No177 セキュリティ事故対策の手順書を作ろう(7)

えがおIT研究所

情報セキュリティインシデント(セキュリティ事故。詳細は文末参)
照発生時の手順書作成方法についての解説を続けます。

前回までで、直面するセキュリティ事故発生時の行動を手順書化
する方法を解説しました。

今回は、事故収束後の「やれやれ」という状態での手順について
解説します。


1. セキュリティ事故対策の手順書に必要な項目(再掲)

前回までのおさらいです。

セキュリティインシデントが起きた時には冷静な行動が取れず、
思いがけない行動をとってしまい、被害を広げてしまうことが
あります。そういったうかつな行動を抑制するには手順書が有効
です。

手順書は全メンバが理解できるように、平易かつ具体的に記述する
ことが大切です。

今回の連載では「メールの添付ファイルを誤って開いた場合」を
サンプルとして手順書の作成方法を解説しています。

ここでは、以下の構成で手順書を作っていきます。

A-1:(対象となる)PC(パソコン)のネットワークからの切り
   離し
A-2:通報
B:組織内への周知
C:情報収集と判断
D:対応をする
E:社内報告(事後作業)
F:再発予防策の検討と実施(事後作業)

ところで、このAとFとでは時間軸がまったく違います。
A-1やA-2は事故直後の作業ですが、Eは一週間後、Fなどは
数か月後でもまったく問題ありません。

事故の内容によって大きく異なりますが、典型的にはこんな感じに
なります。
 A-1: 事故発生直後
 A-2: 事故発生直後
 B  : 事故発生後1時間以内:
 C  : 事故発生後数時間以内:
 D  : 事故発生後2日程度:
 E  : 事故発生後5日程度:
 F  : 事故発生後数か月以内:

これまでに以下について解説しました。
 A-1: No169
 A-2: No170
 B  : No171
 C  : No174
 D  : No176

この他に、No172ではメールやヒアリングシートのサンプルの作り
方について解説しました。
 
ご覧になっていない方は、以下でも公開していますので、是非ご覧
ください。
 https://note.com/egao_it


2. 手順書が特に有効なのは初動

前回までに解説した内容(上述のA~D)がセキュリティ事故への
初動と対応です。

セキュリティ事故が発生すると、限られた時間で間違わずに確実に
行動することが求められます。ですが、現場も担当者も混乱して
いる中で慣れない作業を間違わずに行うことなどできません。

だからこそ手順書が必要なわけです。

一方、今回述べる作業は、1)発生した事故の記録、2)次に同じ
ことが起きたことの備え、といった事後の対策が中心となり、
初動や対応に比べれば緊急度はグッと低くなります。

じっくりと考えながら作業を行う余裕がありますので、その意味
では手順書の必要性は低いといえます。

それでも慣れていない作業なのは事実ですから、手順書があれば
作業がよりスムーズになるは間違いありません。


3. E:社内報告

これは事後作業ですので、事故が発生してから数日以内に行えば
良い作業です。
関係者から状況を改めてヒアリングし、発生したこととその経緯を
明らかにした上で報告書の形にまとめます。

ここでは発生した事故の記録を文書として残しておくことが目的
です。人間の記憶は時間とともに風化しますので、文書化は必要
です。

また、ここでの記録は、今降の対策を考えるためにも必要になり
ます。

この報告書は事故で迷惑をかけることになった他の組織への謝罪
報告にも活用できますし、場合によっては行政機関やマスコミの
取材への対応にも使えます。

報告書は提出先に応じていくつかのバージョンを作成することに
なります。
 ・関係者向けバージョン(一番詳細なバージョン)
 ・社内向けバージョン(全メンバが理解できる表現とした報告書)
 ・社外向けバージョン(事故の慨略がわかる報告書)

最初に関係者向けバージョンを作成し、その後に内容を端折る形で
社内向けバージョンを作成し、必要に応じて社外向けバージョンを
作成してください。

あたりまえですが、小説ではありませんので脚色や省略は禁止です。
発生した事実だけを淡々と記述してください。記述者の印象や所感
は不要です。


4. F:再発予防策の検討と実施

上記の報告書をもとに、同じ事故が発生しないための対策を考える
のがここでの目的です。

まずは、関係者が集まって上述の報告書をもとに改善策を検討し、
具体的な対策に落とし込みます。

一言で対策といってもいろんな方法があります。
 ・業務の進め方/ルールを変える
 ・業務手順書を作る
 ・メンバのセキュリティ意識の向上
 ・メンバの知識向上(教育)
 ・セキュリティ機器を導入する
などなど

