第一次攻撃を確認したら、次の展開を想起すべし
サイバーセキュリティの脅威が高まるなか、インシデント発生時に迅速かつ適切に対応するための組織としてCSIRTを構築している企業が増えている。しかし、ひとまずCSIRTを設置したものの、そこで具体的に何をすべきなのか、また要員をどのように教育していくべきなのかなどについて悩んでいる企業も多いのではないだろうか。
ANAシステムズ 品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRTの阿部恭一氏は、インシデント発生時のCSIRT初動対応のポイントについて次のように話す。
「最初の攻撃のみに目を奪われることなく、攻撃者が次に何を仕掛けてくるのかについて想像力を働かせるようにすべきです。一次攻撃を終えた攻撃者は、第二次攻撃に必要なツールをダウンロードしてきて、次の攻撃に移るという行動パターンをよくとります。また、顧客向けにネット経由のサービスを提供しているのであれば、攻撃者はeコマースなど他のネットサービスから窃取したIDとパスワードを用いて正規ユーザーになりすまそうとするかもしれません。つまりこの場合は、なりすましによる不正侵入をいかに見抜いて防ぐべきなのか頭を巡らせる必要があるのです。もちろん決して簡単なことではないですが、"こんな展開はまったく想定しなかった"といった事態はできる限り避けるようにするべきです」(阿部氏)
「~最新の事件も紹介! 新たな攻撃手法と対策方法とは~ 標的型攻撃対策セミナー」の参加申し込みはこちら(参加費無料、11月22日(火)開催、13:00~17:20) |
ANAグループCSIRTの幅広い役割
阿部氏が所属するANAグループ情報セキュリティセンターは、ANAグループ全社の情報セキュリティを管轄している。そのミッションは、情報セキュリティインシデント対応だけでなく、社員の情報セキュリティリテラシー向上のための教育から、各種情報の取り扱いに関する法令の規程化、SNSでの炎上対策、ポイントの不正交換詐欺への対処など多岐にわたる。ASY-CSIRTのスタッフは現在約10人だが、インシデント対応時には、それぞれのシステム運用部隊と連携し、50人ほどの体制で被害の防止や最小化に挑むこともある。
「CSIRTでは、国内航空各社とも積極的に情報共有を進めています」(阿部氏)
グループ内に存在する情報資産の管理も、ASY-CSIRTの重要な役割のひとつだ。現在どのような情報を取り扱っているのか、ASY-CSIRTではグループ各社から定期的に情報を集約している。そうすることで、たとえば、あるシステムに脆弱性が発見された際には、該当するシステムをどのグループ会社がどのような用途で利用しているのかをすぐに把握でき、適切な対処策を施せるのである。
海外支店の情報セキュリティ体制についても、CSIRTのスタッフが現地に赴いて見て回るようにしている。
「たとえ海外の拠点であろうと、セキュリティガイドラインをきちんと守っているのかなどをCSIRTチームが直接確認することが大事だと考えています。セキュリティ対策は海外にまで訴求できていなければ意味がありませんから」と阿部氏は強調する。
11月22日(火)に開催される「標的型攻撃対策セミナー」での阿部氏による特別講演「サイバーセキュリティに対するCSIRT内担当者の役割と標的型攻撃への対応例」では、CSIRT内のそれぞれの役割と必要なスキルについて詳細に解説が行われる予定だ。また、役割間の連携によって、組織として標的型攻撃を検知した時にどのように対応していくのかについても、ANAグループのCSIRTを例に具体的な内容が示される。CSIRTを運営している企業はもちろんのこと、これからCSIRTの設置を考えている企業のセキュリティ担当者にも大いに役に立つ実践的な内容となることだろう。
「~最新の事件も紹介! 新たな攻撃手法と対策方法とは~ 標的型攻撃対策セミナー」の参加申し込みはこちら(参加費無料、11月22日(火)開催、13:00~17:20) |
(マイナビニュース広告企画:提供 アズジェント、キヤノンITソリューションズ、BlackBerry Japan、チェンジ、Vormetric)
[PR]提供: