【SG試験】インシデント対応とBCP|「もしも」の時に組織を止めるな

IT資格

情報セキュリティ対策において、最も重要な考え方のひとつが「完璧な防御は存在しない」ということです。どれほど強固なファイアウォールを築き、徹底した社員教育を行っても、新種のウイルスや予期せぬ人的ミス、あるいは自然災害による被害をゼロにすることは不可能です。

そこで重要になるのが、事故(インシデント)が発生した際に、被害を最小限に抑え、いかに素早く業務を復旧させるかという「事後対応」の能力です。今回は、SG試験でも頻出するインシデント対応の体制と、事業を継続するための計画(BCP)について詳しく解説します。

司令塔となる組織「CSIRT(シーサート)」

情報セキュリティインシデント(ウイルス感染、情報漏洩、システムダウンなど)が発生した際、中心となって対応にあたるチームをCSIRT(Computer Security Incident Response Team)と呼びます。

CSIRTの役割

CSIRTは、平時には情報の収集や注意喚起を行い、有事(インシデント発生時)には現場の指揮を執ります。

  • トリアージ: 発生した事象の優先順位を判断し、迅速に対応の道筋を立てる。
  • 連絡・調整: 経営層、法務部門、広報、そして外部の警察やIPA(JPCERT/CCなど)との窓口になる。

試験では、社内だけでなく社外のCSIRT(日本を代表するJPCERT/CCなど)との連携についても問われることがあります。

インシデント対応の5ステップ

事故が起きてから収束するまでには、決まった手順があります。科目Bの事例問題では、この流れのどこに不備があったかを問われるのが定番です。

  1. 検知・報告: 従業員が「PCの挙動がおかしい」と気づき、即座に報告する。
  2. 初動対応(隔離): 被害の拡大を防ぐため、感染疑いのあるPCをネットワークから切り離す(LANケーブルを抜く、Wi-Fiを切る)。
  3. 調査・分析: 何が原因か、どこまで情報が漏れたかを確認する(ログの解析など)。
  4. 根絶・復旧: ウイルスの除去や脆弱性の修正を行い、バックアップからデータを復元する。
  5. 事後活動(再発防止): なぜ起きたのかを分析し、対策基準を見直す。

特に「初動対応でのネットワーク隔離」は、二次被害を防ぐための最優先事項として試験に頻出します。

証拠を残す技術「デジタルフォレンジック」

インシデントが発生した際、法的な証拠や原因追及のために、デジタルデータを保全・解析する手法をデジタルフォレンジックと呼びます。

  • 証拠保全: 調査中にデータが書き換わらないよう、ディスクのコピー(イメージ作成)を取る。
  • 解析: 削除されたファイルを復元したり、通信ログから攻撃者の足跡を辿ったりする。

「まず再起動してウイルススキャンをする」という行動は、メモリ上の証拠(マルウェアの活動痕跡)を消してしまう可能性があるため、フォレンジックの観点からは注意が必要です。

組織を止めないための「BCP(事業継続計画)」

セキュリティ事故だけでなく、大規模な自然災害やテロなどが発生した際に、重要業務を中断させない(または許容範囲内で早期復旧させる)ための計画がBCP(Business Continuity Plan)です。

BCPの重要キーワード

試験対策として、以下の3つの指標をセットで覚えましょう。

  • RTO(目標復旧時間): いつまでに復旧させるか(時間の目標)。
  • RPO(目標復旧時点): どの時点の状態まで戻すか(データの新しさの目標)。
  • RLO(目標復旧レベル): どの程度の業務水準まで戻すか(業務量の目標)。

例えば、銀行の基幹システムならRTOは「数分以内」、バックアップのRPOは「数秒前まで」といった厳しい設定が求められます。

バックアップの方式と運用

BCPを実現するための具体的な技術的手段が「バックアップ」です。

  • フルバックアップ: すべてのデータを保存する。復旧は早いが、保存に時間がかかる。
  • 差分バックアップ: フルバックアップ後、変更されたすべてのデータを保存する。
  • 増分バックアップ: 前回のバックアップから変更された分だけを保存する。保存は早いが、復旧(リストア)に手間がかかる。

また、バックアップデータ自体がランサムウェアに感染したり、災害で物理的に破壊されたりしないよう、「オフライン保管」「遠隔地保管」を行うことがマネジメント上の重要なポイントです。

まとめ:「もしも」の時に動ける組織へ

インシデント対応もBCPも、共通しているのは「事前の準備と訓練」がすべてだということです。

SG試験の学習を通じて、私たちは「いかに守るか」だけでなく、「いかに立ち直るか」という視点を手に入れます。マニュアルがあるだけでは不十分で、実際にCSIRTが機能するか、バックアップから正しく復旧できるかを定期的にテストすること。これこそが、情報セキュリティマネジメントの本質的な役割です。

次回の連載では、これまで学んできた知識を武器に、いよいよ「SG試験合格に向けた学習ロードマップと過去問の活用術」についてお話しします。

コメント