はじめに

本日、「ITmedia エグゼクティブ オンライン勉強会 この状況で、あなたならどうする？」というWebでのセミナー＆ワークショップを受講しました。

このタイトルだけでは分かりにくいですね。内容は、”サイバー攻撃対応オンライン演習 ”と言う内容で、演習といってもサイバー攻撃に対して何らかのプログラムを組むということではなく、サイバー攻撃に晒されたときにどういうアクションを起こすかという演習でした。

この記事では、今回のセミナー＆ワークショップで学んだこと、感じたことを幾つか記したいと思います。

セミナーを主催した会社について

株式会社Armorisの専務取締役鎌田様とマネージャ宮内様のお二人が講師でした。

このあと学んだことを幾つか取り上げたいと思います。

インシデント対応ライフサイクル

インシデントとは、事故などの危難が発生するおそれのある状況のことです。

さらに具体的にインシデントとはどう定義づけられているかを2つの事例で紹介しましょう。

1）情報セキュリティに関するマネジメントシステムとして定義されたISO 27000、およびそれと同等なJIS Q 27000でのインシデントの定義を引用します。

望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。　　出典：JIS Q 27000:2014 箇条 2.36

2）ITサービスマネジメントのベストプラクティスとして有名なITILでの定義を紹介します。

サービスの中断又はサービス品質の低下を引き起こす、あるいは引き起こす場合がある、サービスの標準オペレーションに含まれていないあらゆるイベント

ということで、システムにおいて実際は起きてはいけないことが起きた場合がインシデントに相当します。当然情報セキュリティ関連におけるサイバー攻撃に遭遇したらそれはインシデントに相当するわけです。

このインシデントに組織として対応するために抑えておくべきなのが、インシデント対応ライフサイクルです。

ライフサイクルのあらましとしては大きく4つのフェーズに分かれます。

この中でも、検知と分析における検知において、いち早くインシデントを検知することが重要であることを学びました。

最近はSNSの普及によってTwitterなどでインシデントの情報がいち早く流通する場合が多くなっています。

ただし、気をつけなければいけないのは、きちんと一次情報を現場でつかんだ人以外の人が、さも自分で遭遇したかのようにTwitterなどでインシデント情報を発信する場合があるので要注意です。

SNSの情報などは必ずその信憑性をツールなどを使って確認することが重要になります。

脆弱性情報の収集

サイバーセキュリティにおいて、インシデントが起きるケースの大半はソフトウエアプログラムの中に”脆弱性”が有る場合に、そこにめがけて外から攻撃を加える＝サイバー攻撃を行なう事により、様々な障害がもたされることになります。

従ってサイバー攻撃の検知を日頃から行なう事が必要になりますが、具体的には脆弱性に関する記事が書かれてているWebサイトを閲覧したり、何らかのコミュニティを作って情報溶融を図ったりすることが大切になります。

一次情報を素早くつかむことがとても大切です

情報セキュリティ関連すなわち今回のテーマでもあるサイバー攻撃に強いシステムを作るためには関係情報をいち早くゲットすることが非常に重要になります。

それも他の人から聞いた情報、既にネットに載っている情報ではなく、出来るならば脆弱性に関する一次情報を発信している機関からの情報を常に入手するようにしましょう。

端的に言えば、早く正確な情報を入手することを心がけましょう。

脆弱性の評価指標について

脆弱性の評価においては、CVSSという評価指標があり様々な現場で使用されています。

CVSSとはCommon Vulnerability Scoring Systemの略で有り、

脆弱性の度合いを表す世界共通の評価手法になります。

CVSS＝基本評価基準ｘ現状評価基準ｘ環境評価基準になります。

現場評価基準とは、脆弱性の特性を表す基準です。

現状評価基準とは、現時点での深刻度を評価する基準です。

環境評価基準とは、組織への影響を評価する基準になります。

まとめ

本日のセミナーにおいて、サイバー攻撃などに遭ったときに、CVSSという決められた評価指標があること、組織全体でサイバーセキュリティ対策を事前にきちんと行なっていくことの重要性を再認識しました。

今後IoTやDXを考える際に、セキュリティについても考える習慣を身につけていきたいと思います。