あなたの所属する組織は、サイバー攻撃にさらされた時、適切なインシデント対応が行えるでしょうか?組織のセキュリティ担当の方も、そうでない方も、考えてみてください。自分がセキュリティ担当者だった場合には、実情はよくお判りでしょう。一般の職員の方でも、自組織では最低限の準備がとられているのかどうかを判定できる方法があります。それは例えば、自分が標的型メールの添付ファイルを開いてしまった時、どこに連絡すればいいのかを知っているか、どうか?です。
「インシデント」は非常に幅広い言葉であり、その具体的な被害内容は多岐にわたります。中でも特に、自組織での迅速かつ適切な対応が重要なものとして、ネットワークへの脅威の侵入があります。2015年に発生した年金事業者の被害事例、そして 2016年に発生した大手旅行会社の被害事例など、組織内ネットワークに脅威が侵入したことから組織が持つ情報が侵害された多くの事例が発覚しています。このような被害事例の中でも、2015年以降にトレンドマイクロが対応した事例の 9割近くで、組織のネットワーク内部から外部への「不審な通信」を外部から指摘されたことがインシデント発覚の発端になっています。内部から外部への不審な通信の存在は、自組織のネットワーク内に何らかの脅威が侵入した可能性が高い状況を表す「被害の兆候」です。このような被害の兆候について、多くの被害事例では外部からの指摘で気づいており、自身で気づけた組織は少ないことがわかります。外部から指摘されたにせよ自身で気づけたにせよ、自組織ネットワークへ脅威が侵入した可能性に気づいた場合に、組織として「インシデント対応」の実施が必要です。
図:インシデント発覚の発端の割合
(2015年1月~2016年6月にトレンドマイクロがインシデント対応支援を行った事例から集計)
インシデント発生時に自組織内で対応のすべてを実施できるような組織はわずかでしょう。多くの場合、様々なポイントで様々な外部ベンダーとの連携が必要となります。だとしても、被害の極小化や原因追及のための情報確保については、自組織内の自発的な判断による対応の実施が必要です。そして、迅速かつ適切な対応の実施には、事前の準備が欠かせません。侵入を受けてから対応方法を考えていたのではまさに「泥縄」であり、とても迅速かつ適切な対応は望めないのです。冒頭の一般職員が何らかの不審な兆候を感じた際に「どこに連絡すればいいかを知っている」、つまり緊急時の連絡先が周知徹底されている、というのも、インシデント対応の重要な事前準備の 1つです。
トレンドマイクロでは、法人組織におけるインシデント対応のガイドブックとして、『すぐ役立つ!法人で行うべきインシデント初動対応』をまとめました。このガイドブックでは、現在の法人組織を狙ったサイバー攻撃の傾向を鑑み、万が一自組織が攻撃を受けた場合に、インシデントに直接対応するセキュリティ担当者が最低限行うべき対応方法を参照していただくものです。また、的確なインシデント対応のために、平時から備えておくべき事前の準備についても提示しています。現時点で何かが起こった場合のインシデント対応が不安な担当者の方はもちろん、すでにある程度の対応体制を構築されている担当者の方にも参考にしていただけるものとなっております。自組織のインシデント対応のための参考としてください。
『すぐ役立つ! 法人で行うべきインシデント初動対応~「不審な通信」その時どうする~』:
http://www.go-tm.jp/ir-guide