情報セキュリティに関わる事故やトラブルが発生した場合には、情報セキュリティポリシーに記載されている対応方法に則して、適切かつ迅速な処理を行うことこそが、被害や損失を最小限に抑える最大の対策です。
昨今ではBCP(事業継続計画)を策定することも多いですが、その観点で事故やトラブルの対応方法を策定しておくことも有効です。
事故やトラブルが発生した場合には、以下の手順で対応します。なお、ここでは、ネットワークへの不正侵入を例として取り上げることにします。
(1)事故の検知
定期的なログチェックや障害検知ツールの利用によって、不審な状況の発生を検知する。
また、社内外からの通報窓口の整備も有効。外部でないと分からないインシデントもあるため、社外からの窓口が有効だが、通報用メールアドレスで適切な担当に届かないケースもあり、確認が必要。
(2)事故の初動処理
関連する部署や担当者へ連絡を行い、あらかじめ設定した優先順位によって手続きを行う。情報が漏洩(ろうえい)しているなどの危険があれば、この段階でホームページを閉鎖する、データをインターネットに接続されていないパソコンに退避するなどの処置が必要である。なお、利用者に被害が及ぶ可能性がある場合には、速やかに利用者に連絡を行う。
また、この段階でセキュリティ対策機関等への情報提供も強く望まれる(情報提供先はリンク集に記載)。早期の情報提供により、同様のサイバー攻撃の被害を防げた例もある。取引先などの関係先にも情報提供を行うことが望まれる。
(3)事故の分析
被害内容や事故の規模を整理して、事故が発生した原因を分析し、対応策を決定する。
(4)復旧作業
システムを復旧して、正常に動作していることを確認する。復旧が完了したら、関係者や利用者への連絡を行う。
(5)再発防止策の実施
原因を究明して、同様の事故が再発しないように対策を講じる。事故に対する処理や対策で必要な項目については、情報セキュリティポリシーに反映する。
組織幹部として、これらの一連の処理の中でもっとも重要なことは、常に状況を判断できるような情報伝達の手順やルールを確立しておくことです。過去に発生した情報漏洩事件などでは、組織幹部への情報伝達が遅れたり、正確な情報が伝わらなかったりしたために、もっとも大切な初動処理にミスが発生して、事故の被害をさらに拡大させてしまっているケースが数多く見受けられます。
これらの情報セキュリティに関する事故の事例を参考にして、適切な対応が可能な情報伝達や対応方法を手順やルールとして情報セキュリティポリシーに組み込んでおくことで、情報セキュリティ対策をさらに強化することができます。
しかし、実際にトラブルが発生した場合は、事前に策定した手順通りにはいかないことも多々あります。その際は、経営判断が求められることとなります。一例を挙げれば、復旧のために通常業務をいつまで、どの範囲まで止めるのかといった判断があります。さらに例を挙げれば、ランサムウェアの被害に遭った際、通常は支払うものではないとされる身代金について、人命がかかっている等の緊急時には敢えて支払う判断もあり得ます。
これらの判断は、情報セキュリティ担当部署や担当者に任せられるものではなく、経営側が判断を下す必要があることを意識しておく必要があります。
