ネットワーク侵入への対応
学習の目的
この単元を完了すると、次のことができるようになります。
- インシデント対応計画の主要な要素を説明する。
- 組織での計画のテスト方法を説明する。
- インシデント対応コミュニケーション戦略を特定する。
インシデント対応計画を作成する
ワールドカップの試合に出場しているサッカーチームを想像してください。厳しいトレーニングを積んできたチームは、大差で勝利するものと期待されていました。ですが、前半戦が終わった時点では 2 点差で負けていて、選手は気落ちしています。ロッカールームに戻ったチームに、コーチは計画の変更を伝えます。練習してきた別の戦略に切り替えて、相手チームの弱点であるライトディフェンダーを攻めることにしたのです。各選手は自分の役割とどのように動けばよいかを理解しています。コーチの助力とキャプテンのリーダーシップ、そして控えの選手の活躍で、チームは活力を取り戻し、終盤でゴールを決めて 1 点差で勝利、見事に金メダルを祖国に持ち帰ることができました。
コーチが試合に勝つための計画を実行に移したのと同じように、ネットワークセキュリティエンジニアも、ネットワークで不具合が発生したときにはインシデント対応計画を実装します。この計画は、攻撃者がサービスの停止、データの持ち出し、情報への不正アクセスを試みたことで発生する損害を未然に防ぎ、封じ込め、制御するのに役立ちます。計画を準備しておくことで、インシデントへの対応が早くなり、コストも抑えられます。通常は、セキュリティプロフェッショナルで構成される専門のインシデント対応チーム (IRT) がインシデント対応をリードします。コーチ、キャプテン、そして控えの選手が試合に勝つために自分の役割を果たしたのと同じように、組織内の他のメンバー、たとえば弁護士、コミュニケーション専門家、重役、さらには法執行機関までもが、それぞれの役割を持っています。計画には、これらの役割と責任がリストされ、24 時間、週 7 日の体制で対応に従事します。
インシデント対応計画の策定では、ネットワークセキュリティエンジニアは次の役割を担います。
- ネットワークの最も重要なコンポーネントを識別して優先順位を付ける。
- ハッカーがデータを破壊したり改ざんしたりした場合のバックアップとして使用できるように、重要なデータを複製してリモートサイトに保存する。
- ネットワーク上の単一障害点を特定して、冗長性を持たせることで保護する。
- 事業の継続性について考える。例: ハッカーがメールシステムを破壊した場合、次に実行すべきアクションを指示するメッセージをどうやって従業員に送ればよいだろうか?
インシデント対応の次の段階は、侵入の検知です。前のモジュールで説明したように、ネットワークセキュリティエンジニアは、この段階では重要な役割を担います。ネットワークセキュリティエンジニアがインシデントを検知すると、文書化されている手順に従って、収集する情報、その連絡方法、そして連絡先を確認します。ネットワークセキュリティエンジニアは何よりもまず、IRT が分析する追加情報を収集する必要があります。
分析段階では、IRT はイベントがいつ起きたのか、どこから侵入されたのか、どうやって検知されたのかを理解しようと試みます。また、セキュリティ侵害の範囲と影響をできるだけ早く決定しようと試みます。この段階では、ネットワークセキュリティエンジニアは、IRT がパズルのピースを組み立てるのに役立つログや追加情報を提供する場合があります。
この分析により、IRT は対応を管理できるようになり、セキュリティ侵害の拡散を封じ込める作業に着手できます。そのためには、インターネットからのデバイスの切断、ネットワークのセグメンテーション、マルウェアの隔離、システムの更新と強化などを行います。通常、ネットワークセキュリティエンジニアは、これらのタスクを補助するためのアクションを実行します。脅威の封じ込めに成功したら、根本原因を見つけて排除することで、脅威をネットワークから完全に根絶することが重要です。すべてのマルウェアを削除し、認証メカニズムを変更して、必要であればシステムのイメージを刷新します。また、システムの強化とパッチの適用を行う場合もあります。チームが復旧段階に移行したら、ネットワークセキュリティエンジニアは、システムのバックアップから通常業務に復旧するための作業を調整する必要もあります。
セキュリティプロフェッショナルは、このような計画策定を、組織のためだけではなく、規制要件を満たすためにも行うことがあります。対応計画は、承認を受け、役員の同意を取り付けて、予算を割り当ててもらう必要があります。また、実行可能で、柔軟性もあり、役割、責任、手順が明確であるだけでなく、予期していなかった状況にも対応できる余裕を持たせておく必要があります。さらに、組織のすべてのメンバーが対応計画を認識して必要なトレーニングを受けることに加えて、計画がセキュリティチームによるテストに合格する必要もあります。テストについては次のセクションで学習します。
インシデント対応計画をテストする
セキュリティプロフェッショナルは、対応計画を組織に認識および理解させることに加えて、定期的にテストして更新する必要があります。ビジネスチームと技術チームの両方が、計画とその重要性、そして基本的なセキュリティ概念を理解する必要があります。それを後押しするのがトレーニングです。
