見出し画像

インシデントの検知

テクノロジーでセキュリティをシンプルにするGRCS

~インシデント検知の理想と現実~

新型コロナウィルス感染症の流行に伴って、検査数が多いとか少ないとか、PCR検査がどうのこうの、抗体検査をするのか?等、いろいろと検査に関して言われています。

新型コロナウィルス感染症の対応を行うにあたっては、感染しているかどうか?を調査するのは、非常に重要な機能ではあるのですが、情報セキュリティにおいても同じように「インシデントの検知」というのは、非常に重要な機能にあたります。

今回は、この「インシデントの検知」についてちょっと書いてみようかと思います。

<インシデントって何?>

さて、「インシデント検知」ですが、そもそも情報セキュリティにおける「インシデント」は何でしょうか?

JPCERT/CCのWebサイトには、以下のように書いてあります。

コンピュータセキュリティインシデントとは、「情報および制御システムの運用におけるセキュリティ上の問題として捉えられる事象」です。JPCERT/CCでは「インシデント」と呼んでいます。

とあるのですが、個人的にはもう少し分かりやすくした方がよいのかな?と思うので、もう少し分解してみようかと思います。

まず、インシデントの代表としては、いわゆる「セキュリティ事故」があります。

機密情報が漏洩した。HPが改ざんされた、DDOS攻撃を受けてサービス停止した、といったようなケースです。
これらは、リスク分析におけるリスクが顕在化した状況にあたります。こういったセキュリティ事故については、規模の大小はあれど何等かの被害が発生しているため、出来る限り早く、かつ、確実に検知し、対応することが求められます。

次に、セキュリティ事故には至っていないが、放っておくとセキュリティ事故になってしまう可能性が高い事象があります。例えば、

新しいソフトウェアの脆弱性が発見された。
(放っておくと攻撃されて事故になるかもしれない)

事務所の鍵をかけ忘れてしまった。
(泥棒に入られるかもしれない)

フィッシングメールの情報を受け取った。
(誰かが間違って引っかかるかもしれない)

クラウドのストレージの空き容量が少なくなってきた。
(近日中に一杯になって使えなくなるかもしれない)

機密書類持参で忘年会に参加してしまった。
(酔っぱらって、なくすかもしれない)

といったような状況です。これらは、新たな脅威・脆弱性の情報といったものや、セキュリティ運用におけるミスやルール違反といったものになるのですが、セキュリティ事故にはいたっていないものになります。

ISMSの旧規格であるISO/IEC 27001(2014)では「セキュリティ事象」と書かれていたものにあたります。
これらは対応しないでおくと、セキュリティ事故になってしまう場合もありますし、ならない場合もあるので、検知した場合には、それぞれの状況によって対応を変えることになります。

この「セキュリティ事故」と「セキュリティ事象」の2種類が「セキュリティ・インシデント」となります。


<理想と現実>

で、極端な理想論で言えば、この2種類のインシデントを全て検知して、適切に対応していくことになります。
ただ、それをやろうとすると、検知のための工数、予算、検知システム、運用体制、技術スキル、検知した後の対応体制等々、まあ、実現が凄く難しいことになるわけです。

となると、「全てのインシデント」は難しい ということであれば、インシデントについて発見すべき優先度をつけ、優先順位の高いものから検知できるようにしていく、という方法が考えられます。
優先順位については、セキュリティ事故のほうがセキュリティ事象よりも優先度は高い、ということは直感的にわかると思いますが、セキュリティ事故間や、セキュリティ事象間での優先度の付け方については、リスク分析等を利用して行うこと になります。


こうして優先度の高いインシデントを選び出したとして、次にそのインシデントをどのように検知するか?が問題となります。
これを考えるには、「誰が」「どこで」「どうやって」検知するか?ということをシステムの実装や業務運用、工数・運用負荷、検知した場合の対応等、実際のインシデントの検知に加え、インシデントの対応まで含めて考慮する必要があります。

例えば、コンピュータ・ウィルス感染であれば、既知のウィルスについてはウィルス対策ソフトによって検知可能であり、かつ、ウィルス対策ソフトにより検知したウィルスの隔離や駆除が可能です。
しかし、未知のウィルスの場合、ウィルス対策ソフトで検知できない場合、誰がどうやって気付けるのか?もしくは、何をその兆候とするのか?といったことを考えなくてはいけず、技術面ならずコストや工数含め実現可能を検討する必要があるのです。

そうなってくると、多くの組織で検知したいインシデントはあるが、システム的に検知するのは困難なインシデントも多くなり、それらのインシデントについては誰かが「何かおかしい」と気づいたり、外部からの指摘で気付く、といったいわゆる 発見ベースでの対応 しかできなくなるという現実があったりします。

<現実解?>

ということで、インシデント検知という部分においては、リスクベースのセキュリティ対応という理想を実現するのはなかなか難しく、現実的には発見ベース、悪く言えば「場当たり的な」対応をするしかないのが、現状なのかな?と感じており、とはいえ、それが現状での現実解になっているのだろうなぁ、と思うのです。



この記事が気に入ったらサポートをしてみませんか?