長期休暇における情報セキュリティとインシデント対応のポイント

年末年始、ゴールデンウィーク、お盆などの長期休暇は、心身ともにリフレッシュする重要な機会です。
特に、情報システム部門やセキュリティチームの人員は日ごろから常に神経をとがらせ、気が休まることのない業務であり、長期休暇によるストレス発散やリフレッシュは大切なものです。
しかし、長期休暇中もサイバー攻撃は止むことはなく、むしろ、ビジネスにとって脅威となるサイバー攻撃やセキュリティインシデントの脅威にさらされやすくなる期間であることも忘れてはいけません。

こうした脅威に大切な休暇を奪われないようにするための対策をご紹介します。

長期休暇で発生するサイバーセキュリティリスク

長期休暇は、自社のみならず、全国的に休暇が取得されることにより、サイバーセキュリティに以下のような影響を与えることが想定されます。

人的要因

セキュリティ監視体制の弱体化

通常時はSOC（セキュリティオペレーションセンター）やIT部門が24時間体制で監視していても、休暇中は人員が減少し監視の目が行き届かなくなります。シフト制の人員配置が困難になり、特定の時間帯に監視が手薄になりやすい状況が生じます。さらに、経験豊富な上級セキュリティ担当者が不在となることで、代理の担当者では異常の判断基準や対応の質にばらつきが生じやすくなります。こうした状況ではアラート処理の優先順位付けが適切に行われず、重要な警告が埋もれてしまうリスクも高まります。

対応遅延

インシデント発生時に意思決定権限を持つ管理者が不在であると、判断や承認のプロセスが遅延します。エスカレーションの流れが通常と異なることで、適切な専門家へ情報が届くまでに時間がかかることも問題です。オンコール（待機）体制があったとしても、休暇で遠方にいる担当者のリモート対応には限界があります。また、複数部門の連携が必要なインシデント対応が、キーパーソンの不在により調整困難になるケースも少なくありません。

知識の集中

システム固有の設定や特殊な環境に関する知識が特定の担当者のみに集中している状態は、その担当者の不在時に大きなリスクとなります。暗黙知としての対応ノウハウやトラブルシューティング手順が文書化されていないことで、代理対応が困難になります。バックアップ担当者がいても、深い専門知識や実践経験の不足により本来の対応レベルに達しないことがあります。社内システムの全体像を把握している人材が限られており、複雑な障害への対応が著しく困難になる可能性があります。

運用・管理面

セキュリティパッチ適用の遅れ

重大な脆弱性が公開された際に、パッチのテストと適用を即時に行う人員が不足することで、対応が遅れます。パッチ適用の承認フローが長期休暇により滞り、クリティカルな更新が遅延するケースも発生します。複数システムへの一括パッチ適用後の動作確認に必要な人員が確保できないという問題もあります。さらに、パッチ適用の失敗や副作用によるシステム障害が発生した場合のリカバリ体制が不十分となり、復旧に時間を要するリスクが高まります。

異常の見逃し

セキュリティログのレビュー頻度が下がることで、初期段階の侵入兆候を見逃す可能性が高まります。通常業務と比較した異常検知が、業務パターンの変化により誤検知や見逃しが増加することも問題です。複数のセキュリティイベントを相関分析する人的リソースの不足により、巧妙な攻撃の検知が困難になります。また、長期間にわたる低速・低頻度の攻撃が、監視の目が届かない間に静かに進行する可能性があります。

バックアップ確認の不足

定期バックアップは自動化されていても、バックアップデータの整合性確認が行われないことでリスクが生じます。バックアップからの復元テストが実施されず、実際の障害時に復元できない事態が発生する可能性があります。バックアップメディアの物理的管理（取り外しや保管）が適切に行われないケースも見られます。システム変更後のバックアップ設定の見直しや調整が行われないことで、重要データが対象から漏れるリスクも存在します。