セキュリティプロフェッショナルは、最低でも年 1 回は対応計画をテストします。練習がサッカーチームを大事な試合の勝利に導くように、実地訓練のシナリオを用意することで、IRT が計画を実装するのに役立ちます。卓上訓練などのツールで、エグゼクティブチームがモックデータ侵害をシミュレーションするのもよいでしょう。
現実の世界で起こり得る対応シナリオをエグゼクティブに経験させることで、インシデントへの対応と、インシデント中のコミュニケーションや意志決定に向けて組織全体で準備することができます。この結果、インシデントが実際の起きたときにチームが安心して対応できるだけではなく、セキュリティチームが脅威に対して予見的に考えていることを実証できます。また、対応をスムーズに進めるための明確なポリシーや手順がどこで必要であるか、そして人員や予算がどこで不足しているかを明らかにすることもできます。さらに、エグゼクティブチームに対してセキュリティ組織の重要性を強調できるため、計画への同意を取り付けるのに役立ちます。
最後に、対応計画は定期的に見直して更新する必要があります。予定されている更新のほか、セキュリティ侵害が発生した後や、脅威の進化が認められたとき、あるいは組織が利用しているテクノロジーや組織の構造または経営体制に大きな変化があった場合などにも、セキュリティチームは計画を見直す必要があります。
インシデント中のコミュニケーション
インシデント対応計画の一環として、セキュリティプロフェッショナルは、インシデント中の内部および外部のコミュニケーション戦略を文書化しておく必要があります。つまり、誰に連絡するか、何を連絡するか、どのように連絡するかを取り決めるのです。外部にも、連絡先となる人物を決めておく必要があります。また、計画では、法的処置の対象となる条件を含め、規制ガイドラインに従ってエスカレーション条件を決める必要もあります。通常のコミュニケーション手段 (メールなど) がセキュリティ侵害によって使用不能になった場合に備えて、バックアップコミュニケーション戦略も考えておかなければなりません。
コミュニケーション戦略の一環として、セキュリティプロフェッショナルは、組織から顧客への連絡方法、具体的には、セキュリティ侵害について何を、いつ、どのように連絡するかを文書化しておく必要があります。組織は、この事案を慎重に扱う必要があります。その理由は、顧客の怒りを買ったりブランドの信用に傷が付いたりしないようにするためだけではなく、このような事案の取り扱い方法については、プライバシーやセキュリティに関する規制や法律で特定のガイドラインが定められているためです。
もし、インシデントを隠蔽したり、定められた期限までに報告しなかったり、適切に連絡しなかったりすると、会社の評判が傷つき、罰金や訴訟の対象となることもあります。コミュニケーション計画を策定する際には、組織に適用される規制やベストプラクティスを知り、インシデントへの対応時にそれらに準拠する方法を詳細に文書化することが重要です。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側にある手順を右側にドラッグして、正しい順序に並べてください。全項目を並べたら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。
インシデントに対応するための計画を用意しておくことの重要性を確認し、ネットワークの単一障害点を特定するというネットワークセキュリティエンジニアの役割について学習しました。また、インシデントの検知、IRT が分析する情報の提供、そしてインシデント対応計画、コミュニケーション計画、関連するテストシナリオの認識とトレーニングについても学習しました。最後となる次の単元では、インシデントから通常業務に復旧する際のネットワークセキュリティエンジニアの責任について学習します。
リソース
- 外部サイト: NIST: Computer Security Incident Handling Guide (NIST: コンピューターセキュリティインシデントの処理ガイド)
- 外部サイト: CIS Control 19: Incident Response and Management (CIS Control 19: インシデントの対応と管理)
- 外部サイト: SANS Incident Handler’s Handbook (SANS インシデント管理者のハンドブック)
- 外部サイト: SANS How to Build Your Incident Response Plan (SANS インシデント対応計画の作成方法)
- 外部サイト: The Cybersecurity Coalition Incident Management Guide (Cybersecurity Coalition インシデント管理ガイド)
- PDF: NIST Framework for Improving Critical Infrastructure Cybersecurity (重要なインフラストラクチャのサイバーセキュリティを改善するための NIST フレームワーク)