No174 セキュリティ事故対策の手順書を作ろう(5)

えがおIT研究所

今回は手順書作成方法についての解説に戻ります。

前回までで、実際にセキュリティインシデント(セキュリティ事故。
詳細は文末参照)発生直後に行うべき行動を手順書に落とし込む
方法を述べてきました。

今回は、その後の原因追求の手順を作成するときの注意点について
解説します。


1. セキュリティ事故対策の手順書に必要な項目(再掲)

前回までおさらいです。

セキュリティインシデントが起きた時には冷静な行動が取れず、
思いがけない行動をとってしまい、被害を広げてしまうことが
あります。そういったうかつな行動を抑制するには手順書が有効
です。

手順書は全メンバが理解できるように、平易かつ具体的に記述する
ことが大切です。

今回の連載では「メールの添付ファイルを誤って開いた場合」を
サンプルとして手順書の作成方法を解説しています。

ここでは、以下の構成で手順書を作っていきます。

A-1:(対象となる)PC(パソコン)のネットワークからの切り
   離し
A-2:通報
B:組織内への周知
C:情報収集と判断
D:対応をする
E:社内報告(事後作業)
F:再発予防策の検討と実施(事後作業)

ところで、このAとFとでは時間軸がまったく違います。
A-1やA-2は事故直後の作業ですが、Eは一週間後、Fなどは
数か月後でもまったく問題ありません。

事故の内容によって大きく異なりますが、典型的にはこんな感じに
なります。
 A-1: 事故発生直後
 A-2: 事故発生直後
 B  : 事故発生後1時間以内:
 C  : 事故発生後数時間以内:
 D  : 事故発生後2日程度:
 E  : 事故発生後5日程度:
 F  : 事故発生後数か月以内:

これまでに以下について解説しました。
 A-1: No169
 A-2: No170
 B  : No171

また、No172ではメールやヒアリングシートのサンプルの作り方に
ついて解説しました。
 
ご覧になっていない方は、以下でも公開していますので、是非ご覧
ください。
 https://note.com/egao_it


2. C:情報収集と判断

No171で書いたように「B:組織内への周知」にて第一報を送付を
しますが、同時に「それは本当にセキュリティ事故なのか?事故
だとすればどんな対応を取るべきか?」を判断しなければなりま
せん。

そもそもセキュリティ事故かどうかの判断ってどうやりゃいいの
でしょう?
専門家でもない(特別な知識を持っていない)セキュリティ担当者
でもできるものなのでしょうか?

大丈夫です。そんな難しい技術や知識はなくてもOKです。
コツはプロの力をうまく利用することです。

最初にプロの技術の集大成である、マルウェア対策ソフト(いわ
ゆるウイルス対策ソフト。詳細は文末参照)を利用しましょう。

マルウェア対策ソフトの「フルスキャン」機能を実行します。
そのPC(パソコン)の容量や速度にもよって所要時間は大きく
異なりますが、最低1時間はかかるものと考えてください。

この待ち時間を利用して、報告者から事故が発生した時の経緯を
確認しておきましょう。
この時に役立つのが、No172でサンプルを提示した「ヒアリング
シート」です。

何度も書きますが、セキュリティインシデント(事故)が起きた
時には浮足立ってしまい、普段なら問題なくできることでもミスを
する場合が増えます。

ヒアリングシートをうまく使って実際に起きた現象を記録します。


3. ヒアリングシートの使い方

ヒアリングシートはセキュリティ事故に限らず、当事者に質問など
をする時に、必要なことを漏れなく聞き出す場合によく使われます。

セキュリティ事故の場合は、時間がない中で正確に情報収集すること
が求められますから、特にヒアリングシートが有用なケースと言え
ます。

そのヒアリングシートのサンプルを前回(No172)に掲げましたので
未読の方は是非ご一読ください。

さて、ヒアリングシートの記入にはインタビュー方式と自己記入
方式の2パターンがあります。

インタビュー方式というのはヒアリングシートの内容をインタビュア
(interviewer。ここではセキュリティ担当者)がインタビュイー
(interviewee。ここでは報告してくれた人)にヒアリングシートに
従って質問をする方式を言います。
一方、自己記入方式というのは、報告する人にヒアリングシートを
渡し自分で記入してもらう方式を言います。


4. インタビュー方式のメリット

今回のようなセキュリティ事故の場合はインタビュー方式とすることを
強くオススメします。

セキュリティ事故の場合、ヒアリングシートにも専門用語が出て
きて、報告する人が質問を読み誤る場合があります。
また、報告する人は公正に報告しようと思っていても無意識のうち
に被害を小さく報告しがちです。

事実関係に誤解や過小報告があると、それ以降に正しい対策が打て
なくなりますので、インタビュー方式で質問の意味を説明しながら
進める方がよいということです。


5. インタビューでやっちゃいけないこと

念のため申し上げておきますが、インタビューは穏やかに進めて
ください。報告者を責めるような言い方をすると情報が正しく吸い
上げられなくなる可能性があります。

マズいインタビューの例を示します。
以下「セ」は、セキュリティ担当者、「A」は報告者のAさんの
セリフです。

パターン1
 セ「Aさんは誰から来た添付ファイルを開いたのですか?」
 A「知らないアドレスでした」
 セ「あんたさぁ、社内ルール知らないの?」
 A「知らない人からのメールは開かないってやつですか。」
 セ「わかっててやったわけ?あんた悪質だよ」

