辿り、ターゲットになってしまうと、被害に遭うのを防ぐことは難しいでしょう。
また、サイバー攻撃だけでなく天災によってサーバーがダウンする、業務で使用しているPCやソフトウェアに脆弱性が発見されるなど、意図的でない事象についても予測しておかなければなりません。
そのため、近年のインシデント対応はインシデントの発生自体を防ぐ手立てを考えながらも、インシデント発生後の対応策についても事前に計画しておく必要があります。
インシデント対応の検知や分析、復旧など対応計画をしっかりと立てておけば、万が一インシデントが発生しても担当者が迅速かつ効率的に復旧処理を行えます。その上、システムやサービスの中断、情報漏えいなどの事故が起こる可能性を最小限に抑えられ、対応した経験や知見は未知の脅威への対策となり得るのです。
インシデント対応が必要なのは、一部のセキュリティ対策に力を入れている大企業だけと思われがちです。しかし、サイバー攻撃はそういった企業を直接狙うだけではなく、取引先の中小企業を経由しての攻撃も増えています。そのため、インシデント対応は企業規模に関係なくすべての企業に必要だと言えるでしょう。
インシデントとなり得る脅威の具体例
インシデントとなり得る脅威としては、以下のような例があります。
- フィッシングサイト
- Webサイト改ざん
- マルウェアサイト
・・・等
それぞれの脅威の特徴を解説していきます。また、具体例の概要だけではなく最新のセキュリティの動向に関して知りたい場合は以下の記事でまとめているため、併せてご覧ください。
参考記事:最新のセキュリティ動向(脅威動向)・トレンドは?脅威ごとに紹介
フィッシングサイト
正規のサービスを装いフィッシングサイトへ誘導し、利用者のIDやパスワード、クレジットカード情報などを盗もうとする行為をフィッシング詐欺と呼びます。フィッシングサイトとは、フィッシング詐欺が行われる際、ニセの誘導先として使われるWebサイトです。
フィッシング詐欺の手口としては「購入完了のお知らせ」「パスワード変更のお願い」などの件名でSMSやメールをユーザーに送信し、ユーザーが本文中のURLをクリックすると公式サイトとそっくりのフィッシングサイトが表示されます。公式サイトと勘違いしたユーザーが画面の指示に従ってIDやパスワードを入力することで、ユーザーの個人情報が奪われてしまいます。
2020年には新型コロナウイルスの影響でテレワークの体制が普及しパソコンやスマートフォンの利用が増加すると共に、マスクの無料配布や給付金についてのフィッシング詐欺も横行し、総務省が注意喚起を行うほどでした。
参考:総務省 特別定額給付金の給付を騙ったメールに対する注意喚起 より
Webサイト改ざん
Webサイト改ざんとは、悪意のある第三者により不正にWebサイトの内容が書き換えられ、コンテンツやプログラムに管理者の意図しない変更が加えられる行為です。
手口としてはWebサーバー上の脆弱性攻撃によるものと、管理用アカウントの乗っ取りによるものがあります。また、攻撃者により意図的にWebサイト上の表示が誤った情報や主義主張を表現する内容に書き換えられてしまうケースや、Webサイトの訪問者をマルウェアに感染させトラブルに発展させてしまう恐れもあります。
Webサイト改ざんにより自社のサイトが書き換え被害を受ければ、企業や組織のセキュリティの甘さを示すことになり、社会的なイメージ低下は避けられないでしょう。
マルウェアサイト
マルウェアサイトとはマルウェアに感染してしまうサイトやマルウェアそのものを指します。
マルウェアとは英語のmalicious(悪意のある)とsoftware(ソフトウェア)が組み合わさった造語で、コンピュータウイルスやワーム、トロイの木馬、スパイウェアなど、不正かつ有害に動作させる意図で作成されたソフトウェアやプログラムの総称です。
マルウェアに感染するとパソコンを遠隔操作され、IDなどの個人情報、金融機関のデータなどを盗み出されるだけではなく、他のネットワークに攻撃をして知らないうちに加害者になってしまうケースもあります。
マルウェアは感染自体に気付きにくいものですが、感染してしまうとPC自体のパフォーマンス低下やブラウザーのリダイレクト、ポップアップ広告が大量に表示されるなどの症状があります。
インシデント発生時の対応計画
インシデントが発生した際は以下の流れで対応します。
- 事前準備
- 検知・報告・確認
