- 2025/04/30
- セキュリティ
「もしもの時」に備えるためには平時におけるセキュリティインシデント対応の演習が必須
Post by : Cybereason Japan Advisory Team
平時にセキュリティインシデント対応の演習を行っておくことの重要性
近年のサイバー攻撃の手口は年々高度化・複雑化しており、どれだけ強固な対策を施しても被害を100%完璧に防ぎきるのは極めて困難です。近年では、デジタル空間上で不動産業者や土地所有者になりすまし、不動産取引詐欺を働く「デジタル地面師」とでも呼ぶべき巧妙な手口まで登場しています。そこで今日では、攻撃を防御するための対策だけでなく、防御を突破されてしまったことを想定して、被害を最小限に食い止めていち早く原状復帰するための取り組みも重要視されるようになってきました。
実際のところ、セキュリティインシデントが発生した際の対応手順を明文化したり、CSIRTの組織を組成してインシデント対応をスムーズかつ迅速に行うための体制を整備したりする企業が増えてきました。しかし実際にセキュリティインシデントに見舞われた企業の多くが、対応プロセスや体制をあらかじめ整備していたにも関わらず、いざ有事に直面した際に不備が発覚して対応が後手に回ってしまい、結果として被害の拡大を余儀なくされています。
そこでぜひお勧めしたいのが、平時にセキュリティインシデント対応の演習を行っておくことです。現実のセキュリティインシデントに基づくリアルなシナリオに沿って、演習を机上で行っておくだけでも、自社の既存の対応プロセスや体制が有効に機能するものなのかどうかを確認することができます。これによって、いざ有事に直面した際に、場当たり的な対応を繰り返していたずらに被害を拡大させたり、外部への報告に不備があったために風評被害を受けたりするような事態を防ぐことができます。
リアルなセキュリティインシデント対応で求められる多様な判断
どれだけ時間をかけて練り上げたセキュリティインシデント対応の手順書も、現場で発生するあらゆるケースを漏れなくカバーするのは現実的ではありません。例えば個人情報の漏えいが発生してしまった場合の対応1つをとってみても、自社のシステムから直接漏えいしてしまった場合の対応を考えるだけでは不十分です。
実際には業務委託先の企業からの漏えいも十分あり得ますし、今日ではSaaSサービスの業務利用も一般的になってきましたから、利用しているSaaSサービスがサイバー攻撃を受けてそこから自社の顧客の個人情報が漏えいするケースも考えられます。そのような場合、一体どのような対応を取るのが適切なのでしょうか?
この問いの回答を導き出すためには、個人情報保護法を正しく理解する必要があります。例えば、「個人情報の保護に関する法律についてのガイドライン(通則編)」によると、個人情報保護委員会や本人への通知は「原則として委託元と委託先の双方が報告する義務を負う」とありますが、それとともに「委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される」という記述もあります。つまり、たとえ業務委託先やSaaSベンダーのシステムから個人情報が漏えいしたとしても、その報告を受けた場合は自社が個人情報保護委員会や本人に対して速やかに報告を行わなくてはなりません。
また自社システムがランサムウェアに感染して身代金の支払いを要求されたケースでも、対応が後手に回ってしまったために被害が拡大するケースが後を絶ちません。あらかじめ「原則的に身代金は支払うべきではない」というポリシーを関係者間で共有できていたとしても、いざインシデントが発生した際に「実際に支払うべきか否かの判断を、誰がどのようなプロセスを通じて行うのか」が定義されていないと、迅速に判断を下すことができず、いたずらに時間だけを浪費して被害が拡大していってしまいます。
サイバーリーズンが提供する「インシデント対応演習サービス」
このように、現実のインシデント対応ではさまざまなケースに応じて素早く判断を下していく必要がありますが、多くの企業ではそのための判断基準や判断主体が明確に定まっていません。そこで現実のセキュリティインシデントを想定した演習を実施することでそれらの実効性を確認し、対応プロセスや体制をブラッシュアップしていくことで、いざ有事に直面した際も迅速かつ適切な対応を取れるようになります。
弊社では企業のこうした取り組みを支援するために、机上でのセキュリティインシデント対応演習を実施するサービスを提供しています。これまで弊社が膨大な数のセキュリティインシデントに対処してきた知見を生かして、極めてリアルなシナリオを準備し、これに基づいて脅威の検知から初期対応、外部への報告、封じ込め施策の検討やシステム復旧に至るまで、一連の流れを確認いただける機会を提供します。
既に多くの企業にこの「インシデント対応演習サービス」を採用していただいており、「身代金支払いの最終決定者が不明確だったため、明確なルール化が必要だと理解できた」、「外部へ報告する際の報告先や報告基準が初めて明確化できた」、「演習の実施を通じて経営陣や事業部門にもセキュリティ対策の重要性を理解してもらえた」といった声をいただいています。自社のセキュリティインシデント対応に少しでも不安を抱えている企業は、ぜひ一度実施してみることをお勧めします。
サプライチェーン攻撃対策ガイド ~インシデントに備えて対策すべき経営リスクとは~
企業経営者の中にはいまだに「報道される事案は大手企業がほとんどなので、うちのような中堅・中小規模には関係がない」と考えている方も少なくないかもしれません。
しかし実際には、「サプライチェーン攻撃」と呼ばれる攻撃手法の多用によって、中堅・中小規模を敢えて狙った攻撃が近年多発しており、多くの被害が発生しています。
本資料では、中堅・中小企業がインシデントに備えて対策すべき「4つの経営リスク」についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/11005/
