No169 手順書作成は効果的なセキュリティ事故対策

前回と、前々回では組織メンバが怪しげなメールの添付ファイルを
間違って開いてしまった場合の対応について解説しました。

その中でインシデント（事故。詳細は文末参照）対応手順書の効用
を書きましたが、実際に見よう見まねで作るのは大変です。

もちろん、世にはインシデント対応の手順書の作り方を書いたもの
はいろいろありますが、大きな組織向けで内容が高度なものが多い
ようです。

これを参考にして頑張るのは素晴らしいことですが、だからといっ
て「こんなのウチにはムリムリ」とあきらめるのは早すぎます。

身も蓋もない言い方になりますが、事故が起きるときはたいてい
想定外のことが起きます。前回も書いたように完璧な手順書
なんて書けないのですから、「がんばりすぎない」精神で良い
ので、書ける範囲でいきましょう。

とはいえ、この手順書の作り方についてはとても一回では書ききれ
ないため、数回の連載になります。よろしくお付き合いください。

1. セキュリティ事故対応手順書はたくさん必要

作成にあたっては、どんなトラブル／事故を対象とした手順書を
作るのかを決めましょう。
一言でセキュリティ事故といっても、内容はさまざまです。

　・ＰＣ（パソコン）やネットワーク機器の故障
　・ＰＣやUSBメモリ、資料の紛失
　・怪しげなメールの添付書類を誤って開いた
　・インターネット上の怪しげなサイトへのアクセス
　・ＰＣの動作が変（遅い、妙な画面が出るなど）
　・ホームページが勝手に変更されている
　・組織外からの指摘（変なメールが来たなど）
　などなど。

取るべき対策はそれぞれ違いますから、手順書はそれぞれに必要
です。

とはいっても、全部を一気に作るのは不可能ですので、ひとつ
ひとつ作っていくしかありません。

自分たちの組織の視点で、いざ発生した時に対応に困りそうな
テーマから優先して作っていきましょう。

2. 手順書の構成

細かい点は異なりますが、どのようなケースでも全体の流れは
次のようになります。

Ａ：通報
　　→事象を発見した人（当事者）の作業
Ｂ：組織内への周知
　　→セキュリティ担当者の作業
Ｃ：情報収集と判断
　　→セキュリティ担当者の作業
Ｄ：対応をする
　　→セキュリティ担当者の作業と当事者の共同作業
Ｅ：社内報告（事後作業）
　　→セキュリティ担当者の作業
Ｆ：再発予防策の検討と実施（事後作業）
　　→セキュリティ担当者の作業

この６つのポイントに加えて事象ごとの事情を考慮して項目を
加えます。

本当は「Ａ：通報」のまだ前に通報の要否をチェックする手順
「検出」というのがあるのですが、その基準は組織のセキュリ
ティの考え方によって大きく異なります。

ここでは一番ゆるい基準、つまり「当事者が怪しい、危ないと
思ったら通報」という基準としています。

この基準を厳しくすれば、通報量が増え、セキュリティ担当者
の作業も増えます。それで業務が回らなくなるようでは本末転倒
です。「がんばりすぎない」ことはこの点でも大切です。

この６つのポイントから「添付メールを間違って開いた場合の
手順書」を作る手順を見ていきましょう。

3. 添付メールを間違って開いた時の手順書の構成

実際に、事象が発生した時のことを想像し、自分たちにとって
必要な内容をこの手順に加えます。

このケースなら、被害を広げないことが何よりも大切ですから、
最初にその対策を加えましょう。

これ以外にも組織にとって必要と思う手順があれば加えてくだ
さい。

結果、次のようになります。

Ａ-1：ＰＣのネットワークからの切り離し
Ａ-2：通報
Ｂ：組織内への周知
Ｃ：情報収集と判断
Ｄ：対応をする
Ｅ：社内報告（事後作業）
Ｆ：再発予防策の検討と実施（事後作業）

「添付メールを間違って開いた時の手順書」はこの構成で記述する
ことにしましょう。

以下では、ひとつひとつの項目の詳しい手順書を作っていきます。

4. Ａ-1：ＰＣのネットワークからの切り離し

前々回にも書きましたが、ＰＣがマルウェア（いわゆるウイルス。
詳細は文末参照）に侵された可能性がある場合、最初にＰＣを
ネットワークから切り離す作業が必要となります。

マルウェアが動き始めるとネットワーク内のほかのマシンに感染を
広げよう（コピーを作ろう）とします。
感染を広げないためには、ネットワーク接続を切断した状態とする
ことが大切だからです。

これを手順書で記載する場合は例えば次のようになります。

○最初に行うこと
　1)被害を受けたＰＣ（パソコン）が有線LANに接続している場合、ネット
　　ワークケーブルを被害ＰＣから外します。
　2)ＰＣが無線LANに接続している場合、無線LANを無効にします。
　3)ＰＣがネットワークに接続できないことを確認します。
　　具体的にはブラウザでネット接続エラーとなることを確認
　　します。
　4)セキュリティ担当者から指示があるまで、そのＰＣには手を
　　触れないようにしてください。

5. どこまで書くかが手順書の難しさ

さて、上記はものすごく端折った書き方で、いろんな知識がある
ことを前提にしています。

・有線LANと無線LANの違い
・ネットワークケーブルの知識
・無線LANの無効化の方法
・ブラウザとは何かの理解
・ネットワーク未接続でブラウザを使った時のエラー内容

セキュリティ事故の手順書は全メンバがわからなければ意味が
ありません。
この手順書が必要な時、メンバはかなりテンパっています。
普段は冷静な人も思いがけない行動を取る可能性があります。

ですので、組織内メンバの知識を過信せず、少々冗長なくらいに
記述すべきです。

もし、ネットワークケーブルをわからないメンバがいるなら、その
写真を手順書に入れるべきですし、はずす方法の記載も必要です。
無線LANの無効化、ブラウザでのエラー確認方法なども同様です。

逆に社内はすべて無線LANというのであれば、有線LANの記述は
不要でしょうし、メンバ全員がWebシステム開発担当者なら
ブラウザの説明をくどくど書くのは無駄です。

この「どこまで書けばメンバが確実に作業できるのか？」は手順書
を作るうえで非常に悩ましい話です。

メンバの手順書に対する理解度を高めるためには、何度も書いている
防災訓練が効果的です。
実際に手と体を動かして手順書通りに作業を行うと圧倒的に理解が
深まります。
「百聞は一見にしかず」なのです。

最初の一項目だけで随分な長さになりました。
非常に中途半端ですが、今回はここまでとします。

次回もお楽しみに。

今回登場した用語

○インシデント
　セキュリティインシデントのことで、情報セキュリティ上の
　トラブルや事故を示す。
　英単語としては「事件」と訳するのが一般的だが、本メルマガ
　では「事故」と表記している。

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、
　それが総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　結果、狭義のウイルスと広義のウイルスの２つの意味にかなりの
　差が生まれてしまった。
　この両方を「ウイルス」で表記していると区別がつきにくくなる
　ため、マルウェアという言葉を「悪さをするソフトウェア」の
　総称として使いはじめた。
　2020年現在、ウイルスという言葉はマルウェアの一つの形式扱い
　ということで専門家の間では定着した。一般ユーザにも広がりつつ
　あるが、「ウイルス」と呼ぶ人もまだまだ多い。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html