インシデントレスポンス体制整備

情報セキュリティに関わる事故やトラブルが発生した場合には、情報セキュリティポリシーに記載されている対応方法に則して、適切かつ迅速な処理を行うことこそが、被害や損失を最小限に抑える最大の対策です。

昨今ではBCP（事業継続計画）を策定することも多いですが、その観点で事故やトラブルの対応方法を策定しておくことも有効です。
事故やトラブルが発生した場合には、以下の手順で対応します。ここでは、ネットワークへの不正侵入を例として取り上げます。

事故の検知
定期的なログチェックや障害検知ツールの利⽤によって、不審な状況の発⽣を検知する。また、社内外からの通報窓⼝の整備も有効。
外部でないと分からないインシデントもあるため、社外との窓口が有効だが、通報用メールアドレスを設置していても適切な担当に届かないケースもある。また、電話での通報は代表電話にかかってくることがほとんどであるため社内での連携体制を整えておく必要がある。
事故の初動処理
関連する部署や担当者へ連絡を行い、あらかじめ設定しておいた優先順位に従って手続きを行う。情報が漏洩（ろうえい）しているなどの可能性があれば、この段階でホームページを閉鎖する、データをインターネットに接続されていないパソコンに退避させるなどの処置が必要である。なお、利用者に被害が及ぶ可能性がある場合には、速やかに利用者に連絡を行う。
また、この段階でセキュリティ対策機関等への情報提供も強く望まれる（情報提供先はリンク集に記載）。早期の情報提供により、同様のサイバー攻撃の被害を防げた例もある。取引先などの関係先にも情報提供を行うことが望まれる。
事故の分析
被害内容や事故の規模を整理して、事故が発生した原因を分析し、対応策を決定する。
復旧作業
システムを復旧させ、正常に動作していることを確認する。復旧が完了したら、関係者や利用者への連絡を行う。
再発防止策の実施
原因を究明して、同様の事故が再発しないように対策を講じる。事故に対する処理や対策で必要な項目を、情報セキュリティポリシーに反映する。

これらの一連の処理の中でもっとも重要なことは、状況を正確に判断するための情報伝達の手順やルールを確立しておくことです。過去に発生した情報漏洩事件などでは、組織幹部への情報伝達が遅れたり、正確な情報が伝わらなかったりしたために、もっとも重要な初動処理にミスが発生し、事故の被害を拡大させたケースが数多く見受けられます。

これらの情報セキュリティに関する事故の例を参考にして、情報伝達や対応方法を手順やルールとして情報セキュリティポリシーに組み込んでおくことで、情報セキュリティ対策をさらに強化することができます。

しかし、実際にトラブルが発生した場合は、事前に策定した手順通りにはいかないことも多々あります。その際は、経営層に判断を求める必要がある場合もあります。一例を挙げれば、復旧のために通常業務をいつまで、どの範囲まで止めるのかといった判断があります。さらに例を挙げれば、ランサムウェアの被害に遭った際、通常は支払うものではないとされる身代金について、人命がかかっている等の緊急時には敢えて支払う判断もあり得ます。

これらの判断は、情報セキュリティ担当部署や担当者のみで判断できるものではないため、経営側に判断を下してもらう必要があることを意識しておかなくてはなりません。

ページの
先頭へ