セキュリティインシデントとは｜対応に悩む企業に有効な備え

　マルウェアの感染、不正アクセス、情報流出など、セキュリティ上の脅威となる様々な事象を指すセキュリティインシデントは増大傾向にある。

　手口も巧妙化しており、標的型メールなどによりマルウェアを社内PCに感染させ、これを足掛かりに社内ネットワークを探索し、データを盗み出すようなケースも目立つ。

　こうしたセキュリティインシデントに対して、国内企業の多くは体制面において課題を抱えている。

　セキュリティインシデントに対応をするためには、自社に高度なセキュリティ知識やスキルを有するIT人材をはじめ、膨大なセキュリティアラートを正確に検知して迅速に対応できる体制が求められるが、こうした有識者からなる体制を整備することは困難である。

　そこで本記事では、セキュリティインシデントの概要をはじめ、体制面で課題を抱えている企業が今すぐに検討すべき「セキュリティインシデントに対する有効な備え」について解説する。

▼ 目次
・セキュリティインシデントとは
・多くの企業が抱えるインシデント対応への課題とは
・セキュリティインシデントへの備えに有効な手段とは
・トリアージやインシデントレスポンス支援を含む包括的なMSS

1. セキュリティインシデントとは

　セキュリティインシデントとは、情報セキュリティに関する事故（機密・個人情報の流出）や攻撃被害（マルウェアの感染や不正アクセス）を指し、情報セキュリティ上の脅威となる様々な事象を指す。

　仮に、企業が所有する機密情報や顧客情報の情報漏えいするといったセキュリティインシデントが発生した場合、顧客への損害賠償の請求対応だけでなく、営業機会の損失や社会的な信用が失墜する。

　ITにおけるセキュリティインシデントには、主に下記がある。

情報漏えい

情報漏えいとは、機密情報や個人情報が外部へ流出することを指す

情報改ざん

情報改ざんとは、情報システムなどに保存されている情報、ネットワークで送受信されている情報が不正に改ざんされることを指す

記憶媒体の紛失や盗難

記憶媒体の紛失や盗難とは、データを記憶する媒体が外出先で紛失したり盗難にあったりすることを指す

不正アクセス

不正アクセスとは、システムの脆弱性や盗み出したパスワードを悪用し、企業システムの内部に不正アクセスすることを指す

マルウェア（コンピューターウィルス）感染

マルウェアとは、コンピューターに感染する有害な動作（情報漏えいや改ざん、攻撃）を実行するソフトウェアやコードの総称を指す

DoS、DDoS攻撃

DoS（Denial Of Service）攻撃とは、1つの攻撃元から特定の対象に様々な手段で負荷を与え、攻撃対象のサービスを停止させたりネットワークを遅延させたりする悪質な攻撃行為を指す
DDoS（Distributed Denial Of Service）攻撃とは、複数のコンピューターを踏み台にして、特定のWebサイトやサーバーを攻撃する行為を指す

　悪意を持つサイバー攻撃者の主な標的は、組織が持つ「データ」だ。

　例えば、顧客のクレジットカード番号、ログインID・パスワードなどの個人情報、さらには製品の設計図や研究資料といった機密データなどは“ カネ” に変えやすいことから標的になりやすい。

　近年では、ユーザーが持つデータを暗号化すると同時に、そのデータを盗み出し、暗号化の解除と引き換えに身代金を要求するランサムウェアが増加中だ。

　では、サイバー攻撃を防ぐためのセキュリティ製品を導入しておくことで、セキュリティインシデントへの備えは十分と言えるのだろうか？

2. 多くの企業が抱えるインシデント対応への課題とは

　たびたび報道されるサイバー攻撃の被害だが、表面化するのは情報が流出した際など公表を余儀なくされた重大な事案に限られている。

　こういったアクシデントを防ぐために、多くの企業は様々な対策を講じていることだろう。

　しかし、攻撃者は次々と新しい手口で組織が対策したセキュリティをかいくぐり、機密情報や個人情報の窃取をはじめ、組織の活動を脅かす機会を伺っている。

　セキュリティインシデントはいつ起きてもおかしくはなく、他人事ではないのだ。

　セキュリティインシデントの発生状況を、個々のセキュリティ製品だけで検知・把握することは難しい。

　その理由を、伊藤忠テクノソリューションズ（以下、CTC）の池田薫明は以下のように説明する。

　「多くの組織は、あらゆる脅威に備えるため多彩なポイントソリューションを導入・運用していることでしょう。サイバー攻撃の脅威が多様化するにつれ、守るべきポイントも増えてしまいます。今では単に侵入を防ぐ従来までの境界型防御だけでなく、『侵入されるのを前提に被害を最小限に抑える』という考えのセキュリティも重視されるようになってきました。とはいえ、多種多様なセキュリティ製品を使っているとアラートも膨大になり、なかなか対応が追いつかないのが実態です。」

