インシデントレスポンス計画が企業や団体全体に渡って 整備、対応され、定期的にテストされることは重要なこととなります。 有効なインシデントレスポンス計画は実際の侵害の被害を最小限にくい止めることができるだけでなく、 悪評を緩和することができます。
セキュリティチームの観点からは、侵害・妨害(インターネットなど信頼できない媒体を 使用したビジネス運営には起こりえること)が発生するかどうかは問題ではなく、 むしろ侵害・妨害がいつ発生するかが問題です。 1つのシステムが弱く攻撃を受けやすいとは考えないでください。 時間とリソースが十分に与えられることが重要なことであり、 どれほどセキュリティ強化したシステムやネットワークであっても誰かが侵害したり 妨害行為を働きます。企業ウェブページの常習的な破損から、 2002年に世界中でインターネットアクセスになんらかの障害を起こさせようとしたルート DNSネームサーバーへの攻撃まで、最近のセキュリティ侵害・妨害と脆弱性に関する更新詳細情報 についてはhttp://www.securityfocus.com/にあるウェブサイトSecurity Focusをご覧になれば 十分でしょう[1]。
システム侵害の不可避性を認識するという前向きな方向をとることで、セキュリティチームが 可能性があるあらゆる損害を最小限に止める行動方針を作成できるようになります。 専門知識と行動方針を組み合わせて、チームは正式に敏感に不利な状況に対して 対応することができます。
インシデントレスポンス計画は4つの段階に別けることができます。
インシデントをくい止める、最小限に抑えるための迅速な対応
インシデントの調査
ダメージを受けたリソースの復旧
適切なチャンネルへのインシデント報告
インシデントレスポンスは決め手でなければならず、迅速に実行する必要があります。失敗している余裕がないため、緊急訓練を実施し、対応時間を測定することがきわめて重要です。 これにより、インシデントレスポンス実行におけるスピードと的確さを促進し、 実際にシステム感染が発生した際に、リソースが使用不能になった場合の影響と 考え得る損害を最小限に抑える体系を作りあげることが可能です。
インシデントレスポンス計画には以下のような多くの必要条件があります。
社内のエキスパートによるチーム(コンピュータ緊急レスポンスチーム)
法律的な視野から検討され承認された対策
会社からの財政的なサポート
管理上層部からの実行上のサポート
試験を行なった実際に実行可能な対応プラン
物理的なリソース、余剰ストレージ、予備システム、バックアップサービスなど
コンピュータ緊急レスポンスチーム(CERT (The Computer Emergency Response Team)) とは、コンピュータに破局的な事態が起きた際に迅速に対応する準備が整った社内のエキスパートで 構成されるグループのことです。CERTの核となる適正者を見つけるのは簡単ではないかもしれません。 適切な人材のコンセプトは、技術的な専門知識を超え、所属場所や対応可能などのロジスティックス な部分が要求と合致していて、緊急事態が発生した際には個人的な事情は後回しにして 企業を優先できる人材です。緊急事態とは必ず予期しないときに起こるものです。 いつでも起こりうることであり、 CERTのメンバー全員は、いつ何時も緊急事態への対応が 求められる責任を進んで引き受ける 気持ちが必要とされます。
一般的にCERTメンバーにはシステム管理者とネットワーク管理者の他に情報セキュリティ部門 からのスタッフも含まれます。システム管理者はデータのバックアップ、利用可能な バックアップハードウェア、その他などシステムリソースの知識と専門技術を提供します。 ネットワーク管理者はネットワークプロトコールの知識とネットワーク通信を動的に再ルート する能力を提供します。情報セキュリティ部門からのスタッフはセキュリティ問題を徹底的に 追跡、トレースし、同時に感染したシステムの事後検討・分析を行なうのに役に立ちます。
常時でなくてもよいですが、CERTには余剰人員が必要です。 核となるエリアが企業にとって不充分であれば、できる限りクロストレーニングを 実施する必要があります。 もしも、ひとりのスタッフしかデータの安全性や健全性に対する 対応を知らなかった場合、 その人が不在の事態には企業全体が無力となることに注意してください。
インシデントレスポンスの重要な側面として考慮すべき点が法律上の問題です。 セキュリティプランは法律関係のスタッフまたは総合コンサルタントなどと共に 開発するべきでしょう。それぞれの企業が自社独自の安全対策方針を持つのと同様に、 各企業は法的な観点からインシデントを取扱う自社独自の方向性を持ちます。 地方自治、州、国の規制事項はこのガイドの範囲を超えますが、 事後検討・分析の実施のための体系、少なくともその一部は、法律関連のコンサルタントによって (あるいは法律関連のコンサルタントと共に)規定されるものがありますので、ここで触れておきます。 総合コンサルタントは侵害・妨害の法律的な解釈を技術スタッフに警告することができます。 クライアントの個人的な記録、健康上の記録、財政記録の漏洩の危険、病院や銀行など ミッションクリティカルな環境におけるサービスの復旧の重要性など。
[1] |