情報処理安全確保支援士 4.8 情報セキュリティインシデンと管理

情報セキュリティに関する事件、じこなどによる障害を最小限に抑えるためには、予防策を講じるとともに、インシデンと発生時の対応法補を明確にしておく必要がある。ここでは情報セキュリティインシデンと管理における要点について解説する。

4.8.1 情報セキュリティインシデント管理の流れと留意事項

情報セキュリティインシデント管理に関するISMSの要求事項

ISMSの管理策では、情報セキュリティインシデント管理について、主に次にのように記述している。

情報セキュリティインシデントに対する管理層の責任及び手順を確立すること
情報セキュリティの事象はm適切な連絡経路を通じて速やかに報告すること
従業員及び契約相手に対し、システムやサービスの中で発見もしくは疑いをもった情報セキュリティ弱点はどのようなものでも記録し、報告するように要求すること
情報セキュリティ事象を評価し、情報セキュリティインシデントに分類するか田舎を決定すること
情報セキュリティインシデントは、文書化した手順に従って対応すること
情報セキュリティインシデントの分類及び解決から得られた知識をインシデントが将来起こる可能性や影響を低減するために活用すること
情報セキュリティインシデントの証拠となり得る情報の特定、収集、取得、保存のための手順を定め適用すること

CSIRTとSOCの概要

4.4.1にあるように情報セキュリティインシデント（以下、インシデント）に対応するため、CSIRT（Computer Security Incident Response Team）を設置する組織が増えている。広義CSIRTには、国際連携を行うCSIRTやCSIRT間の情報連携を行う「コーディネーションセンタ」などもの含まれるが、ここでは特定の組織で活動する「組織内のCSIRT」を前提として説明する。

特定の組織におけるCSIRTには、インシデント発生時にその対応を手動し、情報を集約して顧客、株主、経営者、監督官庁などに適時報告するとともに、現場組織などに適時対応の指示をすることが求められる。また、インシデント発生時の対応だけでなく、平常時の活動として、情報セキュリティに関する最新情報を収集したり、外部のセキュリティベンダや関連機関、ISACなどの業界団体のほかCSIRTと連携して情報を共有したりすることにより、インシデント発生に備えた対応を行うことなども重要な役割となる。加えて、インシデント収束後には最初防止のための対応なども求められる。なお上記のようなCSIRTが行う一連の業務をまとめて「インシデントマネジメント」もしくは「インシデント管理」と呼ぶ。

CSIRT及び関連組織間の連携イメージ

またCSIRTの一機能、もしくは関連組織としてSOC（Security Operation Center）を設置したり、セキュリティ専門ベンダが運営する外部のSOCと契約したりするケースも多い。 SOCの主な役割はIDS,IPS,SIEM,競合ログ管理システムなどからアラートや、各種ログ分析を行い、その結果を適時CSIRTにエスカレーションすることである。なお、ログの分析管理などについては7.8で解説する。

インシデント管理における留意点

インシデント管理の大まかな流れを次の図に示す。なお、２から５の対応をインシデントハンドリングと呼ぶ。

インシデント管理、インシデントハンドリングの流れ

この流れに沿って、それぞれ留意すべき事項を次に示す。

①インシデント発生に備えた対応

CSIRT体制の整備
CSIRTの活動範囲、対象とするインシデントの明確化
インシデント対応計画（中長期計画、年度計画）、規定類の策定
想定されるインシデントに対する個別の対応手順、連絡体制の整備
インシデント発生に備えた設備、機器の整備
必要に応じて外部リソースの確保
インシデントの検知・対応に必要なシステムの導入と構築
各種セキュリティ情報の収集、ピックアップ、対応（周知、影響度分析、パッチ適用など）
インシデント発生に備えた教育と訓練の実施
他、CSIRT関連組織（JPCERT/CC,日本シーサート協議会、ISAC、他社CSIRT）との連携、情報交換

②インシデントの検知/連絡受付

システムログ、アクセスログ、AV(Anti-Virus)、ログ、IDS,IPS,SIEM,総合ログ管理システムなどからアラート（警報）によってインシデントを検知
顧客、社員、その他社外の第三者などからの連絡によってインシデントを検知する

インシデントは多種多様であるため、システムやツールを用いた検知の仕組みと人からの連絡による検知の仕組みの両方が必要となる。この二つの仕組みによるインシデント検知の例を次に示す。

インシデント検知例

インシデント検知体制のイメージ

③インシデントのトリアージ/対応要否の決定

インシデントを検知したSOC担当、あるいはインシデントの連絡を受けた窓口担当は対応手順書に従い、インシデントの内容、状況をCSIRT担当、管理者にエスカレーションする。
CSIRTはインシデントの内容の確認の上、あらかじめ定めた判断基準に従ってトリアージ（優先順位を決定して選別）し、対応の要否や方法を決定する。

ここではインシデントを速やかに検知して、エスカレーションするとともに、当面の対応方針を決定することが求められる。軽微なものまで含め全てのインシデントに対応することはできないため、トリアージの判断基準を可能な限り詳細に定めておく必要がる。

④影響範囲の特定・応急処置

CSIRTは、対応を要するインシデントについて、被害拡大を回避するための対処を行うようシステム管理者に指示する
CSIRTは、SOC担当、システム管理者、セキュリティベンダなどと連携し、インシデントの影響範囲を特定するとともに、暫定復旧処置を行う。
インシデント対応内容について確実に記録を残す。

⑤対応策の決定と実施

CSIRTはインシデントの内容やレベルに応じてディジタルフォンジックスの専門家に調査を依頼するとともに、復旧のための対応策を検討し決定する
CSIRTはインシデントの内容や影響度、対応状況などについて、顧客をはじめ、社内外の関係者に適時説明する
決定した対応策に必要な各種リソースを確保し、実施する。
対応策の内容について、必要に応じて社内外の関係者に説明する
インシデントの収束が確認されたら、顧客や社内外の関係者にその旨を連絡、公表する

⑥インシデント収束後の対応

一連のインシデント対応の結果について関係者で評価し、問題点を洗い出すとともに、開演策を検討・決定する（SLA、体制、手順、検知システム、対応方針の見直しなど）。
インシデントの再発を防止するための対策を検討・決定する
インシデントの評価結果に基づき、必要な各種リソースを確保し、改善策、再発防止策を実施する
新たに必要となった各種リソースを確保整備する
顧客との契約内容について見直す
インシデント対応体制、対応手順について見直す
見直した内容に基づき、要員の教育・訓練を実施する。