今、企業に求められるインシデントレスポンス体制の確立と実践

2013年7月12日(金)中谷昌幸（JPCERTコーディネーションセンター早期警戒グループマネージャー／情報セキュリティアナリスト）

リスト

インシデントレスポンスは、企業・組織そして社会の諸活動を脅かすセキュリティインシデントの発生に対し、原因の調査や対応策の検討、サービスの復旧、再発防止策の実施などを体系的に行うための方法論である。古くより取り組まれ改善・進化を続けてきたこの方法論は、標的型攻撃に代表される昨今の先鋭化したセキュリティ脅威に対してもはたして有効なのだろうか。以下、インシデントレスポンスの重要性や主要な手法、必要な組織体制などについて解説する。

攻撃者の目的と攻撃対象に大きな変化

ご存じのように、インターネットやそこで展開されるサービスは、この10年でさらに急速な進展を遂げ、その多くが人々の生活になくてはならない存在となっている。その一方で、インターネットの安全は日々、攻撃者によって脅かされ、脅威は増大する一方である。

近年の脅威の増大は、筆者が所属する一般社団法人JPCERTコーディネーションセンター（以下、JPCERT/CC）に報告される情報セキュリティインシデント（以下、インシデント）の数を見ても明らかだ（表1）。JPCERT/CCは、国内外で発生するインシデントについて、その報告を受け、技術的な対策支援を行う組織である。

表1　JPCERT/CC へのインシデント報告件数の推移出典：JPCERT/CC

背景には、攻撃者の目的と攻撃対象がこの10年で大きく変化していることが考えられる。まずは、10年前はどのような状況だったのかを振り返ってみる。

2000年代初頭のコンピュータウイルス（以下、ウイルス）は、不特定多数に感染すること自体を目的としたワーム型のウイルスが多かった。攻撃者がウイルスを多数のPCに感染させることで自己顕示欲を満足させていたからである。また、Webサイト改竄も、主として著名なサイト、アクセス数の多いサイトが狙われる傾向にあった。

この記事の続きをお読みいただくには、
会員登録（無料）が必要です