第３３１号コラム「インシデント発生直後における初動対応の厳しい状況」

第３３１号コラム：名和 利男　理事（株式会社サイバーディフェンス研究所　理事　上級分析官）
題：「インシデント発生直後における初動対応の厳しい状況」

最近各所において、情報窃取を目的としていると見られるサイバー攻撃が高頻度で発生している。中には、非常に深刻な状況のものや、正直どこから手を付けてよいか戸惑うものさえある。

サイバー攻撃全体のプロセスからみると、前半の段階となる「ネットワークシステムやコンピュータシステムに対する“高度かつ巧妙な”セキュリティ侵害」という事象の多くは表面化せず、後半の段階である「不正通信の大量発生」が発覚するまでに相当長い時間を要している。発覚するまでに１年くらい経っている事例も珍しくなく、調査に着手する時点では既に、デジタル・フォレンジック調査に必要な「攻撃挙動に関係する痕跡情報」の大半が消失してしまっている。

そして、どの段階でインシデントが発覚するかは、それぞれの組織のセキュリティ監視の取り組みの程度、及びどのような能力を有する攻撃主体から狙われたかによって大きく異なる。

いずれにしても、何かしらのきっかけで発覚した「インシデント」は、すぐに状況把握、被害拡大の抑制、原因特定を目的とした初動対応が行われる。当研究会において、その初動対応における技術的対処の参考となるガイドラインを公開しているので、よければご覧いただきたい。

証拠保全ガイドライン第３版
https://digitalforensic.jp/home/act/products/df-guidline-3rd/

ところが、インシデント対応を推進する役割を持つ現場責任者の行動を観察する限り、以下のような初動対応の厳しい状況が伺える。

●　不十分な情報で適切な判断を求められる。
現場でインシデント対応する責任者の多くは、IT技術者である。不十分な情報で迅速な判断を下し、適切な対処主体に対する適切な指示を発する十分な訓練や教育を受けていないことが多い。
（諸外国の現場のインシデント対応の責任者は、以前に軍隊や特殊な法執行機関で十分な意思決定や部下指導の訓練を受けた者が就くキャリアパスと、それをマッチングする役割の主体が存在している。）

●　関係部門との逐次の合意形成が困難である
組織における各部門には、それぞれに役割と所掌する業務が明確に決まっているため、発生したインシデントにより影響を与える範囲が他の部門に及ぶ場合、その部門間の密な調整が必要になる。特に、被害が顕在化していない部門との調整は、協力姿勢を得るだけでも困難な状況に陥ることが少なくない。部門ごとにプロフィットを求める会社方針が強ければ強いほど、痛みを感じていない部門の協力姿勢は低い傾向にある。

●　既存の規定事項から逸脱できない
組織の構成員（社員、職員等）の行動は、組織規模が大きいほど、コンプライアンスへの遵守を強く求められるが、依拠すべきとされるものは組織内部の規定事項となる。
その規定事項が、今後発生するサイバー攻撃を十分に予測し、かつ、そのための例外規定をきちんと整備しているのであればよいが、そもそも、その規程事項を策定する関係者がサイバーセキュリティに詳しくなく、サイバー空間の状況認識も不十分であることが多い。極端な事例では、事実誤認のまま規定事項を作っているところさえある。
現場は、このような規定事項に縛られながら、未知のサイバー攻撃対処をしていかなければならないことがある。

●　障害対応の延長と捉えた甘い認識
一組織或いは一部門の観点から現状を眺めると、現在騒がれている「サイバー攻撃」というものは滅多に発生しないか、発生しても一度限りと認識されてしまっている。そのため、サイバー攻撃による「インシデント」を、システム不具合や地震災害等に起因する「事故」と同類と捉えて対応してしまう傾向が強い。
しかし、「事故」の発生要因は固定的（静的）であるが、サイバー攻撃による「インシデント」は動的に変化する要因であることを意識しなければならない。「インシデント」を発生させる要因は偶発的なものではなく、「人間による仕業」である。彼らは、防御側の初動対処を観察しながら、攻撃を成功させるために別の手段や経路に“柔軟に”切り替えている。現場は、この事実から目を背けているような感がある。

●　他部門の業務知識や慣習の理解欠如
組織内のほぼ全ての部門でコンピュータシステムを利用しており、その多くで、ネットワークを介したサービス（クラウドサービス等）を利用している。そのため、発生したインシデントが、瞬く間に他の部門に影響を与えることが多くなっているが、現場のインシデント対応の責任者は、他の部門の業務知識や慣習などを十分に把握していないため、他部門に対する適切な協力要請を出すことができない。

上記は、あくまでインシデント対応の役割を持つ現場責任者の活動領域の範囲内のことであり、組織行動全般や攻撃プロセス全体の観点ではないことにご留意いただきたい。「現場責任者による初動対応」という限られた領域のことだけに言及したものである。

最近のサイバー攻撃に対する対応の体制及びプロセスを最適化するには、組織すべての部門の積極的な関与と、意思決定層の状況認識の向上、そして、限られた情報（断片的或いは不正確な情報を含む）から最善な判断を下す経験と能力をいつでも発揮できる状態にしておかなければならない。

現場への丸投げ体質がもっとも際立っている日本型組織においては、なかなか重い腰を上げることができない堅牢なシステムが定着していることは重々承知しているが、強烈な痛みを伴ってからはじめて、改善に着手するのではなく、現在発生している事象を積極的に直視し、すでに対応限界を遥かに超えている現場に丸投げせずに、自分自身の重大な問題として捉え、組織及び業界を守り抜いていく努力を積み重ねていくことが重要であると思う。

また、それを支援する事案対処省庁を中心とした公的機関においても、攻撃側に対する「静かで冷静な怒り」と、このままの事態が悪化していくと、サイバー空間が悲劇的な状況になるという強い懸念を持たなければならないと考える。
防御側の「大幅な能力向上」、「経験の積み重ね」、そして「知見の共有」が急務な状況である。

【著作権は、名和氏に属します】