セキュリティインシデント対応マニュアル作成

説明

目標は、情報セキュリティインシデント(SNS炎上まで含む広義のもの)が発生した場合に、影響を最小限に留めること。OPAP-JPで現実に機能するものである必要がある。

作成するマニュアルは以下の3種類になると思われる。

  • OPAP-JP関係者向け

  • CSIRT内部向け

  • 一般向け

OPAP-JP関係者向け、一般向けは原則として公開され、CSIRT向けは念のためCSIRT内部機密扱いとする。一般向けは、OPAP-JP関係者向け、CSIRT向けのものをアレンジし、外部の人が役立てるものを目指す。(例えば、Twitterアカウント乗っ取りの対処法など)

複雑な規程になってはいけない。

Activity

Show:
0たか
March 12, 2018, 12:51 AM

①インシデントを発見したメンバーがまずやること
a) 記録
b) 報告
c) 拡大防止策(必要に応じ)

a) 記録
現在の状況を記録/保存する、直前までにどんな操作をしたのかの記録をつける、のようなこと
 
b) メンバー→CSIRT の報告
セキュリティインシデントの被害者が、自らの保身のために評価が甘くなってしまうことは確かに十分ありうることだと思います。いろいろな例を挙げておいて「これに近い状況になっている場合は連絡してください」としたほうが良いかもしれませんね。(作画データの入ったUSBメモリを紛失してしまった、など)
アマゾンギフト券の報奨金は良いアイデアだと思います。インシデント評価結果などによって報奨金のグレードをつけても良いかもしれません。
 
c) メンバーの初動対応(拡大防止策)
インシデントを発見したユーザーがその場で対応しようとすることは望ましいことではないですが、OPAP-JPの性質上被害拡大防止策を自身で行う他仕方がない、ということですね。
メンバー自身の即時対応(ネットワーク切断など)が必要なインシデントはある程度限られていると思うので、いくつかのパターンに分類し、具体例を用いて説明していく形がたしかにスッキリとしそうですね。

②連絡を受けたCSIRTがまずやること
・インシデントの簡易評価(トリアージ)
・記録(スナップショットの保存など)
・事実の確認
・初動処理(ネットワーク切断など)

③CSIRTが次にやること
・影響範囲の特定
・関係機関への連絡
・要因の特定
・復旧

④インシデントが落ち着いてからCSIRTがやること
・インシデント分析
・再発防止策
・対策マニュアルの見直し・改善
・報告
・報奨金の支払い

大体の対応の流れはこんな感じでしょうか。

コンピュータセキュリティインシデント対応ガイド--IST(訳:IPA)
https://www.ipa.go.jp/files/000025341.pdf

↑こんなものがありました。かなり参考になりそうです。

井二かける
February 21, 2018, 8:35 AM

少なくとも対応要否についてはCSIRT内のトリアージ担当が決定する必要があると思います。特に当事者にとってはマルウェアの被害に遭ったなどという恥ずかしいことは隠しておきたいわけですから、「OPAP-JP管轄外」と判定する可能性が高いと思います。

CSIRTとしては自組織周辺のインシデントについてできるだけ多くの情報が寄せられる状態が望ましいわけですから、余部課長や芽依が隠蔽したり、外部通報に気づかなかったりというケースをいかに予防するかが重要です。場合によっては500円のアマゾンギフトの報奨金といった制度も必要かもしれません。

ただ、平日日中に対応できる人員をCSIRTに置くことができないのがOPAP-JPの組織特性ですから、数時間から数日間はまともに対応できない可能性もあります。しかも各個人の端末を調査しに出向くこともできません。

そうなると、マルウェア感染やSNS炎上といった即時対応を要する事象においては、初動対応はCSIRTでは行えない可能性も高く、最低限の被害拡大防止策を個々のメンバーで実施する必要があります。

