5.8 セキュリティ被害を受けたときの処置

セキュリティを確保しないことで発生する不利益として、@ データの破壊、改ざん、流出、A コンピュータ資源の盗用、B サービスの妨害などがあります。ここでは、それぞれ代表的な例をあげていますが、個々の組織の状態に応じて、具体的な影響はかなりの数に上ることになります。

 

セキュリティ被害の例

具体的な影響の例

@

データの破壊、改ざん、流出

-新製品の特許情報の流出
-財務情報の漏えい
など

A

コンピュータ資源の盗用

-ウィルスの無断転送
-倫理に反する情報の無断保存
-覚えのない通信費の請求
など

B

サービスの妨害

-オンラインシステムの停止
-Webサーバー等の停止
など

 

コース (A  B  C  D  E)



5.8.1 初期対応手順

 セキュリティインシデントとは、事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故のことをいいます。このセキュリティインシデントが発生した場合の報告・連絡体制が明確になっており、関係する全員に徹底されていることが重要です。
 
1) 報告すべき事象

まず報告すべきセキュリティインシデントは何かを明確に定義しておきます。ISO27001の規格では、情報セキュリティインシデントのほかに情報セキュリティに関連するかもしれない状況を情報セキュリティ事象として、適切な管理者への報告を義務づけています。当てはまる具体的な事例を明示しておくと理解しやすくなります。
 
報告すべき事象やインシデントの例を以下に示します。

情報セキュリティ事象例

情報セキュリティインシデント例

セキュリティポリシー違反

ウィルスの感染

情報セキュリティの弱点発見

不正アクセスを受ける

メールの誤送信

情報媒体(USBメモリなど)の紛失

 

パソコンなどの盗難

 

2) 報告・連絡体制
 報告・連絡体制はきちんと文書化して、関係者全員に配布しておくことが大事です。特にリモートアクセス環境でのオフィス情報システムの使用に当たっては、その連絡体制を確立し、その有効性を確認しておく必要があります。リモートでの使用中に情報セキュリティインシデントに遭遇した場合は、身近にすぐ相談する相手がいない場合が多いので、具体的に報告する手順と報告する相手を明確にし、直ちに取るべき処置方法を文書化し常に携帯するようにします。また、セキュリティインシデントの内容は時代とともに変わり、連絡方法なども変わるので、組織変更や人事異動などのときはもちろん、それ以外でも定期的な見直しが必要になります。見直した結果は直ちに関係者全員に連絡し、連絡体制に不備が生じないように気をつけます。
 
3) コンピュータウィルスなどの被害時の対応

クラッキングやウィルス、不正アクセスなどの被害に遭遇した場合、「まず通信配線を抜いて被害を受けた機器をネットワークから切り離す」のが大前提といわれています。
 ホームページで業務サービスを行っている場合など、サーバーのネットワークからの分離が、そのまま業務停止になりうるケースが考えられ、その処置に躊躇するかも知れません。しかし、実際の被害は外面からでは判断がつかないので、小手先の対処だけで無理な運営を続ければ、さらに被害を拡大する恐れがあるので、サーバーの場合でも被害にあった場合はネットワークから分離することが必要です。
 また、上記のような状況を想定し、日頃から関係者間での対応方法を取り決めておき、日々のデータバックアップ、構築手順書の作成やインストールしているソフトウェアおよびその媒体のリスト化等を行い、万が一の場合の「速やかな復旧」に備えることが大切です。
 

4) 一般的対応手順

対応手順は下記のIPA およびJPCERT サイトに詳しい資料があるので参照してください。

 「インシデントマネジメント V1.0」(PDF 資料)
 
情報処理推進機構 セキュリティセンタ
 http://www.ipa.go.jp/security/awareness/administrator/incident.pdf

 被害に遭遇した場合、被害に遭遇した機器だけでなく最終的にはサーバーのネットワークからの分離と、リストアによる復旧は必須になることを留意してください。また、もし対応手順の判断がつかない場合は、被害を受けた機器をネットワークから分離し、コンサルタントやベンダー、OS のディストリビュータに相談することが有効です。
 

コース (A  B  C  D  E)



5.8.2 リカバリーと再発防止
1) リカバリー

セキュリティインシデントが発生し、その結果として何らかの業務が影響を受けた場合には早急にリカバリーを図る必要があります。日ごろからセキュリティインシデントに対しての対策を考慮しておき、インシデント発生時の業務への影響を最小限にするような工夫も必要ですが、もしインシデントにより業務への少なからぬ影響が発生した場合には早急に対策を検討し、リカバリー策を講じます。

 基本的には以下の手順にて速やかにシステムの復旧を実施する必要があります。

@ 感染した場合の対処と復旧方法

コンピュータの使用を停止し、システム管理者の指示を仰ぐ
最新のワクチンソフトで検査を行い、ウィルス名を特定する
ウィルスに合った適切な駆除を行う
データが破壊されたときは、バックアップから復旧する
最新のワクチンでもう一度検査を行う
再発防止の予防策を講じる

A もっとも確実な初期化、再インストール
ウィルス感染を除去しても、完全な修復は不可能に近いことがある。例えば、システムの重要なファイルが改ざんされ、復旧が困難となったような場合がある。このような場合、感染後のもっとも安全で確実な復旧方法は、システムを初期化し、アプリケーションとデータを再インストールすることである

いずれの場合にも、事前に決められているポリシーに従い速やかに的確に対処することが重要です。
 

2) 再発防止

 セキュリティインシデントが発生した場合には、その原因を追究し再発防止を心がけます。発生の原因には直接的な原因のほかにその背景に真の原因がある場合が多いものです。直接的な原因を除去する対策だけでは、同じインシデントの再発は防止できても、形を変えた同じようなインシデントが発生する可能性は十分あります。真の原因を追究し、その対策を立てなければ、真の原因から派生した形を変えたインシデントが再発する可能性は大きくなります。
 また、同じようなインシデントはほかの部門でも発生することが考えられるので、再発防止策の水平展開が必要です。特にリモートアクセスでは個人による行動が中心になるので、その個人に対する防止策だけでなく同種の業務を行っている全員に対する防止策の徹底が求められます。
 

コース (A  B  C  D  E)