2016年4月号Vol.102

【トレンドビュー】情報セキュリティインシデント対応ハンドブックの概要

地方公共団体情報システム機構 情報課支援戦略部(セキュリティ支援担当)次長 石川家継

 昨年末に『情報セキュリティインシデント対応ハンドブック』(ハンドブック)を取りまとめ、地方公共団体限定で提供しました。これは、日本年金機構の事件以前に複数の団体から寄せられていた要望へ対応したものです。

 総務省調査によれば「緊急時対応計画を策定済み」の市区町村は55・9%にとどまっています。また、計画とともに、対応手順書またはマニュアルの策定も欠かせません。これらを作成するための“参考書”に位置付けられるのが、今回策定したハンドブックです。

 巧妙化するサイバー攻撃に加え、システムやネットワークの複雑化を背景に、いま予期せぬセキュリティー事故に見舞われるリスクが高まっています。万一の場合、被害・影響を最小限とするためにも、すべての団体において情報セキュリティーインシデントへの対策整備が急がれます。

ハンドブックの概要

 昨年、『地方公共団体における情報セキュリティポリシーに関するガイドライン』が改定され、情報セキュリティーに関する統一的な窓口として「CSIRT」(シーサート)の設置が規定されました。そこでハンドブックでは、①シーサート体制の設置と機能、②シーサートの役割、③組織の評価と見直し──について説明しています。

 第一に、シーサートはインシデント発生時に設置するのではなく、平常時から設置する「常設型」としています。その形態は主に「独立部署」「部署横断組織」「スキルを持つ個人が担う」の三つがあり、組織に合わせていずれかを選択するようにしています。また、これを有効に機能させるためには、「インシデント対応への即応力」「専門的知見」「情報収集能力」が具備される必要があります。

 第二に、シーサートの役割には、「インシデント対応の遂行」と、「平常時における事前準備と予防の実施」の二つがあります。

 前者には検知・連絡受付、トリアージ(検査・分析)、初動対応(対応方針の検討、証拠保全、封じ込め、根絶)、復旧措置、再発防止策の検討、事後対応などが挙げられます(図)。

 一方、後者の「事前準備」には「連絡と保守の体制整備」があり、シーサート要員・関係連絡先一覧やシステムとネットワーク構成図の作成・最新情報への更新、ログやパッチ情報などの収集が挙げられます。保守業者との委託範囲やサービスレベルの確認などもこれに含まれます。また、「予防措置」としては訓練や演習の実施があります。自庁で訓練を行うだけでなく、総務省の実践的サイバー防御演習や内閣サイバーセキュリティセンターの分野横断的演習の利用も可能です。なお、当機構では平成28年度に「訓練アドバイザー」の派遣を予定しています。

 第三に、シーサートの設置後は「評価と見直し」が必要です。ハンドブックでは、組織のインシデント対応力を自己点検できる評価ツールを用意しました。六つの視点から、基準値に比べて自分たちの取り組みの現状はどの程度なのかを理解することができ、組織対応力の改善にもつながります。

具体的な活用方法は

情報セキュリティインシデント発生時の対応手順

 ハンドブックでは、これから緊急時対応計画やマニュアル等を整備する団体、あるいはこれらの見直しを行う団体の参考となるよう、各種サンプルや事例、インシデント対応時に必要な様式などを数多く収録しています。

  まず、インシデント対応では緊急時対応計画を策定していることが前提となります。計画では、インシデントの対象や具体的な対応手順、報告様式などを定めておく必要があります。そこで、「情報セキュリティ緊急時対応計画」サンプル版を収録しました。

  また、シーサートを組織する場合、組織体制や役割分担、既存の情報セキュリティー委員会との関係など整理すべき事項が多く、これらを文書として整備する必要もあります。そのため、「シーサート設置要綱」のサンプル版を用意しました。

  さらに、インシデント発生には予兆・兆候があり、日頃からこれを見逃さず、初動対応を実施することで、トラブル拡大を防げる場合もあります。そこで、「インシデントの予兆・兆候の例」を示すとともに、その「確認方法」や「検査・分析方法」も例示しました。

 インシデントが発生した場合、システムへの影響度を判断し、それに応じた対策にあたる必要があります。ハンドブックではインシデントを3種類(システム停止、サイバー攻撃、盗難・紛失)に分類し、それぞれについて「影響度の判定基準」を例示しています。

 加えて、インシデント対応時には、「記録」を残すことも忘れてはなりません。いつ、だれが、どのような対応を行ったのか、時系列で整理しておくことで、次の対策への資料や再発防止の参考となります。ハンドブックでは実例をもとに「標準的なインシデント対応」を紹介しています。

 個人情報の流出など社会的影響が極めて大きい場合は、報道発表を行うことになります。そこで実際にサイバー攻撃の被害を受けた団体の協力を得て、「報道発表時の記者会見シナリオと想定問答」「会見場の配置図」「会見受付簿」を収録しました。

◇   ◇   ◇

 このように、今回のハンドブックは、システム担当者が数名程度の人口規模の小さな団体にも参考となるよう配慮されています。ぜひ、これを活用し、インシデント対応力の向上に役立てていただきたいと考えています。

※掲載の内容、および当社製品の機能、サービス内容などは、取材当時のものです。

※掲載団体様への直接のお問い合わせはご遠慮くださいますようお願いいたします。

  • お客様の声
  • TKCインターネットサービスセンター「TISC」のご紹介