セキュリティインシデント発生後の初動対応の鉄則とは?被害拡大を防ぐ方法をスペシャリストが解説

サイバー攻撃が巧妙になる中で、被害に遭うことを前提としたセキュリティ対策の重要性が増している。そこで鍵となるのが迅速な初動対応である。

2013年11月11日 16時00分 公開
[ITmedia]

 企業システムのセキュリティ対策はシステム担当者にとって頭痛の種だ。その根本的な理由に挙げられるのが「完璧なセキュリティ対策はない」という事実である。サイバー攻撃の手口が悪質さを増す中で対応に追われる企業。アンチウイルスやファイアウォール、IDS(不正侵入検知システム)/IPS(不正侵入防御システム)などを導入して、攻撃を入口で撃退するための「入口対策」はもちろん、侵入後のマルウェアを発見して動きを封じ、情報漏えいを阻止する「内部対策」などはセキュリティ意識の高い企業であれば一般的に行われるまでになった。

 だが、各種の調査リポートを見ても、サイバー攻撃の被害は一向に減少する気配はない。攻撃側は成果を上げるために防御の穴を探し出し、手を変え品を変えて巧妙に攻撃を繰り返す。従来のセキュリティ対策は、そうした新たな攻撃に対する的確な防御方法を持ち合わせていないことが多い。

photo 日本IBMの徳田氏

 この状況を理解すれば、セキュリティ対策に関する意識変革が今、企業に強く求められていることは容易に理解できるだろう。日本IBMのグローバル・テクノロジー・サービス事業 ITSデリバリー ユーザー&コミュニケーションサービス セキュリティ・サービスで担当部長を務める徳田敏文氏は次のように話す。

 「サイバー攻撃の被害リスクを完璧に払拭することは、残念ながら不可能なのです。そこで肝に銘じておくべきは、被害に遭うことを前提とした対策が欠かせないということ。被害発覚後の対応により、被害が拡大することもあれば、迅速かつ的確な初動対応によりその被害を抑えることで、経営リスクを最小限に食い止めることもできるのです」(徳田氏)

 とはいえ、的確な対応には専門知識やノウハウが欠かせず、その実践は多くの企業にとって極めて困難だ。これらのことを踏まえ、日本IBMは従来のセキュリティ支援サービス「IBM Managed Security Service」(MSS)での対応ノウハウに加えて新サービスを2013年11月に発表した。それが「Emergency Response Service」(ERS)だ。

優先すべきは原因究明に基づく的確な初動対応

 ERSはセキュリティの専門家の派遣を通じ、企業のセキュリティインシデント(※)対応を支援するサービスである。緊急対応をうたうサービスは他にも存在するが、それらとの一番の違いは、迅速かつ的確な初動対応による被害の極小化を一番の狙いとしている点である。

※:サイバー攻撃などによるセキュリティ事故

 徳田氏はこう説明する。「インシデント発生時に最優先にすべきは、初動対応です。企業としての説明責任を果たすとともに余計な不安感を煽らないためにも、その重要性は明白でしょう。マルウェア解析といった複雑で時間を要す対策は、特に必要がなければ後回しにしても良いでしょう」

 ERSはMSSとの親和性が高く、ERSをより効果的に活用するためにはMSSとの併用が望ましいが、IBM以外のセキュリティ製品/サービス済みの環境でも利用できる点も特徴の1つだ。実際にセキュリティインシデントが発生した際のERSの対応手順を以下で詳しく見ていこう。


提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:TechTarget編集部