セキュリティ対策の要点解説
第 12 回 緊急時対応 ~ Emergency response ~
公開日: 2006年12月27日
.gif)
マイクロソフト株式会社
セキュリティ レスポンス チーム
小野寺 匠 著
前回は、システム全体を見た場合に脆弱性の危険度をどの様に判断するかについて話しました。さて、今回は、12 回目という事で、このコラムをはじめて丁度一年が経ちました。一年の締めと言うわけではありませんが、丁度年末年始の連休が目の前に迫っていますので、長期休暇の間の緊急時対応について考えてみます。
緊急時対応というと、緊急時に「誰を呼び出すか」「責任者は誰か」という点に注目が集まりがちです。もちろん、責任者や担当者を明確にしておくことは非常に大切な要素ですが、それだけでは対応できません。まず、緊急時対応を実際に行う場合に、通常の業務から一旦離れて緊急事態を緩和するために全力を尽くすことになるわけですが、では、通常業務を緊急事態とはいえ止めてしまうことを誰が許可したのでしょうか?この判断は、中々現場レベルでは難しいものになります。そして、直接関連のない部門に協力をお願いするときに、この点が障壁になることもあります。それを防止し (気兼ねなく) 緊急事態に取り組むためにも、緊急事態を行う事と、担当者に最大限協力することを、経営者または、経営層の人が宣言することが最も大切なポイントになります。
次に、緊急事態に気づくための監視体制も重要です。経営層の支持や連絡体制が整っていても、誰が緊急事態であることを知らせてくれるのでしょうか?それが長期休暇中であれば尚更です。もしかしたら、ニュースや新聞が知らせてくれるかもしれませんが、その時は、社会的にも最大限に事態が悪化した後ととなり、対応が遅れがちになってしまいます。なにより、最近の攻撃や被害の特性として、特定の団体や企業を狙い撃ちする、Targeted attack が一般になっており、この場合、被害が進んだとしても、ニュースや新聞が知らせてくれることはありません。
だからこそ、“監視”が必要になってきます。常に誰かが監視している常時監視の状態が理想ですが、一般的な組織ではその対応は困難ですし、余り現実的ではないでしょう。そこで、部門内の持ち回りで、日に 1 度~数度の頻度で状況を確認すると言う方法もあります。しかし、せっかくのお休みが断続的に中断されてしまいますが、人手のみで導入可能であり、柔軟な判断が可能な方法でもあります。理想としては、一定の条件を満たした場合に、関係者にアラートが上がるような自動化された方法なのですが、その条件を設定するのが非常に難しいのです。ひとつ、マイクロソフト製品で“予定外”に緊急のセキュリティ更新の公開や、新たな攻撃を察知した場合には、セキュリティ警告サービスを通じてメールを配信しています。メールアドレスさえあれば、誰でも利用できる無償のサービスですから、携帯のメールアドレスを登録しておいてアラートの代わりに使うのも良いかもしれませんね。色々な方法はありますが、十分な体制は直ぐには整わないかもしれません。しかし、長期休暇の場合に「xxxxが発生したら・・・」と想像してみながら、体制を考えて出来る所から手を付けていくのも大切ではないでしょうか。
年の瀬に説教めいた内容になってしまいましたが、年末年始が平穏無事に過ぎ去り、新しい年明けを迎えられる事を願うばかりです。
関連サイト:
.jpg)
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。