パターン2
 セ「Aさんは誰から来た添付ファイルを開いたのですか?」
 A「社内のBさんだと思いました」
 セ「思いましたってナニ?確認は?」
 A「確認したつもりですが、あまり覚えてません」
 セ「自分のやったことも覚えてないって?それで許されると?」

以前も書きましたが、ここでは実際に何が起きたかを把握すること
が目的です。高圧的に責めたり犯人扱いしても、正しい情報が引き
出せなくなるだけで、メリットがありません。

まずは、発生した事実を聞き出すことだけに集中しましょう。
話を聞いているとそうなった理由や経緯が気になるものですが
「これは後日に聞こう」と考え、目的を見失わないインタビュー
を目指してください。

例えば
 セ「Aさんは誰から来た添付ファイルを開いたのですか?」
 A「知らないアドレスでした」
 セ「社内ルールはご存じでしたか?」
 A「知らない人からのメールは開かないってやつですね。」
 セ「そうそう。今回は思わず開いたということでしょうか?」
 A「そうなんです。すみません」
 セ「(うう、すごく経緯を聞きたいが、ここはグッとこらえて)
   次から気を付けてくださいね。次に...」

といった感じです。

インタビューによって得られたヒアリングシートはこの後で活躍
することになります。


6. プロの知見をうまく利用する

インタビューの話が長くなりましたが、ヒアリングシートを埋めて

いる間にも、フルスキャンが終わることでしょう。

万一、フルスキャンでマルウェアが検出されれば、セキュリティ事故
発生が確定です。
セキュリティ事故が確定した場合は、発見されたマルウェアの種類
を確認し、その対処方法をマルウェア対策ソフトの公式サイトで
確認してください。

公式サイトを見ても難しくてよくわからない、という場合はソフト
のサポート窓口に電話するのが確実です。
サポート窓口には「フルスキャンをしたら○○というマルウェアが
見つかりました。対処方法を教えてください」と聞けば丁寧に対応
方法を教えてもらえます。

一方、フルスキャンで何も検出されなければ、マルウェアではない
(誤報の)可能性が高くなります。

とはいっても、そのまま業務で使うのは危険ですので、この場合も
マルウェア対策ソフトのサポートデスクに電話をしましょう。
この時は「誤って怪しげなファイルを開いたのですが、フルスキャン
しても何も見つかりませんでした。次は何をすればよいですか?」
と聞いてください。

どうでしょう。

これだけならセキュリティのプロでない担当者でも対応できそうな
気がしませんか?
最初にも書いたようにマルウェア対策ソフトというプロの知見を
うまく活用することが成功のコツです。

これ以外でもみなさんが調査ができることがあれば、それを盛り
込んでください。例えば、次の内容ではいかがでしょう?
 ・不審なメールの送付経路を確認する。
 ・不審なメールの本当の送付者を確認する
 ・ネットワーク機器のログをチェックする
 ・同様の事象が発生していないかをネット検索する
 ・各種のセキュリティ団体のニュースをチェックする

できそうなものは積極的に実行するようにしましょう。

手順書の作成は、自分たちで考えなければいけないことがたくさん
ですが、逆に自分たちでできることもたくさんあります。

少しづつでも自分たちでできることを見つけて取り組んでみてくだ
さい。

次回もセキュリティ事故の手順書作成の解説を続けます。
次回もお楽しみに。

今回登場した用語

○インシデント
 セキュリティインシデントのことで、情報セキュリティ上の
 トラブルや事故を示す。
 英単語としては「事件」と訳するのが一般的だが、本メルマガ
 では「事故」と表記している。

○マルウェア
 これは英語圏での造語で、malicious-softwareを縮めてmal-ware
 (=マルウェア)と呼ぶ。
 malicious(マリシャス)は「悪意のある」とか「故意の」と
 いった意味。
 つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
 ウェアの総称を指す。
 ウイルスと何が違うんだ?と思ったアナタは正しい。
 以前は「ウイルス」が悪事を働くソフトの代表だったので、
 それが総称を兼ねていた。
 ところが、ウイルス以外にも悪さをするソフトウェア、例えば
 ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
 登場してきた。
 結果、狭義のウイルスと広義のウイルスの2つの意味にかなりの
 差が生まれてしまった。
 この両方を「ウイルス」で表記していると区別がつきにくくなる
 ため、マルウェアという言葉を「悪さをするソフトウェア」の
 総称として使いはじめた。
 2020年現在、ウイルスという言葉はマルウェアの一つの形式扱い
 ということで専門家の間では定着した。一般ユーザにも広がりつつ
 あるが、「ウイルス」と呼ぶ人もまだまだ多い。

○マルウェア対策ソフト
 ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
 れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
 PCを守ることを目的としたソフト。多くの場合、マルウェア
 対策のみの製品、怪しげなサイト(フィッシングサイトなど)
 へのアクセス制御を加えた製品、といった複数の製品をライン
 アップしている。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html

この記事が気に入ったらサポートをしてみませんか?