情報セキュリティインシデント管理は、セキュリティ事象の検知・報告から対応が始まり、インシデントの判断や一次対処、詳細調査、本格対処と全体管理策へのフィードバックのプロセスとなります。
これらの対応にあたり、対応する管理策の実施手順や判断基準を事前に準備しておくことが重要です。
情報セキュリティインシデント対応の責任、手順を整備しておくことがISMSで要求されています。
情報セキュリティインシデント管理に関する組織的管理策
責任及び手順
- 情報セキュリティインシデントに対する迅速、効果的かつ順序立った対応を確実にするために、管理層の責任及び手順を確立しなければならない
情報セキュリティ事象の報告
- 情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告しなければならない
情報セキュリティ弱点の報告
- 組織の情報システム及びサービスを利用する従業員及び契約相手に、システムまたはサービスの中で発見したまたは疑いをもった情報セキュリティ弱点は、どのようなものでも記録し、報告するように要求しなければならない
情報セキュリティ事象の評価及び決定
- 情報セキュリティ事象は、これを評価し、情報セキュリティインシデントに分類するか否かを決定しなければならない
情報セキュリティインシデントへの対応
- 情報セキュリティインシデントは、文書化した手順にしたがって対応しなければな
らない
情報セキュリティインシデントからの学習
- 情報セキュリティインシデントの分析及び解決から得られた知識は、インシデントが将来起こる可能性またはその影響を低減するために用いなければならない
証拠の収集
- 組織は、証拠となり得る情報の特定、収集、取得及び保守のための手順を定め、適用しなければならない
インシデント発生時の対応の流れ
- セキュリティ事象の検知、報告
- 事象の報告手順とリポートライン
- 事象の記録、ログ確保手順
組織内部でのマルウェアの検知、正規の手続きの逸脱の発見、メール誤送信、システム誤操作、ハードウェアやソフトウェアの不具合、外部組織からの通知など。
それらによって、情報セキュリティに関する何らかの事象の発生を検知します。
この段階ではまだインシデントと判断されたわけではありませんが、この段階で関係する部署への迅速な報告が必要になります。
情報システムに対する脆弱性の発見や体制の不備の発見なども同様です。
これらの事象を現場レベルにとどめず、記録に残しインシデントに至らぬように管理体制を見直していくことが重要になります。
- インシデントの判断と一次対応
- 判断を行なう者の責任、権限及び判定基準
- 一次対応(修復)手順とそのリスク評価
- 外部機関との連絡調整手順
1の報告に基づき、社内の情報セキュリティ專門組織、場合によってはCIO、CISOまでを含んだインシデントか否かの判断と、インシデントと判断された場合の取りあえずの被害拡大の防止、事業継続性の確保を目的とした一次対応、修復措置が取られます。
メールの誤送信、システム誤操作、マルウェアの検知・隔離などの、ある程度予測可能で再現性のある事象に対しては、事前に用意された手順もって、影響の範囲を最小限にとどめることも必要です。
インシデントと判断されても初期の段階では関連する情報が少ない場合がほとんどです。
事象の内容がどの程度の問題を発生させるか、少ない情報の中で判断しなくてはなりません。
極力関連する組織と連携、情報を取りつつ、判断する必要があります。
この段階ではいくつかの仮説を立てて一次対処を行なうことが必要です。
最悪の事態を想定した対応を取ることが必要になります。
外部機関への通報や顧客への注意喚起対処、その後の本格調査に備えた証拠の保全も必要です。
- 証拠収集・詳細調査
- 詳細な証拠収集とその分析を行なう体制、手順
- 外部機関への支援要請等の手順
本格的な証拠の収集と調査に基づく根本原因の究明と本格対処を行なうのが次の段階です。
これには、一定の人的稼働と專門能力が必要になりまです。
重大なインシデントが発生した場合、その影響は広範にわたります。
インシデントの発生がどの段階で始まり、最終的にどのような被害が発生したか、あるいは今後、同様なインシデントの発生を防止するにはどのような対処が必要かといったインシデントの全貌を明らかにすることが必要です。
このような対応を行なうには、システムの資産管理情報、ログの分析、コンピュータフォレンジックを行なう必要があります。
これらは、場合によっては極めて専門的な作業になるため、外部の専門組織へ分析を依頼することも必要になります。
インシデントが起こってからこのような体制を構築するには、時間も費用もかかります。
外部委託先も含めた手順や契約を事前に用意できているかが、復旧にかかる時間や費用のポイントの一旦となってきます。
- 本格対処
- 分析結果に基づく復旧体制
- 復旧にあたっての費用、期間等の限界の把握
- 標準・手順等ヘのフィードバッグ
- 予防措置手順まで考慮した体制、関連文書等の整備
本格対処(復旧) とセキュリティマネジメントの標準・手順へのフイードバックは、一次的な対処(修復) と異なります。
同様のインシデントが今後発生しないような体制、手順、システムの改修などを行う必要があるのです。
ここまできて、インシデントのクロージングになります。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策