マニュアルとしては、基本的にインシデントについてはCSIRTに報告する、即時対応が必要なものは具体例を挙げて防護措置をとってもらう形になるのかなと考えています

0たか
February 18, 2018, 8:00 PM

トリアージは一般的なメンバーが問題を見つけた時にそれをCSIRTに報告するべきかという基準を示すものを想定していました。「あやしいと思ったことは何でも報告してください」という方式よりは「こういった条件を満たした事案が生じたときはCSIRTに報告してください」としたほうが何を報告すればよいのか分かりやすく、報告しやすいと思ったので。

例えば、一つの案として、
(1) OPAP-JPに関係するか(直接的あるいは間接的にOPAP-JPに影響があるか)
(2) セキュリティインシデント*に該当するか
(3) その状況は現在も進行していて被害が拡大すると考えられるか(緊急性が高いか)
(4) その他の場合で、CSIRTに報告の必要がある状況
のような条件で、

赤:今すぐにCSIRTに報告を!!
黄:CSIRTに報告を!
緑:セキュリティインシデントではないので、必要に応じCSIRTではなく代表理事に報告を。
黒:OPAP-JPの管轄外
みたいな感じに分けると良いのかなとおもったり...(まだ粗削りですが)

*マニュアルで扱うセキュリティインシデントの範囲をどう定義するかというのは難しいところですが、
個人的には「セキュリティのCIAのいずれかに対する被害または脅威」とすると分かりやすいと思います。
ただ、こうすると以下の点は課題になりますね。

①一般向けへの説明が難しくなってしまう
例えば以下のような感じでしょうか...
・ある情報を、見てはいけない人に見られるようになっている、見られてしまった、見られてしまうかもしれない(機密性)
・ある情報が、正しくない、欠けている、消えた、なりすまされた(完全性)
・ある情報に、アクセスしたい時にアクセスできない、アクセスに時間がかかる(可用性)

②SNS炎上の位置づけが難しい
機密情報が漏洩して炎上したら機密性の障害、不正確な情報が炎上したら完全性の障害、炎上したことによりシステムや業務に負荷がかかったら可用性の障害と捉えるべきなのかも。

井二かける
January 23, 2018, 6:33 AM

ありがとうございます。ただ、一般的なメンバーが適切にトリアージを実施できるとは限らないので、全員がトリアージする必要はないかもしれません。
少なくともトリアージの結果がどうあれすべての情報をCSIRTに集約して再トリアージする必要があると思います。

OPAP-JPの組織的特徴は、以下の感じでしょうか。

  • 全員がリモートワーク

  • 会員、外注含めインターネットを利用できる人のみ参加している(インターネットが利用できない人は参加する手段が殆どない)

  • 業務プロセスの大半が公開されているため機密情報はそれほど多くない(あるにはある)

  • 端末は個人所有端末

方向性が固まったら、リスクアセスメントをする必要がありそうですね

0たか
January 20, 2018, 11:22 PM

OPAP-JP セキュリティインシデント対応マニュアルの独自性として、
1. 内容が理解しやすいこと
2. 文字だけではなく視覚的な表現
3. デジタル技術を活用すること
が大切なのではと思います。
(ただ、一般公開しない内部向けの資料に関しては必ずしも独自性を出す必要性はないと考えています。)

厳密性・網羅性よりもわかりやすさを重視する方向性でいいと思います。

大まかな構成については叩き台の通り
1. 基本原則
2. 状況別の対応方法
3. 関連資料(緊急連絡先など)
という流れが確かにわかりやすいと思います

1. 基本原則については、災害現場のトリアージの方法などを参考にセキュリティインシデントを状況の重大性・緊急性を基準に、緑、黄、赤、(黒)に分類をし、色ごとにどんな対応を取ったらいいのかをまとめていくとわかりやすい形になるのではと思ったので提案しておきます。

2. 状況別の対応方法については、Q&A形式や逆引き事典みたいな感じで項目を作って、チェックリストで手順をまとめていくとよいのかなと思ったり...
状況別のセキュリティインシデントとして具体的に何を取り上げてどう体系化(分類)するかは要検討事項ですね。

担当者

0たか

報告者

井二かける

ラベル

None

外注作業者

None

ひとこと備考

None

優先度

重大