「データ侵害自体は、組織内で起こり得る最悪の事象の中で2番目にひどいものです。対応に関するコミュニケーションの不備は、最もひどいものです。」これは、エクサビームのチーフセキュリティストラテジスト、スティーブ・ムーア氏の見解です。彼は犯罪組織や国家レベルの敵対組織を追跡し、史上最大規模の医療情報侵害対応を主導してきました。ムーア氏はさらに、監査、規制、訴訟支援など、侵害対応にかかる時間は数ヶ月ではなく数年かかる場合もあると付け加えました。
以前、情報漏洩に備え、リスクを軽減するための5つの方法についてご紹介しました。しかし、これらの予防策を講じても情報漏洩が発生した場合は、48時間以内に状況を可能な限り適切に管理し、収束させるために実行すべき8つの対策をご紹介します。
侵害の種類に関係なく、単一のデバイス、一連のシステム、または企業全体への侵入のいずれであっても、次の手順が適用されます。
注:この記事は PDF ダウンロードでもご利用いただけます。
1.すべてを冷凍する
影響を受けるデバイスをオフラインにしますが、シャットダウンしたり変更を加えたりするのはまだ避けてください。ここでの目標は、影響を受けるシステムとの通信を制限することで、進行中のアクティビティを停止することです。ただし、手がかりを消したり、証拠を汚染したり、あるいは意図せず攻撃者を助けるような行動は避けてください。
仮想マシンやその他のシステムでスナップショットを作成できる場合は、侵害発生時のシステムの記録バージョンを入手できるよう、今すぐスナップショットを作成することをお勧めします。スナップショットは、後でオフライン状態で分析できます。
参照: 情報セキュリティインシデント報告ポリシー (Tech Pro Research)
2.監査とログ記録が継続していることを確認する
既存のシステム監査が適切に機能していることを確認することは、侵害の範囲を特定し、修復策を策定する上で最も有効な手段の一つです。監査が無効化されている場合(例えば、誰かの足跡を隠すためなど)、作業を進める前に復元してください。これは、侵害活動が継続中であるかどうか、そして侵害がいつ終了したと安全に判断できるかを判断する上でも役立ちます。
3.パスワードを変更するか、資格情報をロックする
パスワードの変更や認証情報のロックは、データ侵害の調査準備において一般的な戦術です。これは、侵害が進行中の場合、その停止を確実にするのに役立つためです。データ侵害は、多くの場合、侵害されたパスワードや認証情報に起因しています。確認済みか疑わしいかにかかわらず、関係するすべてのアカウントにこの手順を適用してください。
4.影響を判断する
調査が始まります。何が起こったのか、どのような情報にアクセスされたのか、どのシステムが侵害されたのか、そしてどのアカウントが利用された可能性があるのかを解明しましょう。前のステップで参照したログと、ステップ2で説明したツールが必要になります。侵害の範囲を特定し、解決方法を策定しましょう。
参照:サイバー戦争からの防御:サイバーセキュリティエリートがデジタル黙示録を防ぐために取り組んでいる方法(無料PDF)(TechRepublic)
5.それがどのように起こったかを判断する
データ侵害の修復は、影響度のみに基づいて行うだけでは不十分です。根本原因を特定する必要があります。そうでなければ、一時的な対処療法で済ましてしまう可能性があります。誰かが誤ってパスワードを提供してしまったのでしょうか?特定の脆弱性に対するパッチがシステムに未適用だったのでしょうか?誰かが許可されていないノートパソコンを社内ネットワークに接続し、組織がマルウェアに感染したのでしょうか?あるいは、従業員が暗号化されていないモバイルデバイスをタクシーに置き忘れただけで、脅迫を受けたのでしょうか?
ムーア氏は次のように助言しました。「見落とされがちな点が一つあります。組織が標的にされた場合、複数の攻撃グループが互いに気づかずに攻撃を仕掛けてくることは珍しくありません。これには、直接攻撃、サプライチェーン、パートナー、子会社、あるいは契約による支援を介した攻撃などが含まれます。」
6.何をすべきかを決める
次は、いわば氷山の被害から船体を守るための対策を構築する段階です。盗難されたモバイルデバイスのリモートデータ消去、ソフトウェアの更新、ネットワークファイアウォールルールの変更、サブネットの分離、マルウェア対策スキャンの実行、ログとアラートの強化、その他の技術的な対策が必要かどうかを判断し、計画を立てます。そして、すぐに実行に移しましょう。
7.詳細を適切な社内担当者に伝える
心配すべきは技術的な手順だけではありません。コミュニケーションと通知のプロセスも重要です。侵害が発生したこと、どのように発生したか、どのような詳細が関係していたか、そして何をすべきかを関係者に伝えるには、誰を関与させる必要があるでしょうか?法務、広報、人事、カスタマーサービス、あるいは侵害後のクリーンアップに関与する必要があるその他の関係者と話し合う必要があるかもしれません。
8. 公表し、対応を準備する
これはこれらのステップの中で最も楽しいものではありませんが、おそらく誰かが記者会見、一連の電子メール、ソーシャルメディアでの発表、ウェブサイトでの発表、または会社と外部の世界の間に存在するその他のコミュニケーションの形で、公に発表することになるでしょう。
組織が侵害を是正するために何をしたか、将来的に何をするつもりか、パスワードの変更、クレジットカード会社への連絡、詐欺警告の設定など、顧客が自分自身を保護するためにどのような手順を踏む必要があるか(ある場合)を必ず説明してください。
可能であれば、この違反に関する顧客の懸念に対処するためにホットラインを設置するか、特定のグループ/連絡先情報を指定して、質問に答えたりガイダンスを提供したりできるようにします。
参照:データ侵害は不意打ちを食らう可能性があります。反撃の準備をしましょう(CNET)
侵入後
同じ状況に戻らないようにするためには、騒ぎが収まり始めた後に強化に取り組むためにしなければならないことがいくつかあります。
改善すべき領域を特定する
あらゆるデータ侵害は、何らかのギャップ、つまりトレーニング、意識、セキュリティ対策、技術力、あるいはその他の侵入ポイントにおけるギャップから発生します。どこでギャップが発生したのかを把握し、教育の強化やコンプライアンス要件の強化などを通じてギャップを埋め、必要に応じて適用していくことが重要です。
次回の違反防止に取り組む
再発リスクの低減に向けた取り組みに重点を置きましょう。侵害の原因が悪用された脆弱性である場合は、パッチ適用メカニズムを強化します。AndroidタブレットのmicroSDカードから企業情報が盗まれた場合は、暗号化を義務付けます。必要に応じて、改善された認証方法(2要素認証を強く推奨)を活用します。将来的に企業のビジネスチャンスを拡大するのに役立つその他の要素を検討し、必要に応じて適用します。
以下も参照:
- フォレスターによる2018年のサイバーセキュリティ予測トップ6(TechRepublic)
- レポート:IT セキュリティ リーダーの 40% がデフォルトの管理者パスワードを変更していない (TechRepublic)
- 中小企業の66%は、データ侵害が発生した場合、事業を停止または閉鎖する(TechRepublic)
- Yahoo!の30億アカウントが2013年にハッキングされた。身を守る方法はこちら(TechRepublic)
- Equifaxのデータ漏洩チェッカーをテストしてみたが、基本的に役に立たない(ZDNet)
