指示7 インシデント発生時の緊急対応体制の整備
指示内容
影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制(CSIRT等)を整備させる。
被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。
インシデント発生時の対応について、適宜実践的な演習を実施させる。
実践に向けたファーストステップ
未対策の脆弱性を狙ったサイバー攻撃や、攻撃手法が解析されていない標的型攻撃等は、最先端のセキュリティ対策をしても完全には防げない。そのため、インシデント発生時には速やかに対応して被害を極小化する必要があり、平時からインシデント発生時の緊急対応体制を整備することが望まれる。実践する上でのファーストステップとしては下記の2点が考えられる。
- 自社にとって重要な影響を及ぼす可能性のあるインシデントに対して、対応部署や統括部署等の組織内の役割・体制を整備する
- 証拠保全や関係部門周知等、自社がなすべき初動対応を取り決める
想定される企業の状況
指示7の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに対応した企業の事例をプラクティスとして紹介する。
- インシデントに対応するための組織内の対応体制(CSIRT等)が整備されていない
- 端末が攻撃された場合の証拠保全のルールを定めていない
- インシデント発生時の外部報告・公表のルールを定めていない
- 想定されるインシデントに応じた分析・対応手順を定めていない
- CSIRT業務が属人化している
- インシデントの発生に備えた演習を行っていない
実践に向けた基礎情報~緊急対応体制の必要性~
標的型攻撃等により、攻撃者が組織内部への侵入に成功すると、工場等の重要なシステムが長時間停止させられたり、重要な情報が長期間窃取され続けたり、他組織への攻撃の踏み台として利用される場合がある。
そのため、影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT等)を整備することが重要となる。

図1 サイバー攻撃に対するインシデントレスポンスの流れ(イメージ)
表1 インシデント対応の流れとCSIRTの主な活動の例
,インシデント対応の流れ | CSIRTの主な活動例 |
---|---|
①検知 |
|
②報告 |
|
③封じ込め |
|
④復旧 |
|