IPA 中小企業のためのセキュリティインシデント対応の手引き を書き起こしておく
なぜ作成したのか
- 一般的な対応の流れを学びなおしておく
参考
中小企業のためのセキュリティインシデント対応の手引き
概要
本資料は、中小企業におけるセキュリティインシデント発生時の対応手順を3つのステップに分けて説明します。
- 検知・初動対応
- 報告・公表
- 復旧・再発防止
セキュリティインシデント対応の必要性・目的
- セキュリティインシデントとは、セキュリティの事故・出来事のことです。単に「インシデント」とも呼ばれます。例えば、情報の漏えいや改ざん、破壊・消失、情報システムの機能停止またはこれらにつながる可能性のある事象等がインシデントに該当します。
- インシデント発生による直接的な被害として、攻撃者による不正送金や金銭要求、対応人件費、原因調査や復旧のための外部委託費、復旧までの代替品費、取引先・顧客等への謝罪対応費、法的対応のための弁護士費用等の金銭的被害があります。間接的な被害として、関係者への被害波及、会社の信用低下、事業停止による機会損失等があります。
- インシデント対応の目的は、インシデント発生によるこれら被害とその影響範囲を最小限に抑え、迅速に復旧し、再発を防止することで、 企業の事業継続を確保することです
セキュリティインシデント対応のステップ
ステップ1: 検知・初動対応
検知と連絡受付
- インシデントが疑われる兆候や発生を発見した場合、情報セキュリティ責任者に報告します。
- 外部から通報があった場合は、通報者の連絡先を控えます。
対応体制の構築
- 情報セキュリティ責任者は、対応すべきインシデントであると判断したら、速やかに経営者に報告します。
- 経営者は、インシデントが事業や顧客に与える影響を踏まえ、速やかにインシデント対応のための体制を立ち上げ、あらかじめ策定している対応方針に従い、責任者と担当者を定めて、役割分担を明確にします。
初動対応
- 初動対応として、対象となる情報が外部からアクセスできる状態にある場合や、被害が広がる可能性がある場合は、ネットワークの遮断、情報や対象機器の隔離、システムやサービスの停止を行います。
- ただし、対象機器の電源を切る等、不用意な操作でシステム上に残された記録を消さないようにします。
ステップ2: 報告・公表
第一報
- すべての関係者への通知が困難な場合や、インシデントの影響が広く一般に及ぶ場合は、状況をウェブサイトや、メディアを通じて公表します。公表によって被害の拡大を招かないよう、時期、内容、対象などを考慮します。
- 顧客や消費者に関係する場合は受付専用の問い合わせ窓口を開設し、被害が発生・拡大した場合にはその動向を速やかに把握し対応します。
第二報・最終報
- 被害者や、影響を及ぼした取引先や顧客に対して、インシデントの対応状況や再発防止策等に関して報告します。また、被害者に対する損害の補償等を、必要に応じて行います。
- 個人情報漏えいの場合は個人情報保護委員会、業法等で求められる場合は所管の省庁等、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合はIPAへ届け出ます
ステップ3: 復旧・再発防止
調査・対応
- 5W1H(いつ、どこで、誰が、誰を、何を、なぜ、どうした)を使って情報を整理し、原因を調査します。
- 対応方針を基に、原因を調査し、修正プログラムの適用、設定変更、機器の入替データの復元等、必要な修復を行います。
- 自社で対応が難しい場合は、IT製品のメーカー、保守ベンダー等の外部専門組織や公的機関の相談窓口等に支援、助言を求めます。
- 対応中は、状況や事業への影響等について経営者に適時報告します。
証拠保全
- 訴訟対応等を見越して事実関係を裏付ける情報や証拠を保全し、必要に応じてフォレンジック調査(パソコンのハードディスク、メモリ内データ、サーバーやネットワーク機器のログ等の調査)を行います。
復旧
- 修復が確認できたら、システムやサービスを復旧し、経営者に結果を報告します。
再発防止
- 根本原因を分析し、新たな対策(技術、ルール、教育等)を実施して再発防止を行います。
事象ごとの対応のポイント
- ウイルス感染・ランサムウェア感染: 感染した端末をネットワークから切り離し、適切なバックアップがあることが被害拡大防止の鍵となります。
- 情報漏えい: 不正アクセスや内部犯行による漏えいの可能性がある場合、速やかに警察へ届け出が必要です。
- システム停止: サイバー攻撃や機器の故障等によりシステムが停止した場合、原因が不明でもセキュリティ対策を含めた対応が求められます。
インシデント発生時に整理しておくべき事項
| 項目 | 内容 |
|---|---|
| インシデントの分類 | 情報漏えい 、ウィルス感染、システム停止など |
| 事業者 | 事業者の名称 ※自社の受託案件に関連したインシデントの場合は委託元含む関係事業者の名称 |
| 担当者・責任者 | 本件に関する責任者および担当者の所属、氏名 |
| 発覚日時 | 調査で判明したインシデントの発生日時 |
| 発生日時 | インシデントを認知した日時 |
| 発生事象 | 表面化している事柄、被害、影響など |
| 対応経過 | 発生から現時点までの時系列での経過 |
| 想定される原因 | 現時点で想定される直接的な原因 |
| 被害を受けたシステムの状況 | 被害を受けたシステムの概要・詳細 |
| システム構成・運用状況 | システムの物理的所在地やOS、アプリケーションとバージョン構成 ※可能であれば簡単な構成図等も併記 システムの運用状況やセキュリティツール・サービスの利用状況等 |
関連:付録C サイバーセキュリティインシデントに備えるための参考情報(Excel形式)
インシデント発生時の相談窓口
-
情報セキュリティに関する技術的な相談
IPA: https://www.ipa.go.jp/security/anshin/index.html -
サイバー犯罪に関する相談
都道府県警察本部のサイバー犯罪相談窓口: https://www.npa.go.jp/bureau/cyber/soudan.html
インシデント発生時の報告先
-
ウイルス・不正アクセスに関する届出
IPA: https://www.ipa.go.jp/security/todokede/crack-virus/about.html -
個人情報漏えいの報告
個人情報保護委員会: https://www.ppc.go.jp/personalinfo/legal/leakAction/
インシデント対応に役立つ情報
-
サイバー攻撃被害に係る情報の共有・公表ガイダンス
https://www.nisc.go.jp/council/cs/kyogikai/guidancekentoukai.html -
ランサムウェア対策特設ページ
https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html
参考資料
-
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html- 中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、
- 情報を安全に管理するための具体的な手順等を示したガイドライン
- 本編2部と付録より構成
- 経営者が認識すべき「3原則」、経営者がやらなければならない「重要7項目の取組」を記載(第1部)
- 情報セキュリティ対策の具体的な進め方を分かりやすく説明(第2部)
- すぐに使える「情報セキュリティ基本方針」や「情報セキュリティ関連規程」等のひな形を付録
- 中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、
-
情報セキュリティ関連規程(サンプル)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_uchu_sangyo/pdf/008_s04_00.pdf- 中小企業の情報セキュリティ対策ガイドラインでは、付録5「情報セキュリティ関連規程(サンプル)」にて情報セキュリティに関する事故対応や事業継続管理などのサンプル規程を提供
所感
- 会社のインシデントフローと比べてみよう
- 机上訓練資料は明日内容確認する
Discussion