インシデント対応計画のための6つの重要ポイント

PeopleImages.com – Yuri A – Shutterstock.com

企業がITシステムの大規模な障害、たとえばサイバー攻撃などを経験した場合、その時点で事業継続が困難になります。そのため、インシデント対応（Incident Response, IR）計画の策定が不可欠です。

しかし、攻撃の原因を特定し封じ込めるだけが目的ではありません。企業は、レジリエンス（耐障害性）を備え、重要なシステムが利用できなくなっても業務を継続できるようにしておく必要があります。

効果的なインシデント対応計画には何が必要でしょうか？ここでは6つの重要な要素をご紹介します。

影響の評価

セキュリティ侵害により重要なシステムが停止した場合、企業は堅牢なIT障害対策や事業継続計画（BC）を持っている必要があります。たとえ数時間の停止でも、大きな経済的損失や悪いPRにつながる可能性があります。

「最も重要な要素の一つは、自社が果たしている主要な機能を理解し、それらが妨害された場合の影響を把握することです」と、コンビニエンスストア運営会社Wawaのビジネス継続性上級コンサルタント、ジャスティン・ケイツ氏は強調します。

「これは通常、ビジネスインパクト分析（BIA）と呼ばれる手法で行われます」と専門家は補足します。「事業継続分野の一部ではBIAは役に立たないと考えられていますが、事業継続責任者が企業全体のプロセスの仕組みをより深く理解するのに役立ちます。」

BIAは各プロセスをカタログ化し、業務停止の期間ごとにどのような影響が予想されるかを特定します。ケイツ氏によれば、手動による代替手順や、最低限の要件を満たすための代替サービスの利用などのワークアラウンドが有効な場合もあります。

事前に、企業のどの部分が事業継続に最も重要かを明確にしておくべきです。「カナダ総合銀行のリスク・コンプライアンス・セキュリティ担当責任者アダム・エナムリ氏によれば、あらゆる効果的な緊急時対応計画の基礎は、『人・プロセス・運用に至るまで自社を本当に理解すること、そして詳細かつ現実的な影響評価を行うこと』にあります。」

セキュリティ専門家はさらに、「BIAやRTO（復旧目標時間）について話す際には、単にチェックリストを埋めるだけでなく、何か問題が起きたときに何に集中すべきかを意思決定者に明確に示す地図を作成することが重要です」と述べています。

エナムリ氏によれば、多くの組織は自社のシステムを同じ重要度で扱ってしまいがちです。「実際のインシデント時には、重要度の低いリソースに貴重な時間を浪費し、重要な業務機能がオフラインのままで収益を生み出せないことになります。」

包括的なコミュニケーション戦略

インシデント対応戦略の成否を分けるもう一つの重要な要素がコミュニケーションです。企業の主要なステークホルダー間で明確なコミュニケーションがなければ、ダウンタイムが長引いたり、重要なプロセスが長期間失われたりする可能性があります。

「単に電話連絡網やメールアドレスリストを用意するだけでは不十分です。事前に承認されたコンテンツブロックやテンプレート、複数のバックアップ通信チャネル、明確な意思決定・権限委譲の構造が必要です。誰が誰に何を伝える権限があるのか明確にしておく必要があります」とエナムリ氏は強調します。「インシデント発生時に、プレスリリースを作成したり、メールを一斉送信したり、主要な連絡手段が使えなくなったためにチームへの連絡方法を探すのは最悪の事態です。」

エメラルドオーシャン社CEOのジェイソン・ウィンゲート氏は、企業は堅牢なコミュニケーションプロトコルを持つべきだと付け加えます。「明確な指揮系統とコミュニケーションが必要です。プロトコルがなければ、狼煙で火災を消そうとするようなものです」と述べています。

インシデントの深刻度がコミュニケーション戦略を決定すべきだと、グローバルコンサルティング企業プロティビティのマネージングディレクター、デイビッド・テイラー氏は補足します。「サイバーセキュリティチームのメンバーは緊密に連携していますが、他の部門はそれほど関与していなかったり、情報が十分でなかったりすることが多いです。」

テイラー氏は続けます。「深刻度に応じて、コミュニケーションの方法、対象、頻度を経営陣が決定すべきです。」これにより、サイバーセキュリティ担当者や他のリーダーが、いつアップデートがあるか明確なタイムラインを作成できます。「技術チームは、進捗を止めてその都度アップデートを提供することなく、対応に集中できます。」

最も重要なステップの一つは、コミュニケーション責任者を任命することだと、ビジネス継続性コンサルタントのケイツ氏は指摘します。「テクノロジーシステムが利用できない場合、組織内の多くの人が主要プロセスを維持するためにワークアラウンドを実施する必要があります。」専門家によれば、多くの意思決定はインシデントの状況や予想される復旧時間に関するアップデートに基づいて行われます。「テクノロジーチームはインシデントの影響緩和に集中し、アップデートを提供する時間がないかもしれません。計画には、内部・外部のステークホルダーへのアップデート伝達の責任者を明記し、たとえ新しい情報がなくても更新することを含めるべきです」とケイツ氏は述べています。

明確な構造と定義された対応役割・ワークフロー

インシデント発生後、誰が何を担当するかを明確に理解しておくことが重要です。「サイバーインシデントが発生した際、最大の敵は混乱です」とエメラルドオーシャン社CEOは述べます。「役割が定義されていないチームは、指揮者のいないオーケストラのように右往左往します。インシデント時の混乱は時間の浪費につながり、時間こそが最も重要です。」

