インシデント対応を決めていますか?
インシデント(Incident)とは「出来事」や「事件」「事故」などを表す単語です。同じような意味を持つ言葉にアクシデント(Accident)がありますが、アクシデントは自然発生的なもの、偶然起きたものに対して使用する一方、インシデントは人為的なものに対して使用します。そして、インシデントは使う業界によって微妙に違う意味を持ちますが、共通しているのは「好ましくない状況」ということです。
例えば医療現場でのインシデントは、一般的に「ヒヤリ・ハット」と言われることを含めた場面に使われています。また、航空会社や鉄道会社のインシデントは大きな事故に繋がる可能性が高いことから、「重大インシデント」として運輸安全委員会で調査されます。
そしてコンピュータセキュリティの分野では、「情報セキュリティインシデント」という言葉が使用されています。
情報セキュリティインシデントの事案で代表的なものには、情報漏えい、ウィルス感染、不正アクセス、なりすまし、Webサイト改ざん、迷惑メール、サイバー攻撃(Dos攻撃)などがあります。これらへの対策として「情報セキュリティの7要素」と言われるチェック項目を設け、日頃の業務でインシデントに備えておくことが大切です。
情報セキュリティの7要素とは、下記です。
- 機密性(Confidentiality)…権限のない者に使わせない
- 完全性(Integrity)…改ざんされていない
- 可用性(Availability)…必要な時に使える
- 真正性(Authenticity)…利用者が本人であることを証明する
- 責任追跡性(Accountability)…誰によって行われた行為なのか追跡できる
- 信頼性(Reliability)…意図した通りの処理が行われ、安心して使い続けられる状態である
- 否認防止(Non-repudiation)…行為や処理結果を、後で否定されないような仕組みにしておく
この7要素を脅かすことのないよう、データのバックアップ、パスワードの管理、デジタル署名の導入など、日頃の業務でカバーできることはルーティンとして組み込んでおきましょう。特に従業員の入退職や異動によるアクセス権変更などは、その都度きちんと行う必要があります。
このように予めインシデント発生を防ぐための対策は万全にしておきますが、残念ながら完璧に防ぐことはできません。そもそも「インシデントは発生するもの」と考え、発生後の被害を最小限に抑えるための対処方法を決めておくことも重要です。
例えばメールに記載されているURLをクリックし、マルウェアに感染したと思われる場合、まずは感染したパソコンのネットワークを切断します。これで他のパソコンへの感染を防ぎ、外部へ流出するデータも最小限に抑えることができるのです。また、不正アクセスが疑われた場合は、ネットワークを切断したり、パスワード変更やアクセス権を一時外すなどの対処をします。
このように事前にどうするかを決め、社内で共有することで、インシデント発生時に的確な対応ができるようになります。
さらに可能であれば、企業や組織に情報セキュリティの専門チームであるCSIRT(シーサート:Computer Security Incident Response Team)を設置することが望ましいです。CSIRTはコンピュータやネットワークのセキュリティに問題が発生しないよう確認し、もしインシデントが発生した場合は窓口となり、早急に状況を把握・分析、適切な処置を行います。また、今後に向けて再発防止策の策定までを行います。最近では各部門のスタッフがCSIRTを兼任したり、一部業務を外部委託する方法なども取られています。
これらかもサイバー攻撃の巧妙化は、ますます進んでいくことが予測されます。また、メール誤送などのケアレスミスがなくなることはありません。それらの事態に備えて、問題が起こってからゼロから対応するのではなく、事前にシミュレーションをして発生時の初動に備えることが、企業、組織には求められています。
