前回は「人」の体感値に注目し、現場や利用者が感じた、ほんの少しの違和感も正しくエスカレーションすることが重要というお話をしました。

トラブル発生！そんな時は、現場の“人”の経験値を大事にしよう
https://un4navi.com/prologue/23157/ ‎

実はこの考え方は、社内だけでなく対外的にも必要な仕組みです。特にセキュリティにおいては、現場の人は気がつけない場合が多く、外部からの問い合わせやクレームで発覚することも少なくありません。そのため利用者の声を聞く仕組みも重要なのです。

サイバー攻撃は、システムでも人でもなかなか気がつけない

利用者が社外にいるような、コンシューマー向けサービスを展開している企業であれば、サービスのパフォーマンスが遅いと感じたとしても、利用者は「使うのやめた！」とスッと消えてしまうだけで、なかなかサービス先にクレームを入れて改善を促すような対応にならないかもしれません。
しかし、パフォーマンスが悪いというのは大きな問題ですので、保守や運用に携わる方々は、日々、システムのパフォーマンスを数値化し、その劣化が起きていないかをウォッチしていることでしょう。

このパフォーマンスが遅い状態の原因のひとつにサイバー攻撃が関連していた場合、利用ユーザが「パフォーマンスが悪いですよ」とクレームを入れてくれる場合は、気づきの提供をいただくのでサイバー攻撃が関与していることにより早く気付く可能性があります。
しかし、多くの場合、攻撃は深く静かに侵攻していることが多く、そもそもシステム等で検知ができない場合が多いのです。いま多くの組織が被害に遭っている「ランサムウェア」による攻撃は、攻撃者の最終目標は何らかの情報を奪う、もしくは暗号化して使えなくした上で、元に戻すために「身代金」を要求することにあります。この時、身代金を得るためには、被害者が攻撃に遭ったことを明確に伝える必要があるので、ランサムウェアは被害に遭ったことが分かりやすいマルウェアです。しかし、その前段階では長期的に社内に潜伏していることがほとんどで、普段動いていないはずのプロセスが活動していたり、営業時間外に重要な処理が行われていたりいるなど、潜伏タイミングで検知ができるかどうかが重要なポイントとなります。潜伏している攻撃者の把握や対処に関しては、EDRやXDRと呼ばれるソリューションが、これらの把握に役立つでしょう。

カード情報を奪う攻撃は、悪用されるまで気づきにくい

また、不正に社内に侵入した攻撃者が、クレジットカード情報を奪っていくという事件もよく報告されています。この場合も、攻撃者は誰にも気が付かないように潜伏を続け、自体が発覚するのはクレジットカード事業者から「あなたのサービスで使われていたクレジットカードが、他のサービスで不正利用されているようです」という事態に発展してからのことが多いのです。その時には既に、利用者自身が不正利用に気が付き、「あのサービスから漏れたのでは？」とSNSに書いているかもしれません。このような状況では、もはや手を付けられないかもしれません。社内に潜伏した攻撃者は情報を盗んだ後でもその事実を把握しにくいのですが、クレジットカードの情報漏えいは他の情報漏えい事件に比べると、被害が社内外に明らかになりやすい事件なのです。
顧客やクレジットカード事業者、外部の取引先などから、システムの不具合や不審な行動が初めて報告されるという事態を、平時のタイミングで事前に想定していなければ、初動が遅れることが想定されます。そうならぬよう、あらかじめ「対外的な窓口」を用意しておかねばなりません。

＜PR＞システムの安全性を保つためには、巧妙なトラブルにも迅速に対応していく必要があります。統合運用管理サービス「UOM」を導入して可視化や共通化のスピードを上げて効率的な保守・運用を実施しましょう。詳しくはこちらへ

迅速な解決には「旗振り役」が必要

このようなセキュリティの問題が出た場合は、とにかく迅速に対応することが必須です。まずは社内で「旗振り役」となる人を、1人でも良いので作る必要があります。
旗振り役の対応することは、社内の情報の窓口、そして対外的に名前を出せる存在を作り、地道に報告ルートを整備していきます。これには既存の組織を超えた仕組みを作る必要がありますので、経営層などできる限りトップの理解があることが望ましいでしょう。その旗振り役は、運用部門からでも良いですし、総務部や広報部門など、組織によってどの部門に所属する人が最適かは変わってきますが、全社を挙げて協力する体制が必要でしょう。そして、その組織が社内から認知され、「セキュリティといえばあの組織だ」と理解されていることが望まれます。おそらく多くの組織がセキュリティ管理者を配置していると思いますが、その存在の見える化の意味を込め、ここでは「旗振り役」と表現しています。

大企業では、この辺りのルールが設定されていると思いますが、中小企業や複数の企業が集まって行っているプロジェクトなどでは、そこまで用意されていないケースもあると思います。そのような場合、経営層に「どうもこの旗振り役のことを“CSIRT”と呼ぶらしいですよ。他の会社はみんな作っているみたいです」とひと言添えて、準備する体制を試みてください。
CSIRT（シーサート）とは「Computer Security Incident Response Team」の略で、インシデントが発生したときに内外の窓口と、システムの情報を常に収集、分析し、対応方針や手順の策定などの活動をする組織です。

経済産業省による「サイバーセキュリティ経営ガイドライン」https://www.meti.go.jp/policy/netsecurity/mng_guide.html

上記ガイドラインの中でもその整備を求めています。旗振り役の設置は経営層の考え方と一致するはずですので、きっと、動き易くなるはずです。

前回、経験値のある人の洞察力を生かした「報告」を軸としたルートを整えることが重要とお話ししました。今回は、経験値がある「人」でも対応できない事象があるので、その点を考慮した報告体制が必要というお話しをしました。体制を作ることが目的ではなく、何かあった時に関係者がすぐに動ける体制の周知と徹底が必要ということですので、これからも続く、数々のシステム問題に備えて、体制や報告の整備をすることもお勧めします。

＜PR＞「旗振り役」は重要ですがその際に何を報告できるかもとても重要です。IIJの統合運用管理サービス「UOM」で運用・保守の状況を可視化して報告することで、旗振り役の判断スピードを上げ、効果的な報告を支援できます。詳しくはこちらへ