2012年2月13日8:00
企業がセキュリティインシデントに遭遇する可能性は時間の問題?
事前に計画を策定し、迅速な対応を
ベライゾンビジネスは、世界各国において年間で200件ほどのフォレンジックの調査を行っている。調査は、南北アメリカ、ヨーロッパ、アジアなどで実施しており、世界で発生した大規模事件10件のうち8件について、同社が調査に携わった。また、ペイメントカードの情報漏えい時にフォレンジック調査ができるPCI Forensic Investigators(PFIs)として、PCI SSCから認定を受けている。同社では、インシデント対応のポリシーや計画の立案、トレーニング、発生時のスキルなど、予防策に関しての支援も行っており、国内では「セキュリティ対応事前契約」としてリリースしている。同社のフォレンジックビジネスについて、フォレンジック調査対応部 プリンシパルコンサルタント エリック・K・ジェントリー(K.Eric Gentry)氏が解説した。
ベライゾンビジネス
機密データを守ること自体が困難に
対応計画でインシデント発生時の問題を最小限に
企業に対するサイバー上の攻撃は年々増えており、データ漏えいや侵害件数も増加している。コンピュータインシデントは、まず機密情報の流出がある。顧客のカード情報や、その会社の知的財産が盗まれたり、Dos攻撃などネットワーク全体に対する攻撃が挙げられる。各企業ではITに対する依存度が高まっているため、機密データを守ること自体が難しくなっているそうだ。
同社がインシデント対応で支援した企業をみると、コンピュータのインシデントに遭遇する可能性は、「あり得るのではなく時間の問題」であるという。つまり、インシデント対応の計画を予め策定し、事前に準備することが必須である状況になっているそうだ。インシデント対応の計画を行うことにより、仮に攻撃された場合でもインシデントを収集する、問題を最小限に抑えることが可能となる。
現状、インシデント対応計画を行っていない企業は、企業の知的財産、機密の独自情報、顧客の機密情報などがネットワークやシステムのどこに保存されているのかを知ることが重要となる。これは、仮に攻撃があったときに検知する上でも大切であり、インシデント対応時にも調査が行いやすくなる利点もある。また、インシデント対応のポリシーや手順を文書にまとめることも大切だ。よい計画書の中にはインシデントの検出に対するガイドラインまで記載されており、仮に攻撃があった時、どのように関係者などとコミュニケーションを行うのかなども明確に記されている。
PCI DSS、J-SOXなど法令遵守の関係からも重要
サイバー攻撃は地球上のどこでも起こり得る
ベライゾンの「セキュリティ対応事前契約」では、顧客のインシデント計画の中に入っているポリシー、手順についてチェックを行う。そして、ポリシーと手順書を確認し、インシデント対応計画で整っていない部分を特定し、それに基づきロードマップを策定する。
具体的なトレーニングとしては、「セキュリティインシデントの現状」「インシデント対応基礎」に加え、「証拠物の取り扱いと証拠保管の一貫性」「揮発性データ取得と調査」「フォレンジック保全手法」などのスキルを身につける。また、フォレンジックの調査分析を各企業でできるような支援も行っている。特に最近では、PCI DSS、J-SOXといった法令遵守により、インシデント対応の効果性について、性格なのか、機能しているのかを年に1回テストするように要請されている。そのため、模擬環境でのインシデント演習などを行うことで、内部的な能力を高めることも重要であるとしている。
一方で、インシデント対応計画を策定していない企業の場合は、その策定支援から実施している。そして、インシデント対応に関わるすべての人材に関してトレーニングを行い、実際にその担当者がインシデント対応を行わなかったとしてもどういったテクニックが用いられるのかを知ってもらうという。
同氏は、「サイバー攻撃は地球上のどこでも起こり得る」としている。特に、大企業の場合は機密データが、複数の国にまたがって置かれている場合もある。ベライゾンでは、「セキュリティ対応事前契約」として、インシデント対応のサービスをパッケージにまとめており、「24時間以内」あるいは「48時間以内」に調査員が現地に移動することを保証している。また、24時間体制の日本語も含めたホットライン、事前契約の中には事前調査として3日間のコンサルティングを行うなどのサービスを用意している。事前に同社と契約をした顧客は、「前もって契約を交わしているため、インシデントが発生した際に即座の対応が可能になる」メリットも同氏は挙げている。