攻撃者側の要因

休暇狙いの攻撃増加

攻撃者は企業の長期休暇スケジュールを事前調査し、最も防御が弱まる時期を特定して攻撃を仕掛けます。組織全体の警戒レベルが下がっている時期を狙った、大規模なDDoS攻撃やランサムウェア攻撃のリスクが高まります。複数の小規模攻撃を仕掛けて対応状況を観察し、反応が遅い時期に本命の攻撃を実行するという高度な手法も用いられます。業界全体の休暇時期に合わせた多数の組織への同時攻撃も発生しやすく、セキュリティベンダー自体も人員不足の時期であることが問題を複雑化させます。

対応の遅延を見込んだ攻撃

攻撃者は検知されても即時対応が困難と見越した、長時間かけてネットワーク内を横展開する攻撃を計画します。データの暗号化や窃取を休暇終了後に実行するよう設計された時限型マルウェアが使用されることもあります。休暇中の異常なアクセスパターンを利用して、通常では目立つ大量データ転送を実施する手法も見られます。検知回避機能を持つ高度なマルウェアを潜伏させ、休暇明けの業務再開の混乱に紛れて活動を開始するという巧妙な戦略も取られます。

フィッシング攻撃の増加

「休暇中の緊急事態」を装った偽メールによる焦りを誘導したフィッシングが増加します。「休暇スケジュール確認」や「代理対応依頼」など休暇関連の話題を利用した標的型攻撃も効果的に使われます。普段と異なる環境（自宅や旅行先）からのアクセスを装った認証情報窃取の試みが行われることもあります。休暇中の従業員の警戒心低下や確認プロセスのショートカットを悪用した攻撃が成功しやすい環境となっています。

技術的要因

一時的アクセス権限管理の不備

休暇対応のための一時的な権限昇格が、必要以上に広範囲で長期間設定されることでリスクが生じます。代理担当者に対する「とりあえず」の包括的権限付与により、最小権限の原則が崩れ、セキュリティ体制が脆弱になります。一時的な権限の終了日設定漏れや自動無効化の失敗により、不要な特権アクセスが残存する問題も発生します。複数システムにまたがる権限管理の整合性が取れず、一部システムで過剰な権限が付与されることで、攻撃者に悪用される可能性が高まります。

イレギュラーなアクセスパターン検知の困難

休暇中の業務パターン変化により、通常の異常検知ルールの有効性が低下します。休暇対応による不規則な勤務時間や場所からのアクセスと、不正アクセスの判別が困難になるという問題があります。代理対応者による通常と異なる操作パターンが多発することで、誤検知が増加したり、検知閾値の引き上げが必要になったりする状況が生じます。リモートワークが増加する休暇期間には、通常と異なるネットワークやデバイスからのアクセスが混在し、検知精度が低下するというセキュリティ上の弱点が生まれます。

長期休暇中のインシデント対応のポイント

権限委任のルールを決める

インシデントの内容によっては業務やシステムを停止せざるを得ない状況が発生するかもしれません。
そうした会社の重要な意思決定は現場判断ではなく、CEO、CISO、社長など経営層の判断が必要となります。多くの企業では事前に連絡体制を整備していると思います。
しかしながら、その連絡体制が長期休暇を意識して「連絡が取れない可能性」を考慮したものとなっていなければ意味がありません。

意思決定者の連絡を待つばかりでは、被害が拡大し取り返しのつかないことに発展するかもしれません。
「必ず意思決定者に連絡が取れるとは限らない」ことを考慮し、「権限委任」についても体制に盛り込む必要があります。
具体的には
・●●分待って連絡が取れない場合は次の権限者や部署横断的に意思を確認する
・●●時間待っても誰にも連絡が取れない場合は現場判断で対応する。
などをルールとして定めておくと対応の遅れを防ぐことができます。

意外と見落としがちな権限として、広報関係があります。
パスワードなどの機密情報や個人情報が漏えいした際には、お客様や取引先に悪用に注意する旨を告知する必要があります。
コーポレートサイトに情報を掲載する権限を得るために広報部門の権限についても確認しておきましょう。

