No176 セキュリティ事故対策の手順書を作ろう（６）

今回は手順書作成方法についての解説に戻ります。

前回までで、実際にセキュリティインシデント（セキュリティ事故。
詳細は文末参照）発生直後に行うべき行動を手順書に落とし込む
方法を述べてきました。

今回は、その後の原因追求の手順を作成するときの注意点について
解説します。

1. セキュリティ事故対策の手順書に必要な項目（再掲）

前回までおさらいです。

セキュリティインシデントが起きた時には冷静な行動が取れず、
思いがけない行動をとってしまい、被害を広げてしまうことが
あります。そういったうかつな行動を抑制するには手順書が有効
です。

手順書は全メンバが理解できるように、平易かつ具体的に記述する
ことが大切です。

今回の連載では「メールの添付ファイルを誤って開いた場合」を
サンプルとして手順書の作成方法を解説しています。

ここでは、以下の構成で手順書を作っていきます。

Ａ-1：（対象となる）ＰＣ（パソコン）のネットワークからの切り
　　　離し
Ａ-2：通報
Ｂ：組織内への周知
Ｃ：情報収集と判断
Ｄ：対応をする
Ｅ：社内報告（事後作業）
Ｆ：再発予防策の検討と実施（事後作業）

ところで、このＡとＦとでは時間軸がまったく違います。
Ａ－１やＡ－２は事故直後の作業ですが、Ｅは一週間後、Ｆなどは
数か月後でもまったく問題ありません。

事故の内容によって大きく異なりますが、典型的にはこんな感じに
なります。
　Ａ－１：　事故発生直後
　Ａ－２：　事故発生直後
　Ｂ　　：　事故発生後１時間以内：
　Ｃ　　：　事故発生後数時間以内：
　Ｄ　　：　事故発生後２日程度：
　Ｅ　　：　事故発生後５日程度：
　Ｆ　　：　事故発生後数か月以内：

これまでに以下について解説しました。
　Ａ－１： No169
　Ａ－２： No170
　Ｂ　　： No171
　Ｃ　　： No173

この他に、No172ではメールやヒアリングシートのサンプルの作り
方について解説しました。
　
ご覧になっていない方は、以下でも公開していますので、是非ご覧
ください。
　https://note.com/egao_it

2. Ｄ：対応をする

前回述べたように、プロの知見などをうまく利用して事故の原因
が明らかになったとします。

となると、次に行うべきはその対処方法となります。

これが意外に面倒で洩れの発生しやすい作業なので、この場面でも
手順書は頼もしい味方になってくれるはずです。

マルウェアだとわかったんだったら、マルウェア対策ソフトで駆除
すりゃ終わりでしょ？なんて思っている方はいませんか？

少し考えてみてください。
いろいろやるべきことがあることに気付かれると思います。

3. 事後対応でやることは巾広い

例えば、そのマルウェアは誰から送られてきたか確認すると、
同じ組織のメンバだった、とわかったらどうでしょうか？

であれば、そのメンバのＰＣからメールが送られた理由をスグに
でも確認しないといけません。ひょっとすると、そのＰＣがマル
ウェアに侵され、マルウェア付きメールを他社に大量送信中かも
しれません。

そのメールが取引先から来たものなら、取引先にその連絡をして
おくべきですよね。

また、マルウェアがどんなタイプかによっても行うべき対処は全く
と言っていい程違います。
以下にいくつかのケースを例示します。

１）ファイルを暗号化するランサムウェアのケース
　　ＰＣ内の文書が勝手に暗号化されていないか？を確認。
　　さらに、ファイルサーバなどのバックアップまで暗号化され
　　たりしていないか？を確認。
　　暗号化されていた場合は、対策をマルウェア対策ソフトの
　　サポートに確認して対応します。

