ナレッジ

CSIRTに求められる2つの視点! ~技術に偏りすぎ?見落としがちなもう1つの視点とは?エコシステムなインシデント対応組織の実現!~

【連載】勘違いセキュリティ(あなたの理解は大丈夫?)  

サイバー攻撃は、事業活動の継続が困難になるといった経営リスクにまで発展しており、企業にとって大きな悩みの種となっている。警察庁が公表した「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、企業に甚大な被害を与えるランサムウェアの被害報告件数が前年2021年上期に比べ2022年上期は1.5倍に増加している。そして今、これら企業を標的とするサイバー攻撃へ対処する組織としてCSIRTへの関心が高まっている。

CSIRTとはComputer Security Incident Response Teamの略称であり、組織内で発生したコンピュータセキュリティ、ネットワークセキュリティに関連する事件・事故(以下、インシデント)対応を行う組織である。一般的にCSIRTの役割というと、インシデント通報の受領、感染端末のトリアージ、封じ込め・調査対応(ネットワークからの隔離、感染端末・マルウェアの解析、通信内容の調査など)が挙げられる。

ただし、実際のところインシデントへの対応は、これら技術的対応のみで事足りるのだろうか?CSIRTにとってインシデントを収束させるための活動とは何なのだろうか?よくある誤解として、ある企業のセキュリティ担当役員A氏の話が以下にある。

A氏の考え方は正しいのであろうか。技術的なスキルを備えた組織という点ではCSIRTの本質を捉えているように思われる。しかし、ここに見落としがちな視点がある。以降、インシデント発生時に対応するべき見落としがちなもう一つの視点について解説する。

 

インシデント発生時に求められるもう一つの視点「人的対応」とは

近年、多くの企業で“サイバーセキュリティ”という言葉が浸透し始めており、サイバー攻撃に備えたセキュリティ対応組織、CSIRTを社内に設置する動きが増加している。これらCSIRTがサイバー攻撃を受けた際に対応する“インシデント対応”というと、高度な専門用語や専用機器を駆使し攻撃の解析、被害全容の把握等の技術的対応が実施されるイメージを持たれやすい。

しかし、これら技術的対応のみで、インシデントが収束しない場合が多くある。この際、必要となる対応が「人的対応」である。人的対応とはインシデントにより生じる副次的な影響への対応を指し、起きてしまった危機(=サイバー攻撃)によりに生じる二次被害を最小限に抑えるための危機管理対応のことである。

本稿で扱う技術的対応と人的対応は以下のように定義する。

 

定義

対応例

技術的対応

コンピュータなどの電子計算機に関する調査、解析対応を指す

・ネットワーク遮断

・フォレンジック

・ログ分析

・コンピュータウイルス解析

人的対応

インシデントにより生じる副次的な影響への対応を指す

・広報対応

・問い合わせ対応

・損害賠償対応

・監督官庁への報告対応

・法務対応

・渉外対応

仮に、オンラインショッピングサイトに対する不正アクセスが発生し、一時的にオンラインショッピングサイトの運営を停止した際の人的対応について解説する。

はじめに、顧客情報や決済情報を扱うオンランショッピングサイトがサイバー攻撃に遭い、継続してサイバー攻撃が可能な状態であることから、情報漏洩による被害拡大を防止する目的で、一時的にオンラインショッピングサイトを停止することが望ましい。

続いて、インシデントにより生じる二次被害を最小限に抑える人的対応が必要となる。この場合、一時的にオンラインショッピングサイトを停止することにより生じる二次被害への人的対応が必要となる。仮に突然、オンラインショッピングサイトを停止した場合、顧客は、サービスが突然利用できなくなったことへの不信感や不安、不満等の負の感情を抱き、今後、会社のサービスを利用しないといった顧客離れ等の二次被害に繋がる恐れがある。そのため、オンラインショッピングサイトの停止と同時に顧客に対し、プレスリリースを公表することが望ましい。

他にも、インシデントにより個人情報が漏洩した場合、漏洩した本人への通知、通知に伴う問い合わせ対応、賠償責任対応、取引先や監督官庁への報告対応等の多岐に渡る人的対応が必要となる。

 

インシデント対応時に求められる3つの有機的な連携

では、技術的対応と人的対応、それぞれがインシデント収束に向けて対応すれば良いのでは?と思う方もいるかもしれないが、両者はインシデント対応時、互いに有機的に連携し、協力することが求められる。

ここからは技術的対応と人的対応が有機的に連携しインシデント対応にあたる3つの状況を解説する。
 

①技術的対応と人的対応の有機的な連携

技術的対応と人的対応とでは対応内容の毛色が異なり、どのように有機的に連携し、協力し合うのか想像がつきにくいかと思われる。実際に、CSIRTが対応する技術的対応と、人的対応の一つである広報対応とでは、対応内容が全く異なる。しかし、実際のところ、これら技術的対応と人的対応が有機的に連携せずに対応した場合、別の二次被害が生じる恐れがある。

