インシデントレスポンスのライフサイクル

EnterpriseZine / 2014年11月4日 0時0分

 インシデントレスポンスというと、たとえば、情報漏えいやマルウェアの感染があってから、分析や対処を行うことを思い浮かべるだろう。そしてその中心になるのがCSIRTであると言われているが、前回書いたようにCSIRTは「インシデントが起きてから活躍するチーム、ではない」であると私は考えている。

■インシデントレスポンスのライフサイクル

 さて、インシデントが起きたとき、例えば、内部関係者による情報漏えいのような事態を想定してみよう。内部関係者によって情報が持ち出され、それが名簿業者によって拡散し、それが利用されてしまってから対象の顧客から問い合わせが相次いで発覚した、ということから始まる。

 この事態の場合、最初から重大な事態であることが容易に想定できる。顧客情報漏えいは経営を揺るがす事態に発展することは経営者であればわかることだ。このような場合、インシデントである、ということから始まることになり、しかも、漏れてしまった情報は取り返しがつかないので、事態の把握が最初に行わなければならないことになる。どれだけ漏れたのかという漏えい規模、漏えいの経路が正確に調査されなければならないが、多くの場合、それがすぐにわかることはあまりない。ここで重要なことは「出来るだけ早く」「想定される最悪の事態をもとに行動する」ということになる。

 たとえば、最悪の事態を想定したくないので、その時点でわかっている範囲だけを報道発表する、というやり方では大抵の場合うまくいかない。連日のように修正発表をすることになり、その度に被害の範囲が広がり、結果的に顧客の不信感をあおり、かつ、マスコミに対するネタを提供し続けることになる。

 報道発表などを行いつつ、顧客に対する謝罪などを行い、犯人の特定は法的な対処を行い、事態が沈静化していき、通常の状態にもどっていく。そして再発防止策を検討し実施していく。

■標的型攻撃のインシデントはどのようにして気づくのか?

 このようにインシデントレスポンスは、その発生から平常時に戻るまでのライフサイクルを持っている。

 では、標的型攻撃によるマルウェア感染の場合を考えてみよう。そもそも標的型攻撃によるマルウェア感染に気づくことが難しいことは前回も書いた。既存のウイルスワクチンでは検知できないからだ。では、どのようにして標的型攻撃のインシデントに気づくのだろうか?

 標的型攻撃によるマルウェア感染に気づくには、様々なケースがある。

EnterpriseZine

トピックスRSS

ランキング