- 分析
- 復旧、根絶(対応確認)
順番に具体的な方法を見ていきましょう。
1.事前準備
まず事前準備として行っておきたいことは、インシデント発生時のセキュリティポリシーの整備です。
セキュリティポリシーとは、セキュリティの脅威から会社を守るための方法や方針を定めることです。具体的には、個人情報の取り扱いやデバイスの持ち出しに関する規定、インシデント発生時の役割分担、対応フローなどを指します。
セキュリティポリシーを作成するのは、社内のセキュリティ担当者であることが一般的ですが、作成後は社内で共有し、内容を確認しておくことが重要です。
万が一、内部不正などに情報漏えいやメールによるウイルス感染が起こった場合は企業全体での問題となるため、インシデント発生時の対応内容が現実的かを判断してもらうためにも社内全体に周知し、フィードバックをもらいましょう。
また社内でセキュリティ専門の組織であるCSIRT(Computer Security Incident Response Team)を立ち上げ、日常的にセキュリティに関して高い意識で動けるチームの設置も行うと良いでしょう。
2.検知・報告・確認
サイバー攻撃により情報漏えいの兆候となる不正アクセスなどを検知したら、セキュリティ部署や担当者へ速やかに報告する必要があります。
兆候を察知した人がまず確認すべき項目や、セキュリティ担当者は報告された人へヒアリングする内容をまとめておくなど、事前に対応フローを整えておけばインシデント発生時も冷静に対応できます。
見間違いや勘違いかもしれないと思っても、おかしいと思った時点で情報セキュリティを管理する部署やCSIRTが中心となり、確認を行いましょう。本当にサイバー攻撃かの確認を行う際は、後から調査を行うことも考慮してシステム上の証拠を消さないよう注意します。また、被害の拡大や二次感染を防ぐため、アクセス制限や行動制限、ネットワークの遮断、サービスの停止などの応急処置を行った上で状況の把握や分析を行いましょう。
3.分析
確認が終わった後は適切な対応をするために状況の整理と原因の分析、事実関係を裏付ける情報や証拠を収集します。
具体的に5W1H(いつ・どこで・誰が・何を・なぜ・どうしたのか)の観点で深く状況や経緯を掘り下げていくと良いでしょう。
また、実際にサイバー攻撃の対象となってしまった場合、関係者である取引先、監督官庁、警察、独立行政法人、情報処理推進機構(IPA)などへの報告を行い、漏えい規模によってはマスコミへの公表を検討することも視野に入れましょう。
また、公表する際はインシデントの内容や被害状況に応じて適切な時期や対象を考慮しなければならず、公表後さらに被害が拡大しないよう注意しなければなりません。
4.復旧、根絶(対応完了)
状況を把握し、原因を突き止めた後は被害拡大防止に努めるとともに復旧措置を行います。
具体的には、セキュリティ部門やCSIRTによってサービスの正常稼働を目指すと共に、復旧状況も必要に応じて広く情報公開を行いましょう。
復旧後は、技術的な対策を講じるだけではなく被害にあったクライアントやユーザーの不安を取り除くことを目的にした専用の問い合わせ窓口を開設することも大切です。
インシデント発生後の対策が重要
インシデントの収束後は、発生時の対応フローや復旧作業が適切だったか、どの時点で攻撃を封じ込められたのか、原因を突き止めた上での再発防止策などをまとめる必要があります。
具体的には、より強固なセキュリティサービスの導入や、セキュリティ対策や対応フローの変更、必要に応じた人事配置など、多方面から見直しが必要です。
改善が必要なものに関しては文書化し、インシデントに実際に関わらなかった従業員に対しても情報共有を行います。異なる部署で同様のインシデントが発生しないようフォローアップを行いましょう。
情報共有に関しては、深刻さの度合いに関わらず、どんなインシデントでも共有をすることが大切です。
まとめ
サイバー攻撃は年々巧妙化しているため、可能な限り発生させない対策を立てると同時に、発生してしまった場合の対応策を事前に計画しておくことが非常に重要です。
また、インシデント発生後に改めて対策や対応フローを話し合っておけば、今後新たなインシデントが発生した際にも冷静に対応できます。収束後の対策会議を軽んじることなく、インシデントが起こるたびに真摯に取り組んでいきましょう。
[PR]提供:セキュアワークス