インシデントの外部発表
情報インシデント発生時、初動後に対応が難しくなってくるのは外部発表のタイミングです。
インシデントを早期に外部に公表するのは抵抗感があるかもしれません。
ですが、顧客あるいは取引先に対する影響分析の結果、何らかの二次被害が発生することが想定されるのならば、当然顧客あるいは取引先に通知を行ない、規模が大きい場合には報道発表も行なうといった迅速な対応が必要なのです。
漏えい元の特定や根本原因の解明が済んでいなくとも、漏えいが事実であることが確認され、二次被害の恐れがあるのならば、公表を優先すべきでしょう。
タイミングを失すれば、二次被害の発生、さらには社会的信用の失墜を招きかねません。
被害届を出す必要もあるでしょう。
このような決断が経営層に求められるのです。
漏えい原因の特定
二次被害の特定や防止策がある程度進んだ段階では、漏えい原因の特定が本格化します。
根本原因の特定には時間と労力がかかることを覚悟しなければならないでしょう。
このケースで言うと、仮に外部との通信ログによって標的型攻撃による漏えいであることが判明したとして、実際にはどのようにマルウェアに侵入され、どのように感染が拡大、どのように情報が流出したか、被疑範囲を特定して疑わしいIT機器のフォレンジック(forensic : IT機器に残記録を収集・分析すること)を行ないながら、洗い出していく作業が必要になります。
これらは、CSIRTのメンバーを中心に、場合によって外部の専門家の応援も得ながら実施する必要があります。
ここで通常の業務との兼ね合いという判断が発生します。
もし、被疑範囲が通常業務に使われるシステム以外の部分であれば業務を遂行しながら原因究明を行うことができるでしょう。
しかし、初期段階では被疑範囲は広くなります。
そのため原因究明の作業にも、事業継続性との兼ね合いを考慮した優先順位付けが必要になるでしょう。
事業継続に必要な最低限の情報資産を特定し、この調査を優先的に行なう必要があります。
これには、事業の実務責任者とCSIRTチームとの調整が必要です。
この調整にコミットし、適切なリスクの受容レベルを設定しながら事業継続の確保と根本原因の究明作業のバランスを考えて判断することが経営層の役割として求められます。
原因の特定が済んだ後に行なうのは、再発防止策を決めてそれを実施することです。
この段階が実施された時点で、初めて復旧したことになります。
このケースの場合、原因は標的型攻撃によるもので、情報漏えいが最初に判明したのは外部からの通報でした。
この時点で、自組織内で標的型攻撃が行なわれているかどうかまでは検出できません。
標的型攻撃の対策は多層防御です。
侵入されても、ITシステムのモニタリングや出口対策を行なっておくことで情報漏えいが起こる前に検知可能です。
事前に対策を実施しておくことで初めて復旧が行なわれることになります。
経営層は、事前対策に対する実施計画の承認と予算措置、実施後の判定までの責任を負うことになります。
この例でもおわかりのように、リスク対策とはインシデントの発生を防ぐだけでなく、万が一発生した場合に備えた事前対策も必要になります。
これが「リスクマネジメント」です。
まとめ
実際にインシデントが発生した場合にどのようなことが起こり得るか、またその場合、どのような対応が必要になるかを架空のケースで見てきました。
外部発表の必要性などを見てきましたが、インシデント発生時の初動については、「インシデント発生時 どうなるか?どうするか?①」で説明しているので、合わせてご確認ください。
【関連記事】インシデント発生時 どうなるか?どうするか?①