　つまり、攻撃者が用いる隠蔽策もさることながら、組織側の体制にも課題があるのだ。

　対応が追いつかない背景には下記が挙げられる。

そもそもIT 部門が忙しい
セキュリティ知識やスキルを持つIT人材を拡充するための予算を用意できない

　自社で利用している全てのセキュリティ製品について、アラートの確認からインシデントの把握・対処まで行える体制を自前で整える考えは、コストや体制の観点からも困難と言えよう。

　では、セキュリティインシデントに備える上で、組織の体制の課題を克服するには、どのような解決策があるのだろうか？

3. セキュリティインシデントへの備えに有効な解決策とは？

　組織の体制の課題を克服してセキュリティインシデントに備えるべく近年では、自社で体制を整えるのでなく、セキュリティ運用をマネージドセキュリティサービス（MSS）にアウトソーシングする傾向が強まってきた。

　MSS の中でも代表的な存在が、SOC（Security Operation Center）サービスだ。

　SOCとは、ユーザー組織が持つ数々のセキュリティ製品を監視し、収集したログやアラート情報を分析して、発見したインシデントをユーザーに通知したり、分析レポートを提供したりするものだ。

　ただし、SOCサービスの選定には注意が必要だ。

　何故ならば、一般的なSOCサービスはインシデントやレポートの提供までに留まっていることが多いためだ。

　セキュリティインシデントが発覚した場合、求められることは下記である。

事象の詳細を見極めて損失を最小限に抑える
発生前の状態へのリカバリー
可能な限り迅速な対応（インシデントレスポンス）

　「インシデントが発生したら手段を選んでいられず、できるところから順番に手をつけていくしかないのが実情です。損失を最小限に抑えて終息宣言を早めに行うためには、被害をどこまでリカバーできるか検討するのも重要です。例えば、挙動が読めないマルウェアが社内ネットワークで蔓延していた場合は、社内のPC やサーバーを全台リカバリーする必要もでてきます。」（池田）

　インシデントレスポンスは、平常時のセキュリティ運用より桁違いに負荷が大きいことから、多くの場合は社外の専門組織を頼りにせざるを得ない。

　インシデントの重要度や緊急度から対応の優先順位付け（トリアージ）を適切に判断するためには、豊富な知識やノウハウが求められる。

　そこで役に立つのが、トリアージやインシデントレスポンスの支援も含むMSSだ。

4. トリアージやインシデントレスポンス支援を含む包括的なMSS

　CTCが提供する総合マネージド・セキュリティ・サービス「CTC-MSS」は、下記の一連の流れを体系化して拡充を進めている。

セキュリティ製品のアラートの監視と分析
インシデントの発見や検知、通知
トリアージ
インシデントレスポンス

図 1. CTC-MSS 概要図

　CTC-MSSでは、SOC サービス「CTC-SOC」に加え、トリアージからインシデントレスポンスの初動までをカバーするインシデントハンドリング初動対応サービス「CTC-IH」を含めた形で提供している。

　これにより、ユーザー側の負荷や不安を大幅に軽減し、インシデント発生時の被害軽減にも寄与する。

　「CTC-IH は、CTC-SOC のみならずユーザー自身やサードパーティのSOCとも連携が可能な、マルチSOC 対応のサービスです。SOC からインシデント検知アラートを24 時間365 日体制で受け付け、ユーザーがどのような対応をすべきかトリアージします。また、インシデントの詳細確認や、オペレーションに関する問い合わせなどにも対応するほか、オプションでネットワーク遮断など、一部インシデントレスポンスの領域に踏み込んだサービスも用意しています。」（池田）

　CTC-MSSの詳細については、以下よりご覧いただくことができる。

さいごに

　本記事では、セキュリティインシデントの概要から、もしものときの備えに有効な手段について解説した。

　今後、CTC-MSSの関連サービスをさらに拡充させ、インシデントレスポンス領域のサービスのほか、サイバーハイジーン（ハイジーン：衛生管理）などへ展開していく方針だ。

　尚、サイバーハイジーンについては、以下よりわかりやすい解説をご覧いただくことができる。