セキュリティ対策に必要となる体制の考え方 (NIST SP 800-61)|セキュリティ|ブログ|Computerworld

トップ
ブログ
セキュリティ
セキュリティ対策に必要となる体制の考え方 (NIST SP …

セキュリティ

セキュリティ対策に必要となる体制の考え方 (NIST SP 800-61)

Posted by 蔵本雄一 ( 2010年03月26日 )

読者の皆様

お待たせしました、シアトルに出張中の蔵本です。
本日の一枚は、先ほど平らげた Hard Rock カフェの10onzバーガーです。
あまりの量だったため、胃がバッファオーバーフローしそうになっております。

さて、本日は、セキュリティ対策に必要となる体制の考え方についてお話します。
実は来月号の Computerworld 4月発売号にマルウェア対策に必要となる体制の記事を執筆させて頂いたので、今回のお話は、そちらのお話と併せて読んで頂くと、より理解を深めて頂けるのではないかと思います。

セキュリティ対策は、セキュリティインシデントが発生する前提で考える必要があります。前回まででお話した、リスクの受容という項目がありましたが、リスクを受容すると言う事は、すなわちリスクが顕在化する可能性が残っているという事です。このため、「セキュリティインシデントの発生を検出する」プロセス、「セキュリティインシデントの発生から回復する」プロセス、「セキュリティインシデントへの対応後」プロセス等、Plan Do Check Action の、いわゆる PDCA サイクルを確立し、運用していく必要があります。

また、このPDCAサイクルは実施しているセキュリティ対策の効果測定を考慮した際も必須となる運用サイクルです。このようなセキュリティ対策に必要とされる体制について記述されているのが、米国国立標準技術研究所(National Institute of Standardsand Technology , 以下 NIST) 発行の NIST SP 800-61 「コンピュータセキュリティインシデント対応ガイド」です。NIST SP 800-61 には、「準備」「検知と分析」「封じ込め、根絶、復旧」「インシデント発生後の活動」の４つのプロセスで PDCA サイクルの体制確立を示しています。

「準備」プロセスでは、マルウェア対策ソフトの導入等のリスク低減策の導入から、インシデント対応要員の教育等、実際にリスクが顕在化した際に、迅速な収束を可能にするための体制確立まで幅広く行う必要があります。また、残りのプロセスを回すためのベースとなる体制を考慮したシステム構築等も求められます。

「検知と分析」プロセスでは、セキュリティインシデントの発生を把握するための活動であったり、発生したセキュリティインシデントの内容等の分析を行い、「封じ込め、根絶、復旧」へとつなげます。SOHOや個人ユーザー等の比較的小規模な環境であれば、ものによってはセキュリティインシデントの目視も可能な場合がありますが、数千、数万といった大規模環境ではセキュリティインシデントの目視による確認はほぼ不可能です。また、やはり小規模であっても大規模であっても、管理工数や目視が難しいインシデントを考慮すると、やはり、本プロセスのシステム的な実装を考える事が重要です。

「封じ込め、根絶、復旧」プロセスでは、セキュリティインシデントの拡大等の二次被害の防止や通常業務状態への復旧を行います。「準備」プロセスで如何に周到な準備を行っているかで収束時間が大きく変わってきますので、実施訓練等もしっかりと行っておく事が重要です。

「インシデント発生後の活動」プロセスでは、セキュリティインシデントの発生から収束までを振り返り、原因の特定を行い、４つのプロセスで問題となった部分のフィードバックを行う事で、よりよい体制へと強化して行く事が重要です。

下記は監査時によくある一幕

監査側筆者
「インシデント発生時の対応について体制等お聞かせください。」

被監査側リーダー福原さん
「そ、そらもう対応する人もちゃんと決まっとるし、連絡網もしっかりありまっせ！」

被監査側サブリーダー青木さん
「そんなん発生した時に気付いた奴がやったらええんやって言うてたじゃないですかー！」

一般的にセキュリティ対策と言うと、マルウェア対策ソフトの導入や Firewall の導入など、リスク低減策の導入に目が行きがちですが、実際にリスクが顕在化した際にすぐに対応できるように体制を確立しておく事も非常に重要になります。

今回は、セキュリティ対策に必要となる体制の考え方について NIST SP 800-61 を基に概要をご紹介しました。
来月号の Computerworld 4月発売号では、セキュリティインシデント = マルウェア感染という想定で体制を考えた場合の内容となっており、今回ご紹介した４つのプロセスについても詳細に解説させて頂いていますので、是非ご一読頂き、より良い体制作りのお役に立てて頂ければ幸いです。

出張先のシアトルからお届しました。

※登場人物は全て架空の人物です。

特　集

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

ブログカテゴリ

ブロガープロファイル

プロフィール

蔵本雄一… CISSP 公認情報セキュリティ監査人。前職でアンチウイルスソフト等の開発に携わった後、Microsoft社のセキュリティエンジニアとして顧客環境のセキュリティ向上提案活動に従事。プログラミングやハッキング等の下流技術要素から、情報セキュリティ監査やコンサルティング等の上流要素まで、幅広く豊富な知識を活用した提案をおこなっている。その他、セミナー講師、イベントスピーカーや記事執筆等の活動も精力的にこなす。気は優しくて力持ち。