マニュアルよりも訓練

発生するインシデントは無数のケースがあり、それぞれのケースごとに対応マニュアルを作成することは現実的ではありません。
多くの企業では、インシデントをある程度のカテゴリに分け、汎用的に利用できるインシデント対応マニュアルを作成していると思います。
ただ、発生するインシデントは汎用マニュアルではカバーできない例外的なことも多く、むしろマニュアル通りに対応できるインシデントのほうが少ないのが実情です。

マニュアル任せにしないインシデント対応強化のためにインシデント対応訓練があります。
民間企業が提供する演習・訓練サービスのほか、業界団体や監督省庁による演習・訓練では、他社も含めた業界に則したフィードバックが得られます。
・内閣サイバーセキュリティセンターNISC:分野横断的演習
・金融庁：金融業界横断的なサイバーセキュリティ演習　Delta Wall
・総務省：実践的サイバー防御演習　CYDER

また、演習・訓練には経営層にも参加を促し、電話番号やメールアドレスも実際に利用している本物の番号やアドレスを使用するようにしましょう。
時には、夜間や休日などに訓練を行うなど、リアリティのある訓練を行うことが、長期休暇中のインシデント対応の対応力を高めることに有効です。

リモート対応

インシデントに対応できる人員が現場に駆け付けることができない場合や、時間がかかる場合に備えて、リモート対応を視野にいれてはいかがでしょうか。

リモート対応の導入には、インシデント対応の迅速化以外にも様々なメリットがあります。
国土交通省　観光庁ではワーケーション（ワークとバケーションを組み合わせた造語）やブレジャー（ビジネスとレジャーを組み合わせた造語）の利用を促進しています。
場所にとらわれない働き方の促進や、集中しがちな休暇を分散させる効果を狙ったものですが、普段よりこういった制度を利用してリモートワークができる環境を構築しておくことは、インシデント対応の迅速化にも効果があると考えることができます。
ただし、リモート接続でシステム操作ができる状態はそれ自体が攻撃対象となり脅威となることもあるため慎重に扱う必要があります。

出典：観光庁「新たな旅のスタイル」ホームページ　（https://www.mlit.go.jp/kankocho/workation-bleisure/）

「ワーケーション、ブレジャー実施形態イメージ」（観光庁ホームページより）

対応の自動化や外部ベンダの利用

明らかな攻撃である場合には、人間の判断によらずシステム的に対応を行ったり、対応を外部の組織に委託する方法もあります。
外部の組織に委託する場合は、自社に設置されている機器やシステムは対応できない、ということがないように様々な機器に対応できるマルチベンダなSOCサービスを選択するほか、機器の提供会社でも監視運用サービスを行っているものもあります。
どちらのサービスでもインシデントが発生してから相談するのではなく、平常時から契約を結んでおくことが重要です。

ALSOKがお勧めするサービス

ALSOKでは、情報システム部門やセキュリティチームの人員の負担を軽減するサービスを取り扱っています。

ALSOK ホームページ改ざん検知・復旧サービス

Webサイトを常時監視し、改ざんが発生した場合は自動的に復旧します。
サイト停止による営業機会の損失を防ぐほか、Webスキミングやマルウェア配布など、改ざんされたWebサイトへ来訪したお客様への被害も防止することができます。
復旧は人間の判断を伴わず自動で行いますので、休暇中のWeb改ざんで対応を求められることはありません。

ALSOK UTM運用サービス

本サービスでは、24時間365日お客様のUTMを監視し、不審な通信を検知した場合に、お客様との事前の取り決めに基づいて通信遮断などの対応を迅速に行い、被害拡大の防止に努めます。
監視サービスは、ALSOKのレンタルUTMの他、お客様所有のUTM(Fortigateシリーズ）でも対応可能です。

まとめ