今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール 19:インシデントレスポンスと管理」を見ていきます。そして必須要件として挙げられている8つのサブコントロールを確認し、その上で気付いたところについてシェアしていきます。
「コントロール 19」のキーポイント
- 大筋変更なし: 「コントロール19」については、ほとんど旧版から変わっていません。特筆すべき違いは、インシデントハンドリングのスコアリングメカニズムに関し、新たにサブコントロール8が追加されたことです。
- 計画し、検証すること:サブコントロール8の全体的なテーマは、インシデントが発生する前にその対処計画を立て、検証しなさい、ということです。どんな緊急事態でも、ドタバタの、その場しのぎで問題を解決するような事態は避けたいものです。
コントロール 19:必須要件リスト(八つのサブコントロール)
1.インシデントレスポンス手続きをあらかじめ決め、文書化しておくこと
内容:インシデント発生時のハンドリング・管理のフェーズ、及び各人の役割を定義したインシデントレスポンス計画を策定し、文書化しておくこと。
留意点:インシデントが発生したときに何をすべきかを明確化しておきましょう。おそらく初めは、必要な役割や責任がはっきりわからず、うまくいかないかもしれません。そのような場合は、米国標準技術局(NIST)などから、役割と責任についてのガイダンスを求めましょう。
2.インシデントレスポンスのための役職を設け、職務を定めること
内容:コンピュータ及びネットワークのインシデントレスポンスを処理する役職を設け、職務を割り当て、インシデント解決までのフォローアップと文書記録として残すことを徹底させましょう。
留意点:セクション1を完了したら、その役割と責任を担当する組織を指名する必要があります。一人に複数の役割を与えても問題はありません。ただし、緊急時に、たった一人に負担がかかりすぎることのないよう、注意してください。
3.組織のインシデント処理を支援する担当幹部を指名する
内容:セキュリティインシデントの処理プロセスで重要な意思決定を行い、サポートする担当幹部と、そのバックアップ要員を指名すること。
留意点:担当幹部は、必ずしも平常時の幹部の中から指名する必要はありません。インシデントレスポンス期間に限って、インシデントレスポンスに関わる意思決定を担うのです。これがなければ、「船頭多くして船山に上る」、人数ばかりがいて適切な判断ができない状況になってしまいます。
4.全組織のインシデント報告のスタンダードを構築する
内容:インシデントの発生に際し、システム管理者や他の社員がインシデントハンドリングチームに異変を報告するまでのタイムフレーム、報告メカニズム、報告すべき情報の種類について、組織全体に適用できるスタンダードを確立する。
留意点:インシデント発生時の報告が速やかに行われるよう、タイムリミットを定めるというのは、さほど重要な点ではありません。私は、このサブコントロールの狙いはむしろ、社員なら誰でもインシデント発生を適切に報告できるようなメカニズムを作り、社員全員にそのプロセスを周知することにあると考えています。セキュリティ担当チームだけでなく、社員全員に社内のネットワークセキュリティに対する責任を自覚してもらう必要があるのです。
5.セキュリティインシデントの報告についての契約情報を把握すること
内容:セキュリティインシデントの発生に際して、法執行機関、政府の関連当局、ベンダー、情報共有分析センター(ISAC)のパートナーなどのサードパーティーに対し、法令・契約上いかなる報告義務を負っているのか、あらかじめ確認・把握しておく。
注意点:こういった情報を把握しておくことは重要ですが、より重要なのはこれらの機関と良好な関係を築き、令状を発行されるような事態を防ぐことです。貴社が所属する業界のISACに加盟し、地元のFBI InfraGard(地元の財界とFBIでつくる非営利組織)への参加を申請すれば、関係構築に役立ちます。いずれも、自社のセキュリティ強化に、業界全体の知見を活用する優れた方法です。
6. コンピュータ異常、セキュリティインシデントの報告に関する情報は公開する
内容:コンピュータの異常やセキュリティインシデントへの発生をセキュリティーハンドリングチームへの報告した時は、全社員に右情報を公開する。そのような情報は、普段から社員の意識向上活動の一環に組み込むこと。
留意点:セクション4と同様に、全社員がセキュリティチームの一員になれるような状況にすることが重要です。
7.定期的なインシデントレスポンス シナリオセッションを開催する
内容:現実の脅威に対応するための意識と余裕を保つために、インシデントレスポンスに携わる人員のために普段からのインシデントレスポンスのシナリオや訓練を計画し実行する。訓練では、手元のツールとデータを活用し、連絡体制、意思決定、インシデンスレスポンス担当の技能をテストする必要がある。
留意点:机上でのシナリオセッションは、少なくとも構想上は計画がきちんと機能するかどうかを確かめるには最適なやり方です。実際のインシデントレスポンスの際には机上でのシナリオセッションでは見つけられないようなことがあるかもしれませんが、事前にテストをしておけば驚きは遥かに少なくなるでしょう。
8. インシデントスコアリングと優先事項についてのスキームを策定する
内容:セキュリティインシデントが会社に及ぼす既知、または潜在的影響に基づき、インシデントスコアリングや優先的なスキームを策定する。スコアリングをもとにステータスをアップデートする頻度やエスカレーション手続きを確定する。
留意点:第7版で新たに追加された点です。すべてのインシデントが同じように起こるわけではありません。ビジネスの中枢システムが攻撃されるケースもあるでしょうし、コンピュータ上でランサムウェアの感染が広がる可能性もあります。どちらも対応が必要ですが、重要なのはインシデントハンドリングの優先順位を決める方法を確立しておくことです。そうすればビジネスに最も影響を与えそうな事案に労力とリソースを集中させることができます。
セキュリティインシデントの管理ソフト「セキュリティコントロール」があれば、既存のサイバー攻撃から会社やデータを保護するのに役立つフレームワークを、シンプルかつ効果的に構築できます。
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
