10.2. インシデントレスポンス計画を作る

インシデントレスポンス計画が企業や団体全体に渡って整備、対応され、定期的にテストされることは重要なこととなります。 有効なインシデントレスポンス計画は実際の侵害の被害を最小限にくい止めることができるだけでなく、悪評を緩和することができます。

セキュリティチームの観点からは、侵害・妨害(インターネットなど信頼できない媒体を使用したビジネス運営には起こりえること)が発生するかどうかは問題ではなく、 むしろ侵害・妨害がいつ発生するかが問題です。1つのシステムが弱く攻撃を受けやすいとは考えないでください。時間とリソースが十分に与えられたなら、どれほどセキュリティ強化したシステムやネットワークであっても誰か が侵害したり妨害行為をします。企業ウェブページの常習的な破損から、2002年に 世界中でインターネットアクセスになんらかの障害を起こさせようとしたルート DNSネームサーバーへの攻撃まで、最近のセキュリティ侵害・妨害と脆弱性に関する更新詳細情報についてはhttp://www.securityfocus.com/にあるウェブサイトSecurity Focusをご覧になれば十分でしょう[1]

システム侵害の不可避性を認識するという前向きな方向をとることで、セキュリティチームが可能性があるあらゆる損害を最小限に止める行動方針を作成できるようになります。専門知識と行動方針を組み合わせて、チームは正式に敏感に不利な状況に対して対応することができます。

インシデントレスポンス計画は4つの段階に別けることができます。

インシデントレスポンスは決め手でなければならず、迅速に実行する必要があります。失敗している余裕がないため、緊急訓練を実施し、対応時間を測定することがきわめて重要です。これにより、インシデントレスポンス実行におけるスピードと的確さを促進し、実際にシステム感染が発生した際に、リソースが使用不能になった場合の影響と考え得る損害を最小限に抑える体系を作りあげることが可能です。

インシデントレスポンス計画には以下のような多くの必要条件があります。

10.2.1. コンピュータ緊急レスポンスチーム(Computer Emergency Response Team = CERT)

コンピュータ緊急レスポンスチーム(CERT (The Computer Emergency Response Team)) とは、コンピュータに破局的な事態が起きた際に迅速に対応する準備が整った社内のエキスパートで 構成されるグループのことです。CERTの核となる適正者を見つけるのは簡単ではないかもしれません。適切な人材のコンセプトは、技術的な専門知識を超え、所属場所や対応可能などのロジスティックスな部分が要求と合致していて、緊急事態が発生した際には個人的な事情は後回しにして企業を優先できる人材です。緊急事態とは必ず予期しないときに起こるものです。いつでも起こりうることであり、CERTのメンバー全員は、いつ何時も緊急事態への対応が 求められる責任を進んで引き受ける気持ちが必要とされます。

一般的に CERT チームにはシステム管理者とネットワーク管理者の他に情報セキュリティ専門家も含まれます。システム管理者はデータのバックアップ、利用可能なバックアップハードウェア、その他などシステムリソースの知識と専門技術を提供します。ネットワーク管理者はネットワークプロトコールの知識とネットワーク通信を動的に再ルートする能力を提供します。情報セキュリティ専門家はセキュリティ問題を徹底的に追跡、トレースし、同時に感染したシステムの事後検討・分析を行なうのに役に立ちます。

常時でなくてもよいですが、CERTには余剰人員が必要です。核となるエリアが企業にとって不充分であれば、できる限りクロストレーニングを実施する必要があります。もしも、ひとりのスタッフしかデータの安全性や健全性に対する対応を知らなかった場合、その人が不在の事態には企業全体が無力となることに注意してください。

10.2.2. 法律上の注意事項

インシデントレスポンスの重要な側面として考慮すべき点が法律関連です。セキュリティプランは法律関係のスタッフまたは総合コンサルタントなどと共に開発するべきでしょう。それぞれの企業が自社独自の安全対策方針を持つのと同様に、各企業は法的な観点からインシデントを取扱う自社独自の方向性を持つべきです。地方自治、州、国の規制事項はこのガイドの範囲を超えますが、事後検討・分析の実施のための手法、少なくともその一部は、法律関連のコンサルタントによって(あるいは法律関連のコンサルタントと共に)規定されるものがありますので、ここで触れておきます。総合コンサルタントは侵害・妨害;クライアントの個人的な記録、健康上の記録、 財政記録の漏洩の危険; 病院や銀行などミッションクリティカルな環境におけるサービスの復旧の重要性などの法律的な解釈を技術スタッフに警告することができます。

注記

[1]

http://www.gcn.com/21_32/web/20404-1.html