logo_cissp

インシデントとは?

今回は、インシデント対応について解説します。

まず、インシデントとは何でしょうか。本来の英単語の意味合いとしては、事故とか事件、出来事なんかを指す言葉だと思います。セキュリティの世界では、情報管理やシステム運用に関して保安上の脅威となる事象の事を指すと考えてください。

平たく言えば、セキュリティ上の問題ですね。

これが起きたときには、当然CISSPとしては対応、もしくは対応の指揮を執らなくてはなりません。インシデント発生時の扱い方を見ていきましょう。

monitor

最初のステップ トリアージとエスカレーション

インシデント対応は、検知するところからまず始まりますが、検知は幅広く行う事が重要です。ここでは無駄に終わっても、疑いがあるものは検知するという、フォルスポジティブの考え方に基づいて検知を行うことが必要です。

そして検知後、最初に行うべきはトリアージです。

医療関係の方は聞きなれている言葉かもしれませんが、少ない限りあるリソースで、多数の脅威に対して対応を行うわけですから、対応に優先順位をつけなくてはなりません。その優先順位をつけることをトリアージといいます

そして、その重要度によって、適切なエスカレーションを速やかに実施できるようにしておきます。これは日頃からきちんとルールとして定めておく必要があり、組織の「セキュリティポリシー」としてきちんと定義しておきます。

また、事件性のあるインシデントが発生した場合には、警察や、海外であれば外務省などの外部機関へのエスカレーションルール(どの時点で頼るのか)も定めておく必要もあります。

どういう状態になったら、誰を頼るのか、という決まりを定めておくことが肝要です。

調査

トリアージにより「ふるい」をかけた、対応すべきインシデントについては、調査を行っていきます。調査にあたって必ず念頭におかなくてはならないのは、影響を低減化するということです。枝葉の細部を追及するよりも先に、影響を少しでも抑えるという事を優先して考えます。

火事の時に、出火原因を探るよりも、まず消火する、というのと同じですね。

調査のステップにはやっかいなことがあります。調査とはいえ、機密性に配慮しなくてはならないということです。どういった緊急時にどういった情報にアクセス可能とするか、これはあらかじめセキュリティポリシーとして定めておきましょう。

証拠についても適切に管理する必要があります。(これは後日別途解説します)

調査のコツとしては、犯行のMOMと呼ばれる、「手段」「機会」「動機」を考える事です。
とくに「動機」が不明な場合は犯行の目的がわからず、再発防止という事を踏まえると、終わりが見えなくなります。動機の推察から、手口を仮説として考え、証拠をそろえてく、というのが基本的な流れとなります。

調査にあたっては、インタビューを関係者に行う必要がある場合があります。オープンなインタビューは協力的に行われるので、一般的な情報収集時に用います。逆にクローズなインタビューは敵対的になるため、特定目的(最後のツメなど)に用います。このあたりのテクニックが重要なファクターとなりますが、インタビューを行うのは必ずしもCISSPとは限らず、人事や直属の上司であることもありますが、指示、指南を出すことがCISSPには求められます。

次回の記事へ
前回の記事へ