R1 SM PM2-2 重大なインシデント発生時のコミュニケーションについて

bear-crow

 Z社は、自社開発のネットワーク機器やサービスの販売及びこれらの運用やインシデント対応を実施している。
 Z社技術部では、電話や電子メールを通じた内勤者によるサポートデスク対応(以下、受付対応という)から、受付対応による簡易的な対応で改善・復旧しなかったインシデント対応を顧客先へ訪問(以下、訪問対応という)して、受付対応の機能的エスカレーションとしての対応を実施する外勤者で構成される。
 また、技術部には外勤者の様々なサポート、具体的には、専門知識を有する技術者が外勤者のサポートを行うなどを実施する管理課が存在する。
 Z社では、インシデント対応のうち、情報漏洩やサービス停止に繋がり得る情報セキュリティに関わるインシデント(以下、セキュリティインシデントという)を通常のインシデント対応と区別し、重大なインシデントと規定している。
 ある日、Z社の顧客で、ネットワーク保守契約を結んでいるA社から入電があり、その内容は「ファイルの利用ができない」という内容であった。
 受付対応で情報資産を暗号化し利用不能にする「ランサムウェア」の可能性があり、内勤者はZ社の受付対応の手順書に則り、該当PCのLANケーブルの抜線を案内し、電源は証拠保全のためそのままにした。
 Z社の規定では、セキュリティインシデントの対応の場合、外勤者の派遣と同時に、管理課から外勤者のみの対応ではなく必要な広範囲の技能を有するチームによる対応を実施する。
 私は、管理課に所属するITサービスマネージャとして、このA社のインシデント対応(以下、今回対応という)をまとめることになった。
 対応をするチームは、私と、セキュリティインシデントを専門に担当する情報処理安全確保支援士である管理課のC氏と外勤者のD氏である。

設問イ:設問アで述べた重大なインシデントへの対応で実施した手順の内容と対応に当たって、利害関係者とどのようなコミュニケーションを行ったか

 私は、まず今回対応に関して、現状を確認し対応策を検討する必要があると考え、外勤者による現状の被害範囲の確認を指示した。
 外勤者がA社の訪問した結果、ランサムウェア感染が疑われたPC(以下、感染PCという)は該当の一台だけであり、横展開はまだ見られないようであった。また、感染PCはインターネットに繋がっていないオフライン処理を実施するのみで、該当PCとネットワークで接続されているPCは他に数台のみであった。
 今回はデータ受け渡しに利用したUSBメモリが感染経路として疑われた。
 私は、ここで今回対応の進捗をまとめる必要と、今後の正確かつ迅速な情報共有が必要と考え、複数人が参加可能なZ社の社内で利用するチャットツール(以下、グループチャットという)を利用することとした。
 グループチャット内で、C氏からD氏にUSBメモリと該当PCを検体として持ち帰り詳細な調査が必要であることが案内された。
 ここで、私は顧客先のPCを引き上げ調査する了承を顧客担当者から得ること、及び現状の進捗状況を報告する必要と考えた。C氏は過去に何度かA社のインシデント対応を実施し、顧客担当者とも面識があるため、顧客連絡の窓口をC氏とした。
 C氏からグループチャットにて、今回対応の進捗報告が完了し、検体の引き上げの了承があった。
 引き上げ後、検体はD氏に渡され、D氏はZ社がマルウェア対策ソフトとそのサポートを依頼しているB社の協力を得て調査をすることとなった。
 調査の結果、該当マルウェアは感染PCのファイルを暗号化するランサムウェアで横展開の機能を有することがないことが確認された。
 D氏は、この調査結果と、引き上げたPCはクリーンインストールを実施することが望ましい旨をチャットツールに投稿した。
 C氏は、この投稿を受け、顧客担当者に報告した。
 報告を受けた顧客担当者から、経営者層への報告用に今回対応の状況をまとめた文書と、今後の再発防止策を希望された。
 私は、これを受けて、チャットツールのログを確認しつつ、C氏とD氏からの情報提供を得て、顧客希望の今回対応の概要と今後の再発防止策をまとめた文書を作成し、C氏を通じて電子メールにて報告した。
905

設問ウ:設問イで述べた重大なインシデントへの対応で明確になったコミュニケーションにおける課題と改善策

 今回対応におけるサービス回復を確認した後、私は今回の重大なインシデント対応についてのレビューを行った。
 今回対応は初動の訪問対応までが入電から1時間、検体引き上げから調査完了まで一週間かかった。
 一週間の間で、A社の別ユーザーから、同じ内容での問合せが一件あった。これは、顧客担当者から、ユーザーに対して説明が十分にされていないことが検討された。
 私は、今回対応について、グループチャットは社内において、即時性、正確性ともに十分に機能したと考えられるが、利用ができない社外の利害関係者とのコミュニケーションにおいてはフォローが必要と考えた。それは以下二点の理由によるものである。
 ①A社の顧客担当者だけを報告の窓口としたことで、ユーザー情報伝達不備、A社経営者層への報告も適宜実施できなかったこと。
 ②B社の協力要請から完了まで、一週間を要し、その間の進捗報告ができなかったこと。
 ①に関しては、グループチャットのメンバーをさらに検討することを改善策とした。ユーザーへの情報伝達不備に関しては、今回案件を含めてセキュリティインシデントはユーザー一人だけといった狭い範囲の影響ではなく、部署全体といった広い範囲の影響のため、別ユーザーから同じ内容の入電が入ることが予想される。この為、グループチャットのメンバーは受付対応の要人も含めて、情報共有を行う必要がある。
 ②に関しては、社外の利害関係者はグループチャット内でコミュニケーションが図れないため、社外の利害関係者と対応できない者が対応可能なものに対して、早期の対応を促すなど、より活発にグループチャットにおいて投稿することとした。
 


 

 


この記事が気に入ったらサポートをしてみませんか?