インシデント管理の基本

サイバー犯罪や国家が主導する マルウェアの開発には 多くの資金や技術がつぎこまれており、 企業がどれだけセキュリティに 力を入れても、やはり防御には 一定の限界があります。 サイバー攻撃で企業が受ける 被害の大きさは、日頃から その企業がインシデント対応を どれだけ準備しているかによって 変わります。 NIST サイバーセキュリティ フレームワークでは、 ５つの機能の１つ、 「対応」に管理策がまとめられています。 これらは、「計画」「コミュニケーション」 「分析」「低減」「改善」 という５つのカテゴリーに 分類されています。 以上とは別に「復旧」の機能もあり、 こちらは「計画」「改善」 「コミュニケーション」の ３つのカテゴリーに分かれています。 ５種類のカテゴリーは、 同じく NIST から発行されている SP 800 の 61 『インシデント対応ガイド』の ４段階とも重ね合わせることができます。 サイバーセキュリティフレームワーク との違いは、 ４つの段階すべてで実行される コミュニケーションが、 独立した段階とはなっていないことです。 また、英国のセキュリティ団体 CREST UK が示している 「準備」「対応」「フォローアップ」の ３段階も、NIST の フレームワークや SP 800 の 61 とおおむね整合性があります。 どのモデルでも、 インシデント対応の鍵となるのが、 情報の共有です。 共有の対象には、 準備段階で集まる脅威についての情報や、 インシデント発生時の対応作業の 情報などが含まれます。 NIST は 1990 年に、 インシデント対応と セキュリティ関係機関のフォーラム、 FIRST を開設しました。 政府、民間企業、 IT ベンダーの代表が共同で ワークショップやカンファレンスを実施し、 インシデント予防のための協力関係を 促進したり、インシデント発生時の 迅速な対応の強化を図ったり、 様々な分野の専門家の知見を 共有したりする活動を行っています。 各国では、政府機関および 重要インフラの保護や国内への 情報提供にあたる 「コンピューターセキュリティ インシデント対応チーム」、 略称 CSIRT が設置されています。 このうち米国では、 US-CERT が CSIRT の 機能を担っています。 国土安全保障省サイバーセキュリティ・ インフラストラクチャーセキュリティ庁の 傘下で、昼夜を問わず常に活動しています。 年中無休の 24 時間体制で、 インシデント情報を受理して 優先度を判断し、関係先と連携しながら 技術的支援を行ったり、 現在および将来予想される セキュリティ問題に関する 情報を発信したりしています。 インシデント対応を効果的に行うためには、 インシデントの種類に関する 用語を統一して、 それぞれに応じた標準的な対応を テンプレートの形で共有することが 重要です。 US-CERT では、 インシデントを７つのカテゴリーに 分類しています。 カテゴリー０は、 ネットワークの防御力をテストする サイバー演習の一環である インシデントです。 カテゴリー１は、ネットワーク、 システム、アプリケーション、 データなどのリソースに、 何者かが許可なく物理的または論理的に アクセスするインシデントです。 カテゴリー２は、 DoS と呼ばれるサービス拒否にあたります。 攻撃によってリソースが枯渇し、 ネットワーク、システム、 アプリケーションなどの 正常な機能が妨げられるインシデントです。 カテゴリー３は、マルウェアが アンチウイルスソフトウェアによって 隔離されることなくインストールされる インシデントです。 カテゴリー４は、利用規定への 違反に関わるインシデントです。 カテゴリー５は、直接の侵入や DoS 攻撃ではないものの、 侵入可能なポート、プロトコル、 サービスの探査やスキャンが行われる インシデントです。 カテゴリー６は、 これらのいずれにも特定できないものの、 悪意ある行為の可能性があり、 詳しい調査が必要なインシデントです。