米Identity Theft Research Center によると、2017 年に 1579 件のデータ侵害が発生しました。これは過去最悪の件数であり、前年よりも 45 パーセント近く増加しています。

多くの IT サービス プロバイダーと同様、このページをご覧の皆様もこの種の統計情報には無頓着になりつつあるのではないでしょうか。しかし、現実から目を背けてはなりません。あらゆる組織は早晩、セキュリティ インシデントに見舞われるでしょう。

したがって、顧客に悪影響が及んだり業務が中断しないよう準備を整えておくことが重要です。

しかしながら、これからは大小を問わずどの組織も、具体的な要素を気にかけておく必要があります。たとえば、ハッキングを受けると具体的にはどのような状況に陥るのか。実際、どのような情報が盗まれ、漏洩するのか。また、その影響とはどのようなものか、などです。

これらの疑問に対して決定的な答えを提示することは困難ですが、データ侵害を生き延びるための最善策は、先を見越してインシデント対応計画を策定・実施することです。インシデント対応計画とは、潜在的な (そして場合によっては回避しようのない) セキュリティ インシデントへの対応とそこからの復旧に役立てるべく詳細を定めた文書のことです。中小企業各社から保護やアドバイスを求められる皆様のようなマネージド サービス プロバイダー (MSP) が、この 6 つのステップを通じて確固たるインシデント対応計画を策定することにより、皆様のクライアントは侵害に迅速かつ効率的に対応して被害の最小化を図ることができます。

ステップ 1: 準備を整える

インシデント対応計画策定の第 1 段階は、定義付けと分析、特定、準備です。クライアントはセキュリティ インシデントをどう定義するでしょうか。たとえば、攻撃未遂もインシデントとみなすのか、それとも攻撃が成功して初めて対応を必要とするのかを確認します。次に、企業の IT 環境を分析し、定義に該当するインシデントが起きた場合に業務を継続するにはどのシステム コンポーネントやサービス、アプリケーションが最も重要かを見極めます。また、インシデント発生時に保護を必要とする重要なデータを特定する必要があります。どのようなデータが存在し、どこに保存されているのか。また、自社および侵入者にとっての各データの価値はどの程度かを確認しておいてください。クライアントの IT システムにとっての重要性を多角的に肌で理解していれば、テンプレート化した対応計画を用意するのに役立ち、データを迅速に回復できるでし
ょう。

準備段階をリスク評価と捉え、クライアントのシステムの潜在的な弱点を現実的に認識することです。障害の可能性があるコンポーネントすべてに対処する必要があります。この評価を早期に実施してこそ、クライアントのシステムの管理・保護を徹底し、対応に必要なリソース (人員および設備) を割り当て、次のステップへと進むことができます。

ステップ 2: 対応チームを結成する

次に、皆様の社内およびクライアント企業の専門家集団を招集し、対応チームを結成します。このチームのメンバーは、データ侵害に伴う喫緊の問題の緩和に取り組み、ステップ 1 で特定した要素を保護し、インシデントの結果として起きた事態に対応します。

MSP としての皆様の主な役割のひとつは、インシデント解決の技術面と、他のパートナーとのコミュニケーションにまたがります。皆様は、クライアント企業のバーチャル最高情報セキュリティ責任者 (vCISO) となることを目指し、インシデント対応マネージャーとして技術と手順の両視点から対応を監督・調整することになるでしょう。

ステップ 3: 対応の要件と解決所要時間を概括しておく

ステップ 2 で結成したチームの各メンバーは、検出、対応、被害の緩和、所定のタイム フレーム内でのインシデント解決に従事します。対応・解決の所要時間はインシデントの種類や深刻度によって異なる可能性がありますが、いずれにしても、事前にこのタイム フレームを確立し、全員で認識を共有しておくべきでしょう。

クライアントに尋ねてみてください。「侵害の影響を最小限に抑えるため、短期的および長期的に必要となるのは何ですか。動作不能な状態をどの程度の期間許容できますか」と。これに対する答えを参考にして、セキュリティ インシデントへの対応とその解決に必要な具体的要件およびタイム フレームを大まかに把握できます。

場合によってはもう一歩踏み込み、チームに求められるアクションとそれぞれの対応所要時間を概括したクイック レスポンス ガイドを作成してもよいでしょう。被害を受けた個所を修復し、クライアントのシステムをフル稼働状態まで迅速に復旧させるために実施すべきステップを文書化しておくのです。このようなガイドを提供するのであれば、ネットワークまたはシステム全体に障害が起きた場合に備え、クライアント用に印刷しておくことをお勧めします。

ステップ 4: 障害回復戦略を策定する

他のすべてが失敗に終わった場合、障害回復のための計画が必要となります。これは、影響を受けたシステムおよびデバイス、データを復旧させ、クライアントのビジネス環境に戻すプロセスです。

信頼性の高いバックアップおよび障害回復 (BDR) ソリューションを活用すれば、こまめなバックアップと回復プロセスの実践によりデータ損失および将来的な被害を緩和できるため、クライアントが侵害インシデントを生き延びる可能性を最大限に高められます。インシデント対応計画の一環としての障害回復計画は、最適な回復ポイントの確保につながり、トラブルシューティングおよび再発防止に役立ちます。セキュリティ インシデントが必ずしも障害回復シナリオに至るとは限りませんが、必要なのであれば BDR ソリューションを用意しておいた方が賢明です。

ステップ 5: 訓練を実施する

インシデント対応計画策定の最初の 4 つのステップを終えたら、今度はテストが必要です。対応チームで、インシデントが発生したという想定での訓練を行います。訓練が開始されたら (または本物のインシデントが発生したら)、コミュニケーション ツリーに従い、まずは PR および法務、経営幹部、その他チームにインシデント発生の旨を通知します。状況の進展についてはインシデント対応マネージャーが関係者全員に対し定期的に報告を行い、顧客や規制機関、パートナー、法執行機関への必要に応じての通知方法を明確化します。なお、クライアントの業種によっては、関係当局への通知や証拠収集が法律で義務付けられている可能性があります。このような訓練は、有効な策や改善点を見極めたり、実際のインシデントに備えて計画を最適化するのに役立つため、対応チームは真剣に取り組む必要があります。

ステップ 6: 報告会を予定する

最後に、すべてを締めくくる意味で報告会を行います。実際のセキュリティ インシデントの場合、このステップでは影響への対処と継続的に改善すべきポイントの特定に焦点を絞る必要があります。この機会に、インシデントレポートの作成、チーム全員でのギャップ分析の実施、インシデント後のアクティビティのチェックといった事項に取り組んでください。

どの企業もデータ侵害が起きないよう願っていますが、起きてしまうことを想定して計画を立てることが不可欠です。この 6 つのステップにより、皆様もクライアントも障害に十分備え、発生時には適切な対応を取り、将来のために可能な限りの教訓を得ることができます。

Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments Box