【保存版】インシデント発生!初動対応で実施すべき7ステップ

インシデント発生時にとるべき行動について、読者の皆様の所属先の企業さまでは決まっているでしょうか?
弊社では、いざインシデントが発生した場合に、何から対応すればよいのか分からない、誰が何をするのか決まっていない、というようなご相談をよくいただきます。

そこで今回のブログでは「情報セキュリティ対策を行った経験がない企業さま」、「情報セキュリティ対策を行う部門がない企業さま」など、これから情報セキュリティ対策を行っていきたいとお考えの情報システム部門担当者・責任者、経営者さまを対象にインシデント発生時の対応と日頃から実施すべき事項について、ざっくりご紹介していきたいと思います。

全3部作の長編を予定しておりますが、お時間ございましたらぜひ最後までお付き合いいただけると幸いです。

目次

最初に

最初にお話ししておきたいことがあります。
どのような組織でもインシデントが発生した際はセキュリティ対策を実施しなければなりません。組織にセキュリティ対応の部署があろうがなかろうが、攻撃者は見境なく攻撃を仕掛けてきますので、どの組織においてもセキュリティ対策は必ず必要になってきています。

なお、このブログでは、情報セキュリティ対策を行う部門がない中小組織で、初めてインシデント対応を行う担当者の方に向けてお送りします。

すでに情報セキュリティ対策の体制を用意されている組織や、高リスクのインシデントが発生する可能性のある組織では、本ブログに記載した内容では適さない、あるいは不十分な場合がありますので、それぞれの組織体制やリスクに見合った対応をお願いいたします。

インシデントとは?

そもそも「インシデント」とはなんでしょう。
ITの世界では、「サイバーインシデント」、「情報セキュリティインシデント」、という呼び方をすることもありますが、情報システムやPC等の電子機器の中に発生したセキュリティの事件・事故を指します。「インシデント」には人為的なミスを起因としたものも含まれますが、今回のブログでは外部からの攻撃を起因としたインシデント対応についてご紹介していきます。

具体例としては、

  • 攻撃者によりWebサイトが改ざんされ、閲覧者をウイルス感染させてしまう
  • 攻撃者がばらまいたマルウェアに感染し、組織内の重要情報が搾取される
  • 攻撃者がばらまいたマルウェアに感染し、システム停止、あるいは、システムの持つデータが破壊される

といったような事象が該当します。

インシデントが発生したときにやるべきこと

インシデント発生時の対応として、一般的にはまず最初に事象の概要を把握する「初期対応」を行い、その後、本格的な調査対応である「インシデントレスポンス(セキュリティ事故対応)」を実施します。今回のブログではインシデントの「検知/連絡受付」から、まず最初に実施すべき「初期対応」までの、初期フローについてご紹介していきます。

インシデント対応全体の流れと、今回のブログ範囲については以下の図のようになります。

「検知/連絡受付」ならびに「初期対応」までのフローとしては、以下の(1)~(7)のステップがあります。

(1)検知/連絡受付
(2)初期調査
(3)経営層への報告/連絡
(4)被害拡大の抑止、2次被害抑止
(5)発生した事象の見極め
(6)組織外のセキュリティ対応業者への支援要請
(7)その他の作業

それぞれのステップについて解説していきます。

(1)検知/連絡受付

インシデントの疑いがある事象が発生した場合、あるいは、セキュリティ対策製品などサイバー攻撃を監視する仕組みからアラートがあがった場合、まず上司と「インシデント対応を行う部署」へ連絡します。「インシデント対応を行う部署」を明確に取り決めていない場合は、情報システム部門や経営部門などインシデント対応と関連性が高いと思われる部門に報告します。

(2)初期調査

「インシデント対応を行う部署」にて初期調査を実施します。初期段階では、「システムに繋がらなくなった」、「PCの挙動がおかしい」などのあいまいな情報しかない場合がありますので、「発見日時」「発見場所(発見した機器、システム、アプリ等)」、「発見者」、「経緯や現象」、「なぜ異常だと思ったのか」といった情報を確認してください。

この段階でも判れば、「組織に及ぼす影響はどの程度か」、「2次被害や被害の拡散はあるのか」といった観点でも確認を行ってください。

(3)経営層への報告/連絡

「インシデント対応を行う部署」の現場担当者にて初期調査を実施しながら、同時に上司や経営層への報告/連絡も行ってください。インシデント対応においてコスト面あるいは風評被害、といった観点から経営判断が必要なケースがあり、現場担当者では発生するリスクが適切に認識できない可能性があります。そのため、セキュリティ事故・事件であるか否か確認できていない段階から、経営層/上層部へ早めに相談や報告を行ってください。

