事前対策が疎かに? 3段階チェックで今すぐできる備えを
新井:さらに、何をインシデントとして報告するかも悩ましい問題です。たとえば、ネットワークスキャンだけで報告すべきなのか、大量にPingが発生するたびに報告するのかといったことですね。これについては、最後に辻さんから一言あると思います。
辻:一言ではすまないですが、私の方から説明します(笑)。インシデント時の報告ルールは必要ですが、最近は侵入後の対応ばかり強調されていて、事前対策が忘れられている気がします。「侵入前提」という言葉が多用され、侵入されることを諦めているのではないかと感じています。実際、攻撃者は下調べをして準備を進め、タイミングを見計らって攻撃します。守る側も同様に準備が必要です。
そこで、経済産業省の『サイバーセキュリティ経営ガイドライン』の「付録C」をご紹介したいと思います。これは誰でもダウンロード可能で、Excel形式でインシデント対応を整理していくためのシートです。実はこの資料の作成に関わったのは私です。
この資料には、インシデント発生時の対応がまとめられており、「初動対応」「原因調査」「再発防止策」の3つのフェーズにおける項目を整理しています。初動対応には、被害範囲の確認やサービス停止の判断などが含まれます。たとえば、自社が踏み台になってマルウェアを配布してしまった場合、サーバーを停止する必要があるかもしれません。そのことを公表してリリースや謝罪文を出すような状況になった時にも対応する必要がある。このような対応を指します。また、第1報、第2報、最終報といった情報発信の段階ごとに、外部への公表や関係者への報告に対応する内容も含まれています。
[画像クリックで拡大]
この資料は当初、「インシデントが起きたときに把握すべきこと」というようなタイトルだったのですが、途中から“備えるため”の参考情報というタイトルに変更しました。皆さんには、ぜひこの資料をダウンロードして使っていただきたいと思います。たとえば、メールによる攻撃を受けた際、自社がこの資料に記載されている項目をしっかり埋めることができるかどうか、机上でシミュレーションしてみる。実際に埋められない部分があれば、そこが自社における準備不足のポイントとなることがわかります。
また、このような対応を自社では行わず、外部のベンダーに任せている場合も多いでしょう。SIerの立場で対応にあたっている方もいるかもしれませんが、事故が起きてから動き始めるのでは遅すぎます。たとえば、ある事象が発生した際に、それを保守契約の範囲内で対応してもらえるのか、追加費用が発生するのかなどを事前に確認するための資料として活用いただければと思います。
[画像クリックで拡大]
最後に、皆さんにお願いがあります。官民連携による情報共有を促進するためにも、第1報、第2報、最終報のようなインシデント情報の公開が重要です。ぜひ、被害に遭ったらそのインシデント情報を公開することにご協力いただければと思います。「対策が不十分だったのでは?」という批判も出てくるかもしれませんが、将来的には、誰もがその情報の恩恵を受けるという考え方が広がれば良いと考えています。またお会いできることを楽しみにしています。ありがとうございました。
「サイバー安全保障分野での対応能力の向上に向けた有識者会議」
国や重要インフラなどのサイバー空間における安全を確保すべく、サイバー安全保障分野での対応能⼒を欧⽶主要国と同等以上に向上させることを目的に、産官学の有識者で議論が進められている。
