インシデント対応とは？クラウド上での予防方法

ITを運用や利用していると、必ず直面する課題の一つがインシデントです。
インシデント（incident）とは、「出来事、小事件」などを表す英語で、好ましくない事象を指し、IT分野のほか医療分野や航空分野などでも使われている用語です。IT分野において、ITサービスでは「ITサービスの中断」を、情報セキュリティでは「情報資産に対する侵害」を指します。

多くの企業がITサービスを利用しながら業務を行っている現在、インシデントの発生はどの企業にとっても脅威です。
本コラムでは、特にクラウド上におけるインシデント発生に対し、どのように対応すれば良いか解説いたします。

【関連記事】
～CISOの悩み～日本企業のセキュリティ対策

インシデントとは

インシデント（incident）とは、もともと「出来事、小事件」などを表す英語です。IT分野のほか医療分野や航空分野、鉄道分野などでも使われており、いずれにおいても好ましくない事象を指す用語です。

IT分野においては、ITサービスでは「ITサービスの中断」を、情報セキュリティでは「情報資産に対する侵害」を指します。

クラウドで起こり得るインシデントとは

近年、DXの推進やテレワークの浸透などもあり、クラウドコンピューティングの利用が広がっています。
そこで、ここでは、クラウドを利用する中で発生し得るインシデントを「パスワード管理によるインシデント」と「設定ミスによるインシデント」の二つに分けてご紹介いたします。

パスワード管理によるインシデント

クラウドを利用する際のパスワードは、クラウドのプロバイダーが初期設定していたものを、後からユーザーが好きなパスワードへ変更して利用するケースが多いです。この時、当初のパスワードが堅牢なものであったのに、ユーザーが変更したものは見破られやすい簡単なものに設定されてしまうことがあります。

たとえば、短いパスワードや特定の単語を英語やローマ字にしただけのパスワードなど、サイバー攻撃者から推測されやすいものを設定してしまうと、不正アクセスにより不正利用や情報漏えいにつながる恐れがあります。

設定ミスによるインシデント

たとえば、本来は閉じていなければならないはずのポートを開いてまま、クラウドサービスを利用していたり、本来は非公開や編集不可に設定しておくべきコンテンツがダウンロードできる状態に設定されていたりなど、ユーザー企業側で行った設定が誤っていたことによりサイバー攻撃者に悪用されて不正アクセスされ、情報漏えいや改ざんなどにつながるケースもあります。また、機密情報の公開設定など、設定ミスの内容によっては、サイバー攻撃を受けなくても、それだけで情報漏えいにつながるケースもあります。

クラウドサービスの利用時は、IaaS、PaaS、SaaSによって異なるセキュリティ責任範囲が異なることを理解した上で、初期設定の内容を把握し、適切な設定へ変更を行う必要があります。

インシデント対応の4ステップ

では、実際にインシデントが起きてしまった際は、どのような手順で対応したら良いのでしょうか？
ここでは、クラウドコンピューティング利用時に限らず、インシデントが発生した際の対応を4ステップでご紹介いたします。

STEP1　準備

「STEP1　準備」に関しては、実際にインシデントが発生する前に行っておく必要があります。
まずは、インシデント対応に当たる組織、たとえば、SOC（Security Operation Center）や、CSIRT（Computer Security Incident Response Team）を設けます。
次に、いざインシデントが起きた際にどのような指揮命令系統で連絡を行うかを決め、復旧までの対応手順を策定しておきましょう。

そして、インシデントが起きる前に対策しておくべきことを検討します。たとえば、従業員に対して情報セキュリティに対する意識を高めるための研修の実施、ソフトウェア類のアップデートの徹底、次世代ファイアウォールやマルウェア対策ソフトなどの導入といった対策が挙げられます。
さらに、ネットワークにおいては、24時間365日体制で監視を行い、ログを取得しましょう。

STEP2　検知分析

STEP1で準備したネットワーク監視で設置しているツールや取得しているログ情報から、インシデント対応組織は、ネットワークで何が起こっているかを把握します。そして、インシデントが起きていれば検知し、プライオリティ（優先順位）を付けて関係各所へ連絡を行ってから、インシデントの原因を特定します。
この時、EDRソリューションを活用することで、インシデントが疑われるイベントを自動で特定してくれるなど、担当者の分析作業をサポートしてくれます。

【関連記事】
EDRとは？未知のサイバー攻撃から端末を守る対策を知る

また、ネットワーク監視からだけでなく、従業員からの「不審なメールの添付ファイルを開いてしまった」といった連絡からインシデントを検知するケースもあります。

STEP3　封じ込め

インシデントが特定されたら、その影響が広がらないよう、封じ込めを行います。たとえば、PCなどのデバイスをネットワークから隔離したり、サーバーを停止したりといった対処が考えられます。

このフェーズには「復旧」までが含まれます。復旧には数ヵ月の期間がかかるケースもあり、この場合、復旧対応と並行して次の「STEP4　事後活動」に含まれる、再発防止策の検討・実行も行う必要があります。

STEP4　事後活動

復旧が完了したら、事後活動として、インシデント対応について時系列で説明した報告書を作成し、社内外の関係各所へ提出します。報告書によって、関係者はインシデントの原因を把握し、再発防止のための対策について理解できます。

再発防止策については、仮説を立案し、実際に検証して初めて防止策として成立します。また、防止策を実施してからも、その後のインシデントにおいて有用であったかどうかを確認しながら継続的に改善を加えていく必要があります。

まとめ

IT分野の中の情報セキュリティにおけるインシデントの意味や、クラウドコンピューティング利用時のインシデントの原因、インシデント対応手順についてご紹介しました。

インシデントは、外部からのサイバー攻撃によって起きるだけでなく、ユーザー側のミスによる、内部犯行によっても起こり得ます。ご紹介したように、インシデント対応の組織をつくり、ネットワーク監視や従業員の教育、設定の確認などに努め、防げるインシデントは未然に防いでいきましょう。

ＩＴでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

お問い合わせ