今後求められるのは“プロアクティブな”インシデントレスポンス態勢
林氏は「今後求められるのはプロアクティブなインシデントレスポンス態勢です」と強調する。標的型攻撃などを考えると防御するだけでは対応しきれないため、検知能力を高めることが重要となる。検知が早ければ早いほどビジネスへの影響も最小限に抑えることが可能だ。
そうした背景をうけてSOC(セキュリティオペレーションセンター)やCSIRT(インシデントレスポンスチーム)の重要性が注目されている。SOCは検知、トリアージ(対策の優先順位を設定)、CSIRTへのエスカレーションを行い、CSIRTは関連部門との調整や事象の公表などを行う。問題の早期解決と沈静化には両者の連携が欠かせない。
SOCは技術的な側面が大きいため外注しやすいのに対し、CSIRTは組織としての対応が中心となるため自社で準備すべきことが多い。どこから手を付けたらいいのか戸惑う企業も多いことだろう。どの項目について、どのようレベルまで、誰に対して報告すべきか。林氏は簡単に指針を示した。
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]
インシデントが発生して報告するような緊急態勢では、重要になるのは部門間連携だと林氏は指摘する。例えば記者会見で情報漏えいのお詫びをしているときSNSに同社のキャンペーン広告が表示されたままだと、世間からの心証は悪くなる。CSIRTを緊急対策本部として部門間で連携し、各ステークホルダーに適切な対応をするような態勢を整えておく必要がある。
サイバー攻撃対策の重点は防御から検知へと移ってきている。経営へのインパクトを最小限にするための態勢作りや計画策定は今すぐに取り組むべき課題である。
