サイバー攻撃発生時の対応には2つの重要な要素がある。1つは「インシデント対応」であり、主にCSIRT(インシデント対応のための組織の総称)や情報システム部門等が担う。インシデント対応の枠組みは、米国立標準技術研究所(NIST)、JPCERT/CC(国内のインシデント対応支援や助言・情報提供を行う組織)、総務省等のさまざまな組織・団体が提示をしている。これらに共通するインシデント対応の構成要素は、インシデントの検知・受付、トリアージ(緊急性判断)、封じ込め、被害拡大防止、根絶、復旧等である。
もう1つは「事業継続対応」であり、サイバー攻撃によりシステムやネットワークが使えない場合に事業を継続するための戦略・対策である。一般に、事業部門、経営企画部門、総務部門等が担う。
サイバー攻撃を検知しても、インシデント対応が適切であれば、企業としての対応はそこで完了する。しかし、サイバー攻撃にうまく対処できなかった場合、企業はインシデント対応と事業継続対応の2つを同時に実施しなければならない。
そのため、多くの企業はインシデント対応手順に加えて事業継続計画(BCP)を整備したうえで、第三者評価や演習・訓練を通じて、実効性を高めている。
■ 2つの有事対応を進めるうえでの課題
インシデント対応部門と事業継続部門の円滑な連携という点で、いくつかの課題がある。
第1に、サイバー攻撃発生直後の「影響評価」である。サイバー攻撃は多くの場合、その検知・初動段階で被害範囲、原因、影響を正確に確定することが難しい。インシデントを検知した場合、その影響が小さいのか大きいのか、それとも不明なのかを評価・判断(トリアージ)して、経営トップや事業サイドと迅速に共有・連携し、必要に応じてBCPを発動することが必要である。こうした緊急性の判断権限、基準、プロセスが未整備な企業も少なくない。
第2に、サイバー攻撃の被害拡大防止のための「積極的停止措置」は有効だが、そのオプションや発動基準は十分に準備されていない場合がある。積極的停止措置とは、外部との通信遮断やマルウェア感染の疑いのあるサーバーの停止等を通じて、被害拡大や情報漏洩を防ぐことである。これは必然的に業務の縮小や停止を含む。
■ 求められるサイバー攻撃版BCP
情報漏洩を防止するため、セキュリティオペレーションセンター(SOC)の担当者の判断で、社内と外部の接続を即時遮断することは妥当かもしれないが、重要事業や生産の停止にかかるような措置はより上位の権限が必要となることが多い。他方、判断・対応は迅速性が求められるため、会議を開催して議論する余裕はない。いずれにせよシステムやネットワークが停止した場合の「オフライン」のBCPが求められる。逆にいえば、オフラインBCPがなければ、被害拡大防止措置を講じることを躊躇するかもしれない。複数の積極的停止措置オプションと、対応するオフラインBCPの整備は不可欠である。
第3に、前述2点と関連するが、サイバー攻撃の「被害想定」が十分に検討されていない。検討されていても広く共有されていないという問題である。
サイバー攻撃の影響は、経営資源のうち人的資源、物的資源(生産設備等)、外部資源(委託先・取引先等)は利用できるが、情報資源(ITインフラやデータ)のみが利用できない状況だ。しかし、利用不可となる情報資源の範囲は、攻撃被害や対応策によって、(1)外部との通信遮断(単にメールやブラウジングできない等)(2)社内の業務システム(顧客データベース等)の利用停止(3)顧客向けクラウドサービスの停止――等、さまざまである。自社のネットワーク構成、セキュリティレベル、事業への影響を踏まえた被害想定をあらかじめ検討しておく必要がある。
■ 2つの有事対応を理解する人材
第4に、インシデント対応と事業継続対応の双方を理解し、最高情報セキュリティ責任者(CISO)等の経営判断を支える「人材」の問題である。内閣サイバーセキュリティセンター(NISC)は、こうした人材を「戦略マネジメント層」「橋渡し人材」と呼ぶ。戦略マネジメント層はビジネスプロセスを理解し、かつICTやセキュリティにも明るい必要がある。戦略マネジメント層の確保・育成は、個社というよりも業界や社会全体の課題である。
【21世紀政策研究所】