【保存版】インシデント発生に備えた日頃のセキュリティ対策とは？

前回のブログでインシデント発生時に、まず最初にやるべきこと（１）～（７）のステップについてご紹介しました。今回はいざインシデントが起きたという時にスムーズに対応ができるよう、普段から準備しておくべきことに焦点をあてていきます。

前回のブログをまだ読んでいない、という方は是非下記の記事も読んでみてください。

インシデント発生に備えて普段から実施すべきこと

まずは今回のブログ範囲です。
インシデント発生時にスムーズに対応ができるよう、普段から実施しておくべき事項を「事前準備」として、紹介します。

不正なソフトウェアの多くはWebやメールを経由してやってきます。また不正なソフトウェアはOSやソフトの脆弱性を悪用して侵入し感染拡大します。その様な状況に備え普段から準備しておくべきこととして、どのようなことがあるでしょうか。実施すべきことはたくさんありますが、ここではシステム面での対策、人的対策、の２つの切り口から解説していきます。

（１）システム面によるセキュリティ対策
（２）人的対応によるセキュリティ対策

（１）システム面によるセキュリティ対策

インシデントを防ぐ為に導入すべき仕組みとして、「インターネットの出入り口対策（※1）」、「ウイルス対策ソフトの導入」は必須です。その他の仕組みとして、「Webサイトへアクセスする際のURLフィルタリング」、「電子メールの検疫」、「端末やアカウントの管理・制限」、「セキュリティ機器、EDR（Endpoint Detection and Response）の導入」等も必要ですが、どの対策が貴組織にとって有用か、優先度が高いのかセキュリティ対応業者と相談して貴組織に必要とされる仕組みをご検討下さい。可能であればリスクアセスメントを実施し、優先順を決めてからセキュリティ対策を実施されることを推奨します。

（※1）：F/W(Firewall)やUTM (Unified Threat Management)により、内外からの不要な通信を制限して下さい。IPAの「サイバーセキュリティお助け隊サービス制度」を活用することで、「インターネットの出入り口対策」の実施が実現できます。これを入れることで万全になるわけではありませんが、「インターネットの出入り口対策」が全く実施されていない場合は、大幅に改善されます。リモートワークを実施している場合は、VPNや仮想端末等を利用して安全に組織内システムへアクセスできる手段についてもご検討ください。

（２）人的対応によるセキュリティ対策

インシデント発生時に組織としての対応が円滑になるよう事前に体制づくりに関する準備を行う必要があります。これら人的なセキュリティ対策として実施できることの具体例を以下に示します。システム面でのセキュリティ対策の代わりに、新しい体制や運用、ルール変更など人的対応による措置が可能となるケースもありますので、人的対応による代替え措置という観点でもご一読いただければと思います。

ａ．経営判断のできる情報セキュリティの責任者を決める

経営層の情報セキュリティに対する無関心さが要因となり、セキュリティ対策が滞っているケースが少なくありません。各部署の協力を得やすくするという側面もありますので、情報セキュリティ対策の責任者は経営判断のできる経営層としてください。

ｂ．セキュリティ対策の体制や手順を用意する

セキュリティ対策を実施するためのグループや会議体を用意して下さい。このグループや会議体の中では、「セキュリティ対策の体制の構築（※2）」、「セキュリティドキュメントの整備（※3）」、「インシデント対応手順の整備（※4）」、「セキュリティ教育の実施」等を実施します。これらの情報セキュリティ対策の体制作りや運用が困難、あるいは、どの様に進めればよいか判らない等の理由で実施できない場合は、情報セキュリティ対策の体制構築支援を実施している業者に相談してみることもご検討ください。弊社でも情報セキュリティ対策の体制作りのご支援は可能ですので、よろしければお問合せください。

（※2）：日本CSIRT協議会「CSIRT スタータキット」、JNSA「情報セキュリティ方針」等を参照してセキュリティ対策の体制を構築して下さい。
（※3）：セキュリティドキュメントの整備はJNSA「情報セキュリティポリシーサンプル」を参照ください。
（※4）：JPCERTの「インシデント対応マニュアル」を参考にして、インシデント対応手順を整備してください。