インシデント発生に伴い、広報部門にてサイバー攻撃が発生した旨のプレスリリースを作成したとする。プレスリリースは発生した事実に基づき、読み手が理解しやすい内容で記載することが求められる。仮に初報で公表した内容と続報以降で公表した内容に相違が生じた場合、顧客、外部専門家などから指摘や苦情が多数寄せられ、結果として企業のブランドを傷つけてしまう恐れがある。とはいえ、広報部門に対し、技術的な事象を正しく正確に理解し、プレスリリースの作成を求めることは非常に困難である。

このような場合、技術的対応と人的対応が有機的に連携し、互いに協力することが必要となる。CSIRTは、広報部門が作成したプレスリリースの内容を技術的な観点からレビュー、修正を行い、広報部門はプレスリリース公表に関する知見を基に、CSIRTがレビュー、修正した内容を再度、確認する必要がある。

このように、技術的対応と人的対応は互いに有機的に連携、協力しインシデント対応にあたることで、二次被害の発生を抑えることが可能となる。
 

②人的対応同士の有機的な連携

続いて、人的対応同士の有機的な連携についてである。インシデント発生時、広報対応、問い合わせ対応など複数の人的対応が必要になるが、これらも①同様に有機的に連携しなければ十分に機能せず、別の二次被害が発生する可能性がある。

インシデント発生により、広報部門がプレスリリースを公表したとする。プレスリリースの公表に伴い、プレスリリースを目にした顧客から顧客対応部門に対し多数の問い合わせが寄せられる。事前に、広報部門と顧客対応部門の間で、顧客からの問い合わせについて認識を共有していなかった場合、広報部門が公表した以上の内部情報を回答してしまう恐れがある。そして顧客の間で誤ったサイバー攻撃に関する情報が拡散され、その結果、いわゆる“炎上”状態となる。そのため、広報部門と顧客対応部門ではプレスリリースと問い合わせ対応内容を事前にすり合わせしておくことが望ましい。

以上より、人的対応同士の連携が不十分である場合、別の二次被害が生じる恐れがあることから人的対応同士においても有機的な連携が求められる。

また、技術的対応を担うCSIRTにおいても、インシデント対応部門として各部が実施する対応について、常に把握、サポートできるよう人的対応同士の有機的な連携においても関与する必要がある。
 

③部門横断の統括チームにおける有機的な連携

最後に、部門横断の統括チームにおける有機的な連携についてである。インシデント発生時、技術的対応部門、人的対応部門の間で有機的な連携が複数、同時に行われる。これら連携は互いに情報を共有し、足並みを揃えインシデント対応にあたらなければ、別の二次被害が発生してしまう。とはいえ、迅速な対応が求められるインシデント環境下において、それぞれの部門が個々に連携し、足並みを揃え対応するのは、対応の遅滞にもつながり困難である。そのため、インシデント対応を担う全ての部門が一堂に会し、一元的に情報連携、対応方針を定めることが可能な統括チームの設置が重要となる。統括チームの設置により、インシデント対応に係る全ての対応を一元的にコントロールすることが可能となる。このように、統括チームでは、部門間の連携、サポート、対応方針の協議・決定、対応結果の共有とインシデント対応で必要となるピースが互いに有機的に連携しあう、エコシステムとして機能する。

これら、統括チームのコントロールはインシデント対応部門であるCSIRTが担うのが望ましい。

※画像をクリックすると拡大表示します

 

CSIRTの高度化に向けて

CSIRTの高度化に向けた取り組みとして、よく訓練が用いられる。前節にて説明した3つの有機的な連携においてCSIRTは全てに役割を有している。つまり、単にCSIRTの高度化訓練を実施すると言っても、これら3つの有機的な連携を包括的に含む訓練を実施することが必要となる。連携に求められる機能や体制はそれぞれ異なるため、各連携の要点を捉えた訓練設計が重要となる。

以下に訓練設計に必要な各連携の要点をまとめている。

連携

要点

①技術的対応と人的対応の有機的な連携

・連携方法・タイミング

・技術的/人的対応の知見に基づくレビューの方法

②人的対応同士の有機的な連携

・連携方法

・対応内容の相互調整

・実施タイミングの調整

③部門横断の統括チームにおける有機的な連携

・各部の役割

・連携方法

・対応内容

・ガバナンス・統制体制

また、訓練は一度実施したら終わりではなく、組織再編、人事異動など、変化する社内環境に対応する意味でも最低年一回、定期的に実施することが望ましく、訓練で顕在化した課題への対応も併せて必要となる。

 

※画像をクリックすると拡大表示します

 

効果的なインシデント対応体制の構築に向けて

インシデント対応は技術的対応だけでなく人的対応も併せて必要であり、かつ両者は有機的に連携され実施される必要がある。さらに、各連携の特徴を捉えた包括的な訓練を実施することでインシデント対応体制が高度化され、結果として効果的なインシデント対応体制の構築につながるということである。これらを踏まえ、セキュリティ担当役員A氏の考えが下記のようであれば、今後のインシデント対応体制構築に向けた取り組みに期待が持てる。


執筆者

成瀬 景明(なるせ かげあき)
デロイト トーマツ サイバー合同会社

デロイト トーマツ参画後、CSIRT組織を中心にポリシー、プロシージャ作成、インシデントレスポンス、部門横断のインシデントトレーニング支援等のアドバイザリー業務に従事。

お役に立ちましたか?