被害拡大防止のポイントとは?
見落としがちな長期休暇中のインシデント対応。
年末年始、ゴールデンウィーク、お盆などの長期休暇は、心身ともにリフレッシュする重要な機会です。
特に、情報システム部門やセキュリティチームの人員は日ごろから常に神経をとがらせ、気が休まることのない業務であり、長期休暇によるストレス発散やリフレッシュは大切なものです。
しかし、長期休暇中もサイバー攻撃は止むことはなく、むしろ、ビジネスにとって脅威となるサイバー攻撃やセキュリティインシデントの脅威にさらされやすくなる期間であることも忘れてはいけません。
こうした脅威に大切な休暇を奪われないようにするための対策をご紹介します。
目次
長期休暇とサイバーセキュリティ
長期休暇は、自社のみならず、全国的に休暇が取得されることにより、サイバーセキュリティに以下のような影響を与えることが想定されます。
人員不足
長期休暇では、システム部門、セキュリティ部門の人員が休暇を取得することにより、対応が手薄になりがちです。
もともと十分な人員がいる企業であれば「手薄」で済むかもしれませんが、ひとり情シスなど少人数で対応している企業や組織は対応人員が「ゼロ」になることもあり得ます。
脆弱性対応の遅れ
脆弱性の対象となる機器・システムのベンダサポートも総じて休暇となる可能性があります。
IPAの情報セキュリティ10大脅威 2023で6位となった「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」や8位の「脆弱性対策の公開に伴う悪用増加」からも、脆弱性への対応スピードが重要であることがうかがえます。
(出典:IPA 独立行政法人 情報処理推進機構 情報セキュリティ10大脅威 2023)
長期休暇「中」のインシデント対応
お盆休みや年末年始の前になると、様々な政府機関や自治体より情報セキュリティ対策の注意喚起が発信されます。
主に長期休暇の「前後」、また、「防止」に焦点を当てた内容となっています。
しかし、インシデント対応は何も発生していない平常状態での準備からはじまり、被害拡大防止のためには発生時の対応が重要となります。
本コラムでは、あまり焦点が当てられない休暇中のインシデント対応に焦点を当てます。
長期休暇中のインシデント対応のポイント
権限委任のルールを決める
インシデントの内容によっては業務やシステムを停止せざるを得ない状況が発生するかもしれません。
そうした会社の重要な意思決定は現場判断ではなく、CEO、CISO、社長など経営層の判断が必要となります。多くの企業では事前に連絡体制を整備していると思います。
しかしながら、その連絡体制が長期休暇を意識して「連絡が取れない可能性」を考慮したものとなっていなければ意味がありません。
意思決定者の連絡を待つばかりでは、被害が拡大し取り返しのつかないことに発展するかもしれません。
「必ず意思決定者に連絡が取れるとは限らない」ことを考慮し、「権限委任」についても体制に盛り込む必要があります。
具体的には
・●●分待って連絡が取れない場合は次の権限者や部署横断的に意思を確認する
・●●時間待っても誰にも連絡が取れない場合は現場判断で対応する。
などをルールとして定めておくと対応の遅れを防ぐことができます。
意外と見落としがちな権限として、広報関係があります。
パスワードなどの機密情報や個人情報が漏えいした際には、お客様や取引先に悪用に注意する旨を告知する必要があります。
コーポレートサイトに情報を掲載する権限を得るために広報部門の権限についても確認しておきましょう。
マニュアルよりも訓練
発生するインシデントは無数のケースがあり、それぞれのケースごとに対応マニュアルを作成することは現実的ではありません。
多くの企業では、インシデントをある程度のカテゴリに分け、汎用的に利用できるインシデント対応マニュアルを作成していると思います。
ただ、発生するインシデントは汎用マニュアルではカバーできない例外的なことも多く、むしろマニュアル通りに対応できるインシデントのほうが少ないのが実情です。
マニュアル任せにしないインシデント対応強化のためにインシデント対応訓練があります。
民間企業が提供する演習・訓練サービスのほか、業界団体や監督省庁による演習・訓練では、他社も含めた業界に則したフィードバックが得られます。
・内閣サイバーセキュリティセンターNISC:分野横断的演習
・金融庁:金融業界横断的なサイバーセキュリティ演習 Delta Wall
・総務省:実践的サイバー防御演習 CYDER
また、演習・訓練には経営層にも参加を促し、電話番号やメールアドレスも実際に利用している本物の番号やアドレスを使用するようにしましょう。
時には、夜間や休日などに訓練を行うなど、リアリティのある訓練を行うことが、長期休暇中のインシデント対応の対応力を高めることに有効です。
リモート対応
インシデントに対応できる人員が現場に駆け付けることができない場合や、時間がかかる場合に備えて、リモート対応を視野にいれてはいかがでしょうか。
リモート対応の導入には、インシデント対応の迅速化以外にも様々なメリットがあります。
国土交通省 観光庁ではワーケーション(ワークとバケーションを組み合わせた造語)やブレジャー(ビジネスとレジャーを組み合わせた造語)の利用を促進しています。
場所にとらわれない働き方の促進や、集中しがちな休暇を分散させる効果を狙ったものですが、普段よりこういった制度を利用してリモートワークができる環境を構築しておくことは、インシデント対応の迅速化にも効果があると考えることができます。
ただし、リモート接続でシステム操作ができる状態はそれ自体が攻撃対象となり脅威となることもあるため慎重に扱う必要があります。
出典:観光庁「新たな旅のスタイル」ホームページ (https://www.mlit.go.jp/kankocho/workation-bleisure/)
「ワーケーション、ブレジャー実施形態イメージ」(観光庁ホームページより)
対応の自動化や外部ベンダの利用
明らかな攻撃である場合には、人間の判断によらずシステム的に対応を行ったり、対応を外部の組織に委託する方法もあります。
外部の組織に委託する場合は、自社に設置されている機器やシステムは対応できない、ということがないように様々な機器に対応できるマルチベンダなSOCサービスを選択するほか、機器の提供会社でも監視運用サービスを行っているものもあります。
どちらのサービスでもインシデントが発生してから相談するのではなく、平常時から契約を結んでおくことが重要です。
ALSOKがお勧めするサービス
ALSOKでは、情報システム部門やセキュリティチームの人員の負担を軽減するサービスを取り扱っています。
ALSOK ホームページ改ざん検知・復旧サービス
Webサイトを常時監視し、改ざんが発生した場合は自動的に復旧します。
サイト停止による営業機会の損失を防ぐほか、Webスキミングやマルウェア配布など、改ざんされたWebサイトへ来訪したお客様への被害も防止することができます。
復旧は人間の判断を伴わず自動で行いますので、休暇中のWeb改ざんで対応を求められることはありません。
ALSOKの関連商品
ALSOK UTM運用サービス
本サービスでは、24時間365日お客様のUTMを監視し、不審な通信を検知した場合に、お客様との事前の取り決めに基づいて通信遮断などの対応を迅速に行い、被害拡大の防止に努めます。
監視サービスは、ALSOKのレンタルUTMの他、お客様所有のUTM(Fortigateシリーズ)でも対応可能です。
ALSOKの関連商品
まとめ
長期休暇は通常の休暇と異なり、全国的に休暇を取得するひとが増え、社内に限らず外部ベンダのサポートも受けにくい状況となります。
サイバー攻撃はそういった隙を狙ってきます。インシデントの対応遅れで被害が拡大することがないよう準備を進めて、せっかくの休暇は仕事の心配をせず、リフレッシュしましょう。