構造と役割はサイバーセキュリティやIT担当者だけでなく、全社的に広げるべきです。「サイバーセキュリティがITだけの問題だというのは大きな誤解です」とウィンゲート氏は警告します。IRの構造と役割には、理想的には全社の代表者が含まれるべきです。

「サイバーセキュリティ分野での主要な役割には、CIO/CTO、CISO、インシデントコマンダー、インシデントコーディネーター、エンドポイントアナリスト、ネットワークアナリスト、外部フォレンジック支援などが含まれます」とテイラー氏はまとめます。サイバーセキュリティ以外の役割には、危機管理チームや、法務、広報、人事、財務など、インシデントの規模に応じて各部門の代表者が含まれる場合があります。

「誰がどの役割を担うかを明確にし、それぞれの責任範囲も明確に定義し、関連計画で簡単に参照できるようにしておくことが重要です」とテイラー氏は強調します。

コンサルティング会社アルバレス＆マーサル・ディスピュート＆インベスティゲーションズのマネージングディレクター、ロッコ・グリロ氏によれば、「主要な外部ステークホルダーも特定しておくことが重要です。」

「これには外部弁護士、IRおよびフォレンジック調査会社、サイバー保険の連絡先、通知・クレジット監視会社、法執行機関、ランサムウェア交渉会社などが含まれます」と同社のグローバルサイバーリスク・インシデント対応サービス責任者は述べています。

脅威全体の把握

サイバーセキュリティの脅威環境は広範かつ複雑です。効果的なIR戦略は、この複雑さに対応できるよう設計されていなければなりません。攻撃は増加するさまざまなソースから発生し、企業だけでなくサプライヤーや他のビジネスパートナーにも影響を及ぼす可能性があります。「最近は企業への直接攻撃よりもサプライチェーン攻撃に重点が置かれています」とグリロ氏は補足します。

「サプライチェーン攻撃は、泥棒が管理人室に侵入して建物全体の鍵を手に入れるようなものです」とコンサルタントは説明します。「一方、建物のペントハウスだけに侵入して王冠の宝石を盗むのとは異なります。」

さらに、IR計画は外部脅威だけでなく、内部脅威にも焦点を当てる必要があります。「内部脅威リスクは悪意のある従業員だけでなく、ヒューマンエラーや無意識にサイバーリスクを生み出す従業員も含まれます。これを脅威アクターが悪用する可能性があります」とグリロ氏は付け加えます。

サードパーティやサプライヤーもこのカテゴリに含まれます。「第三者は企業への正規のアクセス権を持っている場合があります。もし彼らが脅威アクターに侵害されると、意図せずしてアクセスを提供してしまうのです」とコンサルタントは述べています。

定期的なテスト

企業はインシデント対応計画や事業継続計画が有効であることを確認するため、定期的にテストを行う必要があります。「本来なら当然のことですが、他の技術分野と同じく、まずはすべてをテストすべきです」とエメラルドオーシャンのウィンゲート氏は訴えます。「飛行機から飛び降りるとき、パラシュートが事前に点検されていることを望みますよね。」

定期的なテストが重要な理由の一つは、サイバーセキュリティの状況が常に変化しているからです。「私の経験では、効果的な復旧の鍵は、インシデント対応計画を静的な文書としてではなく、定期的にストレステストを行うことです」とカナダ総合銀行のエナムリ氏は説明します。「理論的な計画を超え、実際にテストされた手順を踏むことが、プレッシャー下で効果を発揮するポイントです。」

各セキュリティインシデント後、企業のIR・BCチームは計画の実行状況と改善点を確認する必要があります。

「インシデントからの復旧後や対応訓練後には、得られた知見を厳格に評価する必要があります」とプロティビティのテイラー氏は述べます。「これらは一般にアフターアクションレビュー（AAR）、ポストインシデントレビュー（PIR）、ホットウォッシュ、デブリーフィングなどと呼ばれます。呼び方はどうあれ、インシデント後の良い点・悪い点の両方に対して厳格かつ文書化されたアプローチを取ることが、継続的な改善に不可欠です。」

シンプルさとモジュール性を重視

脅威環境は複雑ですが、IRやBC戦略自体は必ずしも複雑である必要はありません。時にはシンプルな方が良い場合もあります。

「多くの組織が、インシデント対応、事業継続、災害復旧など、それぞれに100ページにも及ぶ分厚い計画書を作成していますが、これらの多くは大きく重複し、ネットで見つけたテンプレートをコピーしただけです」とWawaのケイツ氏は述べています。

あらゆる種類のインシデントごとに個別で煩雑な計画を作成するのではなく、ケイツ氏はモジュール型の「プレイブック」アプローチを推奨しています。「ランサムウェア、停電、悪天候など、いくつかの主要なリスクごとにプレイブックを作成し、インシデント対応の共通機能（コミュニケーション、状況評価、業務プロセスの迂回など）をすぐに活用できるようにします。」

このアプローチにより、チームはインシデントの種類に応じて適切な対応策を組み合わせて実行でき、より実用的な計画となります。「複数の大規模な計画を管理して情報を最新に保つよりも、はるかに簡単だと感じています」と彼は言います。「プレイブックにはチェックリストや意思決定ツリーが含まれており、担当者が複雑な手順を進める際のガイドとなり、危機時の認知的負荷を軽減します。」（jm）