２）外部に文書を持ち出すマルウェアのケース
　　どのファイルが盗まれたかを把握したければ、フォレンジック
　　と呼ばれる調査方法があります。
　　ただし、かなりの費用と時間がかかります。
　　ですので、まずは最悪の事態を想定し、全てのファイルが盗
　　まれたという前提に立つしかありません。
　　他社の情報資産を預っていた場合は、漏洩の可能性があること
　　を先方に通知しなければなりません。

３）LAN内に感染を拡げるマルウェアのケース
　　この場合もやはり最悪の事態を想定し、組織内全体にマル
　　ウェアが拡がっている前提での対応が必要となります。
　　LAN上の全マシンをネットワークから切り離して、マルウェア
　　対策ソフトのフルスキャンを実行する必要があります。
　　この時、ファイルサーバでもフルスキャンを行ってください。
　　ファイルサーバにマルウェア対策ソフトが入っていない場合
　　は、販売元にチェック方法を確認してください。

４）外部に勝手にメールを送るマルウェアのケース
　　マルウェアによっては所有者のＰＣ内のアドレス帳を使って
　　他の人にマルウェア付きメールを送信するものがあります。
　　このテのマルウェアに感染されるとこちらが加害者になりかね
　　ません。
　　メールサーバのログを確認できるのであれば、マルウェアに
　　感染した後に送付された全ての相手に先に送ったメールはマル
　　ウェアによるものなので開かずに削除して欲しい、万一開いて
　　しまった場合は、マルウェアに感染している可能性がある旨の
　　メールを送付しましょう。
　　メールサーバのログ確認ができない場合はメールの送付先が
　　わかりません。この場合は、無理に通知をせず先方からの
　　問い合わせがあった時に謝罪と状況を伝えてください

いかがでしょうか。起きた事象やマルウェアの種類によって取る
べき対処は実に巾広いことがわかると思います。

4. でもどこまで書けば...

何度も書きますが、書くべきことは組織によって異なりますので、
正解はありません。

また、手順書は何度も何度も改版をすることでレベルアップできる
性質のものです。
まずは、見落としだらけ穴だらけでもいいので初版を完成させる
ことが大切です。

ただでさえ難しい手順書ですが、今回の「対応をする」の手順は
複雑な上にケースバイケースの部分が多く、キレイな手順書を作る
のが難しい箇所です。

こういった場合は、例えば組織内で知見のある方を担当として、
その人が作業する前提にしてしまっても構いません。

もちろん、その人がいない（休み、出張）場合でも対応できるのが
理想ですが、理想を追求するあまり手順書が作れないようでは本末
転倒です。

それくらいなら、属人的でもいいから手順書を完成させる方が
ずっとずっと建設的です。属人的だって手順書があるのとないの
とでは大違いですから。

まずは、書けることから手を付ければ良いのです。
改善はその後でもいいのです。

「試しに手順書を作ってみるか」くらいの軽い気持ちで始めて
みてはいかがでしょうか。

今回は「Ｄ：対応をする」の手順について解説をしました。
次回もお楽しみに。

今回登場した用語

○インシデント
　セキュリティインシデントのことで、情報セキュリティ上の
　トラブルや事故を示す。
　英単語としては「事件」と訳するのが一般的だが、本メルマガ
　では「事故」と表記している。

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、
　それが総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　結果、狭義のウイルスと広義のウイルスの２つの意味にかなりの
　差が生まれてしまった。
　この両方を「ウイルス」で表記していると区別がつきにくくなる
　ため、マルウェアという言葉を「悪さをするソフトウェア」の
　総称として使いはじめた。
　2020年現在、ウイルスという言葉はマルウェアの一つの形式扱い
　ということで専門家の間では定着した。一般ユーザにも広がりつつ
　あるが、「ウイルス」と呼ぶ人もまだまだ多い。

○マルウェア対策ソフト
　ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
　れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
　ＰＣを守ることを目的としたソフト。多くの場合、マルウェア
　対策のみの製品、怪しげなサイト（フィッシングサイトなど）
　へのアクセス制御を加えた製品、といった複数の製品をライン
　アップしている。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html