TOP > 専門情報 > 技術|規格 > 情報セキュリティインシデントが発生したとき、組織は何をすべきか?

情報セキュリティインシデントが発生したとき、組織は何をすべきか?

  • LINEで送る
  • このエントリーをはてなブックマークに追加
情報セキュリティインシデントが発生したとき、組織は何をすべきか?

背景

情報セキュリティ (IS) マネジメントシステムは、利害関係者に対し、情報の機密性 (confidentiality)、完全性 (integrity) 及び可用性 (availability) に関するリスクを適切にマネジメントしているという信頼性を提供したいと欲する組織によって構築されます。

ISO/IEC 27001 は、情報セキュリティマネジメントシステムの要求事項を定めています。ISO/IEC 27001の要求事項に適合するためには、組織はリスクマネジメントのプロセスを実装する必要があります。組織はまず、情報の機密性、完全性及び可用性に対するリスクを特定、分析及び評価するための初期リスクアセスメント (initial risk assessment) を実行する必要があります。次に、これらのリスクに対応する最良の方法を決定しなければなりません。各リスクに対処するために実行する処置は「リスク対応 risk treatment」と呼ばれ、ISO/IEC 27001の附属書に記載されている特定の管理策の適用可能性に基づきます。これらの管理策はそれぞれ、情報に対する特定のリスクを軽減する、または排除するように設計されています。例えば、システムやサービスへの不正アクセスのリスクを軽減するための管理策の例として、ユーザーのアクセス権の割り当てのための正式なプロセスの実装や、ユーザーのアクセス権の定期的なレビューがあります。

情報セキュリティリスクは時間の経過とともに変化しますから、リスクアセスメント及びリスク対応のプロセスを定期的にレビューし、もっとも適切な管理策が策定され、いつでも実施できるかを確認する必要があります。現在有効な管理策は、「適用性リスト」、または「SoA 適用宣言書」と呼ばれる文書に記載されます。

しかし、情報セキュリティ管理策だけでは情報、情報システム、サービスまたはネットワークの全体的な保護を保証することはできません。管理策を実施したのちにも、情報セキュリティ (IS) インシデントの発生を促す、残留する脆弱性が残る可能性があります。インシデントが発生した場合、組織はどのように対応すべきかを知ることが重要です。事業継続と同じく、これについて検討するのは、インシデントが発生した後ではなく、発生する前です。

ISO/IEC 27035

2011年、ISO/IEC JTC 1/SC 27 は、ISO/IEC 27035 – Information technology – Security techniques – Information security incident management (情報技術 – セキュリティ技術 – 情報セキュリティインシデントマネジメント) を作成しました。これは、情報セキュリティインシデントを検知し、報告し、評価する; 情報セキュリティに対応し、マネジメントする; 情報セキュリティ上の脆弱性を検知し、評価し、マネジメントする; そして情報セキュリティと事前的なマネジメントの結果としてのインシデントマネジメントを継続的に改善するための構造的で計画的なアプローチを提供しています。ISO/IEC 27035は、これより前にあった技術報告書 ISO/IEC TR 18044:2004に基づいたものでした。

2016年、ISO/IEC 27035 は刷新され、ISO/IEC 27035-1 Information Technology – Security techniques –  Information security incident management – Part  1: Principles of incident management (情報技術-セキュリティ技術-情報セキュリティインシデントマネジメント-第1部:インシデントマネジメントの原理) とISO/IEC 27035 – Information technology – Security techniques –  Information security incident management – Part 2: Guidelines to plan and prepare for incident response (情報技術-セキュリティ技術-情報セキュリティインシデントマネジメント-第2部:インシデント対応のための計画及び準備の指針) からなる複数規格となりました。

ISO/IEC 27035-1 は情報セキュリティインシデントマネジメントの基本的な概念とフェーズを提示しています。次に、インシデントを検知し、報告し、評価し、対応すること、そして学んだ教訓を適用するために推奨する構造化されたアプローチに関して、これらの概念と原則を組み合わせています。

ISO/IEC 27035-1 はISO/IEC 27035-2 によって補完されます。ISO/IEC 27035-2 には、インシデント対応のための計画作成と準備を支援するための実用的なガイドラインが含まれています。これらのガイドラインでは以下がカバーされています。

  • 情報セキュリティインシデントマネジメント方針及びトップマネジメントのコミットメント
  • リスクマネジメントに関連するものを含む情報セキュリティ方針、企業レベル、及びシステムレベル、サービスレベル、ネットワークレベルで更新される
  • 情報セキュリティインシデントマネジメントの計画
  • インシデント対応チーム (IRT = incident response team) を設置する
  • 内部及び外部の組織との関係やつながりを確立する
  • 技術的及びその他の支援 (組織的及び運用上のサポートを含む)
  • 情報セキュリティインシデントマネジメントの認識の説明とトレーニング
  • 情報セキュリティインシデントマネジメントの計画のテスト

最後の部分となる、ISO/IEC 27035-3は現在、国際規格最終案 (FDIS = Final Draft International Standard) の段階です。

インシデントに対応する

ISO/IEC 27035-1は、インシデントはさまざまな理由により発生しうるということを再確認させてくれます。人的ミス、技術の不備、お粗末なリスク評価及び効果的でないリスク対応、これらすべては脆弱性となる可能性があります。脆弱性 (弱点) は事象 (潜在的な脅威) を招き、それらのうちのいくつかは組織の情報に対するインシデント (実際の脅威) となる可能性があります。

組織は、自分たちの情報にはリスクがあるということを理解し、リスクが情報セキュリティインシデントとなる前に、情報セキュリティ事象を検知し、評価し、対応する対策を備えなければなりません。

事象がインシデントになり、インシデントが危機にまでなったときには、単なるインシデントに今一度戻り、危機管理からインシデントマネジメントに引き継がれるまで適切にマネジメントできるよう、これらの対策を組織のより幅広い危機管理の対策とリンクさせる必要があります。インシデントが終了したときには、教訓を学び取らなければなりません。

ISO/IEC 27035-1 はインシデントマネジメントを5つのフェーズに分けています。

    • 計画及び準備 – 脅威を認識し、あらゆるインシデントに対応する計画を整備する
    • 検知及び報告 – 情報セキュリティイベントあるいは脆弱性に関するすべての情報を収集し、報告する
    • 評価及び決定 – 検知した情報セキュリティイベントが情報セキュリティインシデントを構成するかを判断する
    • 対応 – 計画した情報セキュリティ対応を実施する
    • 学んだ教訓 – 計画した情報セキュリティ対応を評価し、必要に応じ修正する

ISO/IEC 27035-2 には、上記の「計画及び準備」のフェーズ及び「学んだ教訓」のフェーズに基づくガイドラインが含まれています。ISO/IEC 27035-2は、インシデント方針とインシデントマネジメント計画の作成、及び関連するプロセスと手順を網羅し、詳細に述べています。インシデント対応チームの設置と内容、外部関係者との連絡、インシデント対応の認識とトレーニング、実践的な演習によるインシデント対応計画のテストについて説明しています。また、学習と改善にも焦点を当てています。

現在、レビュー中です

ISO/IEC 27025 の第一部と第二部を改訂する作業が始まったところです。改訂の3番目の作業草案 (WD=working draft) が、今年6月にコメント募集のため、専門家、国家規格機関及びリエゾン機関に公開されています。レビュープロセスは、ISO/IEC JTC1/SC27/WG4 が監視しています。すべてが計画通り進めば、2021年の後半に改訂版が発行されるでしょう。

※IRCAの各詳細は下記よりご確認頂けます。

ホワイトペーパー無料ダウンロード