ネットワークへの不正アクセスや情報漏洩など、情報セキュリティに関する事件や事故を総称し「情報セキュリティインシデント」と言う。

もしインシデントが発生した場合は、情報セキュリティポリシに記載されている対応手順に従い、適切に対応していく必要がある。

インシデントの対応手順は基本的に次の流れに沿って行われる。

インシデントの検知

インシデントの検知方法については、大きく二つに分けられる。

システムを用いた検知

・監視システムからの障害アラート通知による検知
・セキュリティソフトのアラートによる検知
・IDS(侵入検知システム)やIPS(侵入防止システム)のアラートによる検知
・ログ監視からの異常発生アラートによる検知

人からの連絡による検知

・システム停止など異常動作に遭った従業員からの連絡による検知
・ノートPCやスマホの紛失、盗難などに遭った従業員からの連絡による検知
・SNSなどに自社の情報が掲載、漏洩していると連絡が入ったことによる検知

上記のような方法で検知されるが、全ての事象がインシデントにあたるとは限らず、監視システムの動作異常や、従業員の勘違いの可能性もある。
そのため、情報セキュリティ事象を検知した場合は、それがインシデントにあたるのかをまず迅速に確認することが重要だ。

初動

インシデントが発生した場合、まずは上位者やCSIRTなどに報告し指示を仰ぐ。

そして指示の元、緊急度や影響の大きさ、影響範囲などを考慮し、対応の優先順位を決めていく。

この時に重要なのが、原因の特定や復旧作業は後回しにし、最速でインシデントの拡大を阻止し被害を最小限に抑えること。

また、インシデント対応の手続きは、そのプロセス全体を記録に残すことも重要だ。
インシデントに関するログの保存など、原因究明に向けて証拠となる情報の特定や収集も必要となる。

分析

インシデントによる被害状況や被害範囲を調べ、損害と影響を評価する。

また、デジタルフォレンジックスの担当に、初動で集めた証拠を提供するなどして、原因特定の協力を仰ぐこともある。

原則として原因究明が終わるまで復旧は行わないが、究明に時間がかかったり、復旧を優先せざるを得ない場合は、インシデントの影響が確実になくなっていることが保証されている場合のみ復旧の手続きを先に行うことができる。

復旧

システムやネットワークを復旧させ、正常動作の確認を行う。
そして、復旧が完了したら関係者や利用者への通知を行う。

再発防止策の実施

同様のインシデントが発生しないよう、再発防止策を検討する。

再発防止策や業務手順の改善案については、情報セキュリティポリシに反映し、組織の情報セキュリティ対策手順、能力を高める。

インシデントの分析・証拠の収集

インシデントの影響度合いによっては、関係当局への報告、被害者への謝罪、違反者への訴訟や損害賠償請求などを行う必要がある。

また、上記以外で再発防止のためにもインシデントを正確に分析し、証拠の保全が重要となる。

インシデントの検知から対応終了まで、以上の内容で基本的に行われるが、規模によってはかなりの労力と時間がかかってしまう。
こういった事態にならないよう、日頃から情報セキュリティに関しては注意深く意識しなくてはならない。
また、万が一インシデントが発生した場合も、速やかに対応ができるよう基本的な手順については組織の上位者が知っておくことも必要だ。