ｃ．報告できる方法・手段をまとめ告知する

インシデントが発生したことを素早く認知できるように、組織内の構成員や組織外の第三者がインシデントを発見した際に報告することができる窓口を用意し、窓口の利用方法を日頃から周知して下さい。インシデントを報告する際に使用する「インシデント報告シート」を用意し、この「インシデント報告シート」を使用して必要な情報を収集できるよう準備します。またインシデント対応手順内にも、この報告シートを示し、定めたインシデント対応手順について組織内に告知します。ご参考までに、以下はIPA「情報漏えい情報共有シート」のフォーマット（※5）を参考にした「インシデント報告シート」サンプル、および、記入例です。

（※5）：IPA「情報漏洩発生時の対応ポイント集」より

ｄ．緊急時の相談窓口を確保する

組織内のみでは手に負えなくなるケースに備え、業務委託できる相談先（インシデント対応ができる事業者）を日頃から確保しておいてください。可能であれば事業者の担当者と事前に打ち合わせなど行い、サービス内容や費用を把握し事前に業者選定を終わらせてください。同様に、所轄警察署や所轄官庁への届け出、報告が必要な事案に備えて、所轄警察署や所轄官庁の連絡先など予め確認し、担当者の方と面識をもっておくことをお勧めします。弊社でもインシデント対応は可能ですので、よろしければお問合せください。

ｅ．セキュリティ教育の実施

組織に所属する従業員のセキュリティ意識を高めることによって、従業員の不用意な行動によるインシデント発生を低減する、あるいは、インシデントに遭遇した際も適切な対応によりリスクを広がらないようにする、ことが期待できます。
e-ラーニングなど情報セキュリティの教育コンテンツは多数販売されていますので購入して従業員に受講してもらう方法もありますが、予算が限られる場合はインターネット上に無料のコンテンツが存在しますので、これらを活用する方法もあります。

教育を推進するために、例えば以下のようにコンテンツを活用して下さい。（※6）

• 毎週１回、オンラインの定例会等の後、10分程度セキュリティ教育を実施する。
• 動画を全員で鑑賞し、何名かピックアップして感想を述べる様にする。
• 従業員が当番制で講師を行い、静止画のコンテンツについて説明を実施する。
• セキュリティ教育の最後に、Webフォームにて何問か出題し、出席と理解度を確認する。

（※6）：従業員の理解度をチェックしたい場合は、IPA「情報セキュリティ・ポータルサイト（セキュリティチェック）」にある出題を従業員の方に回答してもらいその結果を報告してもらう方法があります。こちらのサイトではオンラインで利用者の理解度を確認する為の設問やクイズ等のサイトを紹介しています。その中の１つJNSAの「情報セキュリティ理解度チェック」では、JNSAのワーキンググループにて作成した問題を利用者の方々に回答して頂くことで利用者の皆さんの理解度が確認できます。管理者機能があり受講履歴や成績を一元管理することもできます。

まとめ

さて、今回は「インシデント発生に備えた日頃のセキュリティ対策とは？」として、普段から実施すべき事項についてご紹介しました。今回は大枠の対策をご紹介しましたが、次回は特定の攻撃に対する対策として、「マルウェア感染の対策」や「ランサムウェアの対策」等特定の攻撃を引き合いに、より具体的な対策についてご紹介する予定です。またインシデント対応全体のざっくりフローについても解説しますので、是非お付き合いいただければ幸いです。

インシデント関連のブログを追加しています。
下記のブログではいざという時に役立つかもしれない対応や届け出に関するQA、参考サイトなどまとめています。

日頃の備えとしておすすめのフォレンジック事前調査サービスについてのご紹介ブログです。宜しければご覧ください。

著者：近藤　伸明
シニアセキュリティコンサルタント、企業様向けのセキュリティアドバイザリー支援実施。企業様向け、および、セキュリティ関連組織向けのドキュメント作成実績多数あり。直近ではJNSA「今すぐ実践できる工場セキュリティハンドブック」作成に携わる。