対策は一つでなくても構いません。むしろ積極的にいろんな対策を
取るようにした方がメンバが意識しやすくなります。

そうそう、もう一つ大切な作業が残っています。

それは事故発生時に活躍したセキュリティ事故の手順書を改版する
作業です。

セキュリティ事故が発生すれば、手順書通りにいかなかったことが
いろいろと見つかると思います。

事故というのは往々にして想定外のことが起きますので全てを網羅
するのは非現実的です。とはいえ、改善すべき点はあるはずです。

そういった点を手順書に是非盛り込みましょう。


5. 再発予防マニュアルは使ってみないとね

さて、再発を予防するためのマニュアルを四苦八苦しながらも完成
させたとしましょう。

では、この予防マニュアルは実際に事故が起きるまで大切に保管
しておこう...、ではダメです。

対策マニュアルは机上で作成したものです。
そのままでは信用に足るとは言えませんから、シミュレーション
(模擬演習)が必要です。

昔なつかしい「ごっこ遊び(ロールプレイング)」のノリで、
犯人役、被害者(報告者)役、セキュリティ担当者役などを決め、
悪意の添付メール付きのメールを受信した時にちゃんと意図した
通りにマニュアルが運用できるかどうかを試すのです。

それぞれの役をするメンバは、対策マニュアルを作った人以外と
してください。(対策マニュアルを作ったメンバは作成の経緯や
それぞれのアクションの目的を知っているため)

まず、マルウェア付きの添付メールを開いた場合のシナリオを
作り、防災訓練をしてみましょう。
運用マニュアルの通りに対応しようとしても対応者が困ったり、
作成メンバが思いもしない解釈などが起きるはずです。

「○○を確認する、って○○ってナニよ?」

「マニュアルに書いてあるように画面が出てこないんだけど。
 最近バージョンアップしたから画面が変わったのか?」

「マニュアルにサポートセンターに連絡するってあるから電話
 したんだけど「現在この電話番号は使われておりません」って...」

「マニュアルで連絡することになってるAさん、今日お休み...」

「▽▽コマンドを実行、ってどうやって?そんなアイコンないよ」

「え?手順が違うって?いやオレマニュアル通りやったよ。え?
 この場合はこっちを先にやるって?そんなの書いて...あるわ。
 でもこの書き方じゃわかんないよ。」

「マニュアルの文字ちっちゃすぎて老眼のワシには辛いわ」

「キャビネット開けろって言ったって、鍵かかってるし」

「あれ?△△がない時はどうすんの?手順が書いてないよ」

「「妙なことが起きたらマルウェア対策ソフトのサポートに電話」
 ってあるよね。オレ夜番の時は午前5時に日報でパソコン使う
 けど、その時間に変なことあったらどうすんの?」

こういう気づきをクリアしていくことでマニュアルのクオリティは
確実に上がっていきます。
以前も書きましたが、こうしたチェックと改訂を重ねた手順書は
秘伝のタレのようなもので、その組織でしか通じないけれど、組織
にとっては何ものにも替えがたい財産となるのです。


6. まとめ

さて、7回にわたって書いてきた手順書作成の方法ですが、参考に
なることがありましたでしょうか。

手順書やセキュリティマニュアルはなくても何とかなるように
思われがちです。それでも、討議を重ねて自分達で作ることは単に
手順書という成果だけでなく、業務そのものを多くのメンバが把握
できたり、疎遠だったメンバ間の交流、といった様々なメリットが
あります。

仮に手順書にない事象が起きても、メンバの結束力があれば行動が
大きく違ってきます。

皆さんの組織でも、是非手順書作成を試みてみてください。
きっと役立つはずです。

次回もお楽しみに。

今回登場した用語

○インシデント
 セキュリティインシデントのことで、情報セキュリティ上の
 トラブルや事故を示す。
 英単語としては「事件」と訳するのが一般的だが、本メルマガ
 では「事故」と表記している。

○マルウェア
 これは英語圏での造語で、malicious-softwareを縮めてmal-ware
 (=マルウェア)と呼ぶ。
 malicious(マリシャス)は「悪意のある」とか「故意の」と
 いった意味。
 つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
 ウェアの総称を指す。
 ウイルスと何が違うんだ?と思ったアナタは正しい。
 以前は「ウイルス」が悪事を働くソフトの代表だったので、
 それが総称を兼ねていた。
 ところが、ウイルス以外にも悪さをするソフトウェア、例えば
 ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
 登場してきた。
 結果、狭義のウイルスと広義のウイルスの2つの意味にかなりの
 差が生まれてしまった。
 この両方を「ウイルス」で表記していると区別がつきにくくなる
 ため、マルウェアという言葉を「悪さをするソフトウェア」の
 総称として使いはじめた。
 2020年現在、ウイルスという言葉はマルウェアの一つの形式扱い
 ということで専門家の間では定着した。一般ユーザにも広がりつつ
 あるが、「ウイルス」と呼ぶ人もまだまだ多い。

○マルウェア対策ソフト
 ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
 れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
 PCを守ることを目的としたソフト。多くの場合、マルウェア
 対策のみの製品、怪しげなサイト(フィッシングサイトなど)
 へのアクセス制御を加えた製品、といった複数の製品をライン
 アップしている。


このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html

この記事が気に入ったらサポートをしてみませんか?