

●SOCの設立
チョークポイントをはじめとした検知するポイントを明確にし、どのようなログがあれば検知可能かを検討して、そのログを集中的に監視する。このようにログを集中監視するための仕組みや体制、つまりセキュリティオペレーションセンター(SOC)を企業内に整備する必要がある。
●アラートと初動対応
アラートが発行された際、理由を明確に理解し、適切な初動対応を取らなければならない。つまり、アラートと初動対応を必ずセットにして事前に考えておく必要がある。そうしないと、何も行動がとれないままアラートばかりが発行され、結局、“使えないシステム”として投資が無駄になりかねない。
ログを集中的に監視して、サイバー攻撃を検知するソリューションとして、SIEM(Security Information & Event Management)が注目されている。このソリューションの活用にも、前述の脅威シナリオに基づくログの監視設計が不可欠だ。
●インシデント対応プロセスの整備
自社でサイバー攻撃によるインシデントが発生した際、速やかに対処できる自信があるだろうか? あれよあれよという間に被害はどんどん広がり、インシデントの原因も特定できないまま、顧客や取引先、監督官庁への報告もできずに時間ばかりが経過しているようでは、企業としてステークホルダーに対する説明責任を果たせているとは言えない。
したがって、平時からインシデントが発生した際の対応体制を整備しておく必要がある。自社におけるインシデント対応のプロセスはどのようなものであるか、そして、そのプロセスにおいて、どの組織の誰がどのような役割を担うのかを綿密に設計しておかなければならない【図1】。
その設計内容は、インシデント対応規程のような社内の正式なルールとして効力を持たせる必要がある。さらには、策定したインシデント対応規程に基づき演習をやってみることで、ルールの有効性について検証し、不備があれば改善することが可能だ。演習といっても、はじめから大がかりなものは必要ない。インシデント対応プロセスにおける登場人物が会議室に集まり、規程の読みあわせから始めるのがよいだろう。