前回に引き続き、情報セキュリティの対策の分類についてお話しします。
前回は脅威の内容をもとに対策の分類を行うということで、技術的対策、人的対策、物理的対策とそれをまとめる組織的(管理的)対策という視点で分類しました。
今回は脅威に対する時系列、もっと言うと起きてしまったインシデント(事態)も含めて、それぞれのタイミングで対応する視点で対策を分類していきます。
抑止的対策
まずは、セキュリティインシデントを発生させないための対策があります。つまり、抑止的対策です。国レベルであれば、法制度を整備するですし、企業レベルであれば、発生しそうな不正行為とその対策の明文化と教育、抑止効果を高めるための罰則を決めます。
特にこの中でセキュリティ教育は重要で、どんなに技術的な対策を施しても、権限を持った内部犯行は防ぐことは難しいです。同様に最近増えている、標的型攻撃はかなり巧妙に作られており、セキュリティ教育を受けていない社員であれば、高頻度で引っかかる可能性が高い状況になっています。
また、セキュリティに関わる情報や対策は日々更新されており、セキュリティ教育は1回やればOKという状態ではありません。入社時だけでなく、最低でも年1回ぐらいは定期的に行える体制作りが必要だと思います。
予防的対策
次にこれと対をなす形で外部の悪意のある行為から情報資産を守るための対策、予防的対策です。具体的にはIDとパスワードを設定し、ユーザー認証によるデータへのアクセス制限や権限を割り振って、不必要なデータにアクセスさせないアクセス制御、盗難後にデータが閲覧できないようにする暗号化や通信自体の暗号化、ウイルス対策やファイアウォールによる悪意あるアクセスの防御といった技術的対策が不可欠です。
次からは残念ながらセキュリティインシデントが発生してしまった場合以降での対策です。自然災害発生時の避難訓練を適切に行うためには避難に際してのルールや対策が必要なようにセキュリティインシデント発生時に被害を最小限にして、二度と発生しないためには対策をしっかり準備しておく必要があります。
インシデントが発生したかどうかをできるだけ早く把握するための対策が検知的対策です。ウイルス検知ソフトによる感染メッセージはもちろん、ファイアウォールによる侵入検知、定期的なアクセスログ分析による異常アクセスの検知など、ソフトウェアによる対策が多いですが、これを誰がいつどのように確認し、関係者に周知するかという組織的対策もあります。
是正的対策
次は発生後の対策です。まずは応急処置を含む是正的対策になります。具体的には、ウイルス感染であれば、感染パソコンのネットワーク切り離しやワクチンソフトの適用、今後、必要なデータがあれば抽出できるかどうかの試行、感染パソコンの使用者はもちろん、周囲の関係者への情報共有、状況によっては外部専門家への連絡と対策協議といった形になります。情報漏えいの場合関係業務の一時制限による漏えい防止や被害状況の確認といったことも行います。
回復・復旧的対策
その後、落ち着いたら回復・復旧的対策を行います。パソコンの初期化もしくは破棄・購入とデータバックアップからのリストアや利用できるようにするための設定等を行います。さらに被害届を適切な公的機関に送るとともに業務に支障が出る場合は関係企業への連絡・謝罪対応、業務の一部応急処置的対応の決定と実施といった感じです。
さらに再発防止のために、原因追及としてログの分析や発生経緯のヒヤリングや発生後の対処内容をまとめて、記録として整備します。必要に応じて、セキュリティ対策の見直しや関係社員への追加教育といったこともあると思います。
このように時系列的に発生を想定して対策を準備することで発生時に最小限でかつ最短でインシデントに対応できるようすることが大切です。