※この段階にて「どの様に対応したらよいか」、「どの様なリスクがあるのか」判断できない場合は、「(6)組織外のセキュリティ対応業者への支援要請」の通り、組織外のセキュリティ対応業者に連絡を入れて支援を要請して下さい。

(4)被害拡大の抑止、2次被害抑止

被害の拡大や2次被害の可能性がある場合は速やかに対応してください。

  • PC等の機器がマルウェアに感染した疑いがあれば、WiFiや有線LAN等のネットワークから切り離してください。類似の現象が他の部署にも発生していないか確認し、複数の部署にて発生している場合は組織内のネットワークを停止して下さい。
  • 組織の関係者になりすましたメールが発見された場合、組織内外の関係者にその事実を伝え、なりすましメールの内部リンクのクリックや添付ファイルの開封を行わないように伝えてください。
  • Webサイトが改ざんされて「悪意のあるサイトへの誘導」や「マルウェアがダウンロード」される場合は、「Webサイトの緊急閉鎖」を行い、代替えサイトを準備し、「悪意のあるサイトへ誘導やマルウェアダウンロードされる状態であったこと、マルウェア感染のリスクと対策」について告知を行ってください。また、関係者には事象について報告を行ってください。

※「被害拡大があるのか否か」、「2次被害があるのか否か」判断できない場合は、「(6)組織外のセキュリティ対応業者への支援要請」に従って支援要請して下さい。

(5)発生した事象の見極め

収集した情報から今回の事象がインシデントであるか否か、インシデントである場合はどの程度の緊急性が求められるかを判断します。
※判断できない場合は、「(6)組織外のセキュリティ対応業者への支援要請」に従って支援要請して下さい。

インシデントでないと判断した場合は、その旨を事象発見者に連絡して下さい。
インシデントであると判断した場合は、インシデント対応を実施して下さい。緊急性が認められる場合は、経営層に相談し速やかに対応を実施してください。
※インシデントの対応が組織内にて困難であると判断した場合は、「(6)組織外のセキュリティ対応業者への支援要請」に従って支援要請して下さい。
※被害届が必要になる場合は、早い段階から所轄警察に相談してください。

(6)組織外のセキュリティ対応業者への支援要請

インシデントと思われる事象が発生した際に、「どの様に対応すればいいか判らない」、「自組織にどれくらいのリスクがあるか判らない」、「被害拡大や2次被害があるか判らない」、「結局インシデントなのか否か判断できない」等の問題があれば、組織外のセキュリティ対応業者へ連絡を取り、相談して下さい。

日頃からインシデントを想定し、予めセキュリティ対応業者へ連絡し、対応内容や対応可能範囲、料金、条件等を確認し、可能であれば人間関係をつくり、支援要請しやすい環境を整えておくことが大切です。

知り合いにセキュリティ対応業者はいない場合は、日頃システムの提案や導入・運用を実施してもらっている業者に「サイバーセキュリティインシデントが発生した際の対応できる業者はいないか」聞いてみてください。既に業務提携等されているケースもあります。 ネットで検索してもどこが良いのか判らないという方は、IPAやJNSAが公開している情報をご参照ください。(※)

(※):インシデント対応ができるセキュリティ対応業者の探し方の例

以下にIPAとJNSAが示すセキュリティ対応業者が確認できるので、これらの業者の中から自組織の必要とするサービス(QAサービス等)を持つ業者を選定して連絡を取ってください。必要でしたら契約を進めてください。
・IPA「情報セキュリティサービス基準適合サービスリストの公開(デジタルフォレンジックサービス)
・JNSA「ソリューションガイド(インシデント対応・フォレンジック)
またIPAの「サイバーセキュリティお助け隊サービス制度」を活用することで、サービスに登録されたセキュリティ対応業者と連絡を取ることができます。

(7)その他の作業

その他、初期に実施する作業として、調査対象の証跡確保などがありますが、ここから先は情報セキュリティ対策の知見を持たれた方と一緒に対応する方が良いので、セキュリティ対応業者からの支援を受けながら実施してください。

なお、弊社でもインシデント発生の際のご支援は可能ですので、是非お気軽にお問合せください。

まとめ

さて、今回は「インシデント発生!初動対応で実施すべき7ステップ」として、そもそもインシデントとは?の解説から、発生時に行うべき(1)~(7)のステップについてご紹介しました。次回は、インシデントに備えて普段から実施すべきことをテーマにお送りしますので、是非楽しみにお待ちいただければ幸いです!

著者:近藤 伸明
シニアセキュリティコンサルタント、企業様向けのセキュリティアドバイザリー支援実施。企業様向け、および、セキュリティ関連組織向けのドキュメント作成実績多数あり。直近ではJNSA「今すぐ実践できる工場セキュリティハンドブック」作成に携わる。

  • URLをコピーしました!
目次