2月23日経済産業省から昨今の情勢を踏まえたサイバー攻撃に関する注意喚起がリリースされました。
毎日のようにニュースでは海外情勢について報道されていますが、サイバーの世界でも影響があると見られており、具体的な攻撃検知などの情報はまだありませんが、セキュリティ対策を強化するよう注意喚起が出されています。
経済産業省:「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います」
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
また、昨年末からマルウェア「Emotet」の感染拡大について様々な情報が出ていますが、年明けから感染に関する情報が増加しているようです。
多くの企業、団体は年度末で多忙になると思われますが、セキュリティ対策が手薄にならないように組織内への注意喚起をお勧めします。
JPCERT/CC:「マルウェアEmotetの感染再拡大に関する注意喚起」
https://www.jpcert.or.jp/at/2022/at220006.html
このように様々なサイバー攻撃に関する情報が発信されており、攻撃に晒されることは他人ごとではありません。
では、実際に攻撃され何らかの被害が発生した場合、どのような対応が必要かポイントについて紹介します。
マニュアルに沿って行動する
セキュリティポリシーやインシデント対応計画、BCP(事業継続計画)など有事の際の行動について策定されたマニュアルに沿って行動(対応・対策)することが肝要です。
焦りからマニュアルにない行動などを行うことで被害状況の把握に時間がかかったり、被害が拡大することもあります。もしもインシデント発生時の行動計画、マニュアルがない場合は作成することをお勧めします。また、マニュアルは作成するだけでなく、定期的に検証(訓練)や情勢に合わせて更新することも重要です。
被害を把握する
被害の内容、状況などを正確に特定し把握することは被害の拡大を防ぎ、復旧するために非常に重要な作業です。
被害の見落しがあると被害の拡大や対策作業が増え、復旧に時間がかかったり、解析のために必要なデータを誤って消去してしまい詳細な原因を究明できなかったということも過去にはありました。攻撃やマルウェアの解析には高度なスキルが必要なため、作業はセキュリティベンダなど専門業者に作業を依頼することをお勧めします。
関係組織との連携
被害の把握、調査、対策を行う上で社内外の様々な組織との連携が重要になります。
被害を把握する上ではネットワークやシステム担当者、マルウエア感染であれば端末利用者など、フォレンジック調査が必要になれば社外の専門業者なども対象になります。
対策、復旧を迅速に進める上で関係組織が適切な判断を行い対応をスムーズに行うために関係組織との連携も重要です。
レビューと改善点の確認と対策
復旧しても対応が終わりではありません。
インシデント対応を振り返って課題などを洗い出し、今後のインシデント対応に反映させることが重要です。マニュアルの改訂、組織間連携、連絡体制の見直しなどを行うことをお勧めします。
良かった点はより良く、悪かった点は改善すること、また、検証を行うことも重要です。
まとめ
行動計画やマニュアルが整備されていても多くの場合はインシデントが発生すると混乱することがあります。
現在の企業や団体ではシステムが止まれば様々な被害が発生し、対応が遅れれば外部からの批判を受け風評被害によって想定外の事象が起きたとしても冷静さを保ち、的確な状況把握と判断を行えるよう、定期的な検証や訓練を実施することをお勧めします。
