セキュリティインシデントのような不測の事態に直面したとき、どのように対応するか――自分のアイデア以外にどんな視点や選択肢があるかを知ることが鍵となる。そのためには同じような悩みを持つ人との意見交換が重要だ。
セキュリティインシデントのような不測の事態に直面したとき、どのように対応するか――常日頃からセキュリティ担当者、情報システム担当者はいざというときの対応手順やルールを考えているだろう。けれど頭のどこかに、「果たして本当にこれでいいのだろうか」「万全だろうか」と不安を抱いているのではないだろうか。
自分のアイデア以外にどんな視点や選択肢があるかを知るには、やはり同じような悩みを持つ人との意見交換が一番だ。5月27日に開催された「ITmedia エグゼクティブ サイバー攻撃対策机上演習」は、図らずもそんな場となった。
この演習は、サイバーセキュリティ人材育成プログラムを提供するArmorisがITmediaエグゼクティブと共同企画したものだ。
同社はこれまで、オフラインで実際に担当者が集まる形式のサイバーセキュリティ演習を実施してきた。豊富な経験を元に本番さながらのシチュエーションを用意し、グループごとにディスカッションしながら対応を検討していく、という形式だが、Zoomを用いたオンライン演習は初の試みだ。Armorisの専務取締役CTO、鎌田敬介氏は「運営側も模索しながらの開催で、一緒に楽しみたい」と手探りしながらの実施となった。
演習には、金融や製造業、サービス業などさまざまな業種でセキュリティ業務を担当する9人が参加。オンラインの会員制サービスを提供し、氏名や住所、電話番号、クレジッドカード情報などの個人情報も預かっている『あるもり社』のセキュリティ担当者として、進行役の宮内雄太氏から提示されたインシデント対応フェーズに沿った3つの場面に応じて、「何を調べるか」「どう対応するか」をクイズ形式で問うことで、どんな視点が必要かを技術と組織の両面から検討していった。
最初の場面は、「さまざまなシステムで利用されるオープンソースの暗号化モジュールに深刻な脆弱性が見つかったらしい」という情報を入手したときにどんなアクションを取るか、というものだ。
参加者からは「その脆弱性の影響を受けるリソースを確認する」「もし更新が必要になった場合に備え、誰に連絡し、どのようなフローでアップデートするかを確認しておく」といった意見が出されたほか、グループ企業内、あるいは業界全体で横の連携を取ることで、早めに脆弱性情報をキャッチできるという提案もあった。
また、その脆弱性が自社にとってどのくらい深刻かを把握するため、まず、「PoC」と呼ばれる攻撃コードの有無を探すという意見も出た。鎌田氏も「注意喚起を見ただけでは、本当に危険かどうかの判断がつかないこともある。攻撃コードが公開されているかどうか、またそれによって実害が出るか、出る場合にはログに証拠が残るかといった事柄を見て判定するのが確実だ」とコメントした。もし、そこまで自分で手を動かせない場合は、Twitterを見るなど、セキュリティコミュニティーで情報収集するのがいいという。
2つ目のクイズは、被害特定と調査のフェーズに関するものだ。1つ目のシーンで公になった脆弱性は、サーバのメモリ情報をリモートから取得できてしまう深刻なものであることが明らかになった。さらに既に世界各地で、この脆弱性を悪用する攻撃が発生していることも分かった。あるもり社も事態を受けて、この脆弱性を狙う攻撃を検知するルールをIPSに投入したところ、早速アラートが鳴ってしまったーーという状態で、被害の有無や被害範囲を特定するにはどうすべきか、という課題だ。
厄介なのは、この攻撃を受けてもHTTPのログは残らないことだ。指名された回答者も、「これはしんどいですね……」「つらいですね……」と悩みながら、メモリダンプの取得やパケットキャプチャー、平常時のログとの比較などさまざまなアイデアを出していった。中には、「実際に自社から情報が漏えいしていないか、外部のサイトを見に行って調査する」というユニークな方策もあった。
この段階におけるポイントとして鎌田氏は、「ルールを投入したら即座にアラートが出たと言うことは、既にその前に情報漏えいが発生している可能性は捨てきれず、漏えいが発生している前提で考える必要がある」とコメントし、その場合、リスクをどのように見積もり、経営層や上層部にどのように報告するかも考えなければならないとした。
最後に、調査の結果、顧客894人分の個人情報が漏えいしたことが判明してしまった状況を仮定し、どのように脆弱性を修正してサービス再開にこぎ着けるか、また被害に遭った顧客への対応をどう進めるかというシーンを想定して検討を行った。
宮内氏が説明した状況では、「パスワードは漏れていない」という前提になっていたが、複数の参加者が「本当にパスワードは漏れていないのだろうか」と逆に指摘。パッチ適用による脆弱性の修正と行った技術的な対応と合わせて、会員への告知やおわびの送付、監督官庁への報告といった関係者への対応が必要だという意見も出て、さすがに意識の高さをうかがわせる回答となった。
鎌田氏も組織的な対応の一環として対外的なアナウンスを行う必要性に触れ、「そのためにも、CSIRTと広報が連携できるよう事前に準備しておかなければならない」と述べた。また、「自分たちではこれで十分」と下した判断でも、世の中の考え方とはずれがある可能性も指摘した。
ここまで読んできたならばもう目星が付いているかもしれないが、このシナリオは、過去、日本国内で実際に発生したサイバー事案に基づいたものだ。モデルとなった企業では、脆弱性公表の翌日から攻撃を受け始め、顧客情報が盗み取られてしまった。いろいろな意見があるだろうが、脆弱性が公になってから攻撃を受けたことを察知し、当該サーバを停止してプレスリリースを打ち、システム復旧に向けた作業を進めたーーというわけで、「対応のスピードはものすごく早かった」というのが宮内氏の意見だ。
そして、「こういったシチュエーションで考えなければいけないことは多岐にわたる。事前にできること、準備できることがあればやっておくことが重要だ」とし、さまざまなシナリオを想定して準備を整えておくことが、迅速なインシデント対応につながる」とした。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授