推奨される取り組み

26 事故対応手続き

設問

情報セキュリティに関連する事件や事故が発生した際に必要な行動を、適切かつ迅速に実施できるように備えていますか。

(事件や事故への備えには、そうした万が一の場合にとるべき行動をあらかじめ検討しておくこと、検討した結果を文書にまとめて関係者に周知しておくこと、緊急の連絡網を整備すると共に、必要な要員や資機材を揃えられるようにあらかじめ手配しておくことなどがあります。)

説明

情報セキュリティに関連する事件や事故が発生した場合に、被害の拡大を防ぎ、局所化するためには、事件や事故に必要な対応を組織全体で適切かつ迅速に実施できなければなりません。そのためには、事件や事故を想定し、実施すべき作業やその実施要領を確立するとともに、現場の要員がいざというときに対応作業を円滑に実行できるように準備しておくことが必要となります。また、個人情報などの漏えいが発生した場合に、影響を受ける可能性のある本人への連絡、主務大臣などへの報告、事実関係や再発防止策の公表などを円滑に進めるため、手順などを整備しておくことも重要です。

対策のポイント

1.セキュリティにかかわる出来事、事件や事故の発生時の対応について、実施要領を定めているか
2.セキュリティにかかわる出来事、事件や事故に関する対応要領を関係者に徹底しているか
3.セキュリティにかかわる出来事、事件や事故の発生時の連絡網を含む対応体制を構築しているか
4.セキュリティにかかわる出来事、事件や事故への対応に必要なリソースやツールを適切に準備しているか
(ここでのリソースやツールとは、障害対応要員、障害を記録するためのディスク領域、障害報告機能や分析機能などを指します)
5.情報処理施設は、可用性の要求事項を十分に満たす冗長性をもって、導入しているか

解説

事件や事故への対応を迅速かつ適切に行うために、セキュリティにかかわる出来事、事件や事故の種類ごとに以下の準備を整えていることが望まれます。
・組織内の関係者への報告(誰にどのような報告を行うか)
・必要に応じて実施すべき緊急処置(ネットワークの遮断、システムや業務の一時停止など)の適用基準や実行手順
・被害状況の把握(被害範囲や被害の内容など)
・原因の把握と対策の実施
・被害者への連絡や外部への周知などのリスクコミュニケーションの体制の確保
・通常のシステム運用への復旧手順
・停止した業務の再開手順
これらの具体的な内容は、個人情報の漏えい、営業機密情報の漏えい、システムや情報の混乱、システムの長時間停止、コンプライアンス違反など、発生した事件や事故の種類によって異なります。このため、事件や事故発生時の対応要領は、それぞれの組織に与える影響が大きいと考えられる事件や事故の形態ごとに定めておかなければなりません。特に個人情報の漏えいの場合、個人情報漏えいの事実を公表することが、個人情報の保護に関する法律についての個人情報保護法に基づく各府省庁のガイドライン等に定められています。

また、情報システム部門やユーザ部門の要員が、事件や事故の緊急時対応作業を適切に実施するためには、関係者への対応要領の周知や、必要なスキルに関する教育や訓練などの実施も重要な課題の一つになります。

さらに、事件や事故の処理には、組織的な対応が不可欠です。このため、日頃から、以下のようなことについての確認も必要となります。
・緊急連絡網が確立され、常時機能するようになっているか
・責任者と対応実施体制が決まっており、当事者が自分の責任を認識しているか
事件や事故によっては、被害状況の調査や情報の回復、一時停止したシステムの再開に必要なツールやハードディスク等が必要となるため、事前に準備しておく必要があります。ただし、これらの機器はシステム環境の変化等によって使用できなくなっていたり、普段は使う機会がないために使用に手間取ったりすることがよくあります。そのような事態を防ぐために、これらが正常に稼働することを定期的にチェックすることも必要です。