プライスウォーターハウスクーパース シニアマネージャー。監査法人系コンサルティング会社およびITセキュリティ企業の取締役を経験後、現職。セキュリティ対策の評価・改善、セキュリティオペレーションセンター構築、CSIRT構築、インシデント対応等のサイバーセキュリティ関連サービスを提供。
第5回の「『防ぐこと』に偏ったセキュリティ投資の誤り」では、関連部門を巻き込んだ全社的なインシデント対応の体制やプロセスを整備することが必要だと述べた。今回は、重大なインシデントが発生した場合に備えて企業が整理しておくべき点について考える。特に、インシデントの公表に踏み切るかどうか、またその公表時期は重要な経営判断である。
セキュリティ上の「イベント」は日々膨大な量にのぼる。このうち、ITサービス等に悪影響を及ぼすものは「インシデント」としてセキュリティ統括部門に報告する必要がある。したがって、多くのイベントからインシデントを見分ける初動対応においてすべきことを事前に定義しておく必要がある。
「インシデント」が発生したと認められる場合は、その影響度に応じて報告先が異なるため、影響度を判断するために必要な情報の収集が不可欠である。影響度に応じて、社内にとどめておくべきか、監督官庁へ報告すべきか、世間一般に公表すべきかを判断する。社会的影響の大きいインシデントである場合は、調査委員会を組成して世間一般に広く公表すべき場合もある。
このようなインシデントの影響度を加味した報告フローを整備し、報告用のフォーマットも用意しておけば、いざという時に慌てず行動に移すことができる。
そもそもイベントとインシデントはどう違うのか? イベントはセキュリティ装置のアラームやエラー、ヘルプデスク窓口への報告など、何らかのセキュリティ侵害の原因となり得る事象を指す。一方、インシデントは、これらのイベントが単独、または複合的に組み合わさることで発生するセキュリティ侵害またはその懸念を指す。