皆様が日々ニュースでも目にするように、サイバー攻撃は様々な組織や個人をターゲットとして活発に行われています。いざ自社がサイバー攻撃を受けて何らかの被害が生じてた時、皆様は対処のイメージができますか。

サイバー攻撃を予防・防御したり検知する技術は、この10年でも目覚ましく進化していて、高度な技術力を持つ攻撃者であっても、最新の技術が適切に導入・運用されている環境に簡単に侵入することはできません。一方で、組織の規模が大きくなるほど、ビジネス運用におけるセキュリティの例外や対処漏れを完全に防ぐことが困難になります。

管理者権限アカウントのパスワードが「Passw0rd!」であったり、運用委託先にはリモートアクセスの抜け穴があったり、深刻なサイバー攻撃の被害を受けた現場は、何かしらこういった運用上の問題があることがほとんどで、映画のような華麗なハッカーの活躍はあまり見ることはありません。裏を返せば、運用上のセキュリティの例外によるリスクがほとんどない、と言い切れないのであれば、どこかのタイミングでサイバー攻撃によるセキュリティ事故（インシデント）が起きる可能性があるのです。

以下では、いざという時のインシデントに備えて、何を考慮・準備しておかないといけないのかを解説します。

対応しなければいけないが、高い専門性も必要

近年の個人情報保護法の改正により、個人情報の窃取は「疑い」のレベルでも報告義務が生じる場合があります。加えて、昨今のランサムウェア等の破壊的なサイバー攻撃が流行していることもあり、目に見える被害の発生や、ビジネスの一部停止等で、取引先や顧客に報告が必要となるケースも増えています。傾向として、サイバー攻撃の被害が深刻であればあるほど、こうした報告の義務や必要性から、正しく対応することが求められます。インシデントが発生した時に、短期的な目線で検討・実施しないといけない典型的な対応項目としては、以下があげられます。

• 社内外の調整、情報共有・報告、公表
• 被害の拡大を防ぐための止血作業
• 被害の範囲や影響を把握するための調査

これらの内、最初の項目の実施要否や方法は、ビジネス運用や社内外の関係性に大きく依存するため、自社に知見や余力が無い範囲において外部サービス等の専門的な支援を受けるにしても、最終的には自社で推進することが推奨されます。このために、多くの企業においてCSIRT（Computer Security Incident Response Team）と呼ばれる緊急対応体制と、それに関連するプロセスや基準を定義しておくことが一般的になりつつあります。
一方で、２番目と３番目の項目については、インシデントの性格や発生した環境・運用によって大きく変わりますが、技術的な専門知識や経験が無いと、そもそもどんなリスクが想定されて、それを最小化するためにどうしたら良いか、というイメージもなかなか沸かないかと思います。これらの項目がDFIR（デジタルフォレンジック・インシデント対応）と呼ばれる領域です。以下では、このDFIRの領域について掘り下げていきましょう。
インシデントに関する情報は、機微であるが故に、ある組織がサイバー攻撃の被害を受けたことを公表したとしても、どんな環境でどんな攻撃手法が使われたのか、具体的にどういった対処をどの順でやっていたのか、どんな意思決定をどのタイミングでしたのか、というような詳細まで外部に明らかになることは基本的にはありません。このため、インシデント対応に関する知見は、自社だけで獲得することが困難であり、自社でDFIRの領域まで対処したい企業は、外部から中途採用で既に経験がある専門人材を獲得しているのが現実です。加えて、先程お話した通り、特にインシデントは標準的なセキュリティ施策や運用が行き届いていないところで起こりがちなので、標準的な環境や運用を想定した対処では、うまくリスクが低減できなかったり、適用できなかったりする可能性が想定されます。セキュリティに相応に投資している大企業であっても、これらの項目で外部の専門業者を頼るのは、こういった理由もあると思います。