前回のコラムでは、事案が何も発生しない、いわば「平時」の、CISOとCSIRTの役割について述べました。今回は、情報漏えいやサイバー攻撃などのインシデントが実際に発生した場合に、情報セキュリティの責任者であるCISOと、サイバー事故対応の専門チームであるCSIRTがどのような対応をするか、そして事故発生時のセキュリティ専門企業の活用方法について解説いたします。

 まずCISOに求められるのは、事件・事故発生時に全権を掌握することです。具体的には、被害拡大の抑止や調査分析のために当該システムの停止や端末等の強制回収を行う権限を有し、必要に応じてそれを行使します。他にも、内部で共有される情報や外部に発信される情報の統制・管理を行うなど、インシデント対応における責任者としてリーダーシップを発揮しなければなりません。

[有事のCISOの責務]
 ・事件・事故発生時の全権掌握
 ・システム停止・端末強制回収と調査
 ・社内外の情報統制

 一方、CSIRTは、CISOの指示の下、インシデントに対応する中で、当該システムの停止や端末等の強制回収を行う他、影響範囲を特定して内部の関係者に報告し、対応方針の立案と上申を行うとともに、外部への対応として広報をサポートするなどします。

[有事のCSIRTの役割]
 ・インシデントの対応
 ・システム停止、端末回収
 ・専門セキュリティ企業への調査依頼と作業委託
 ・影響範囲の報告
 ・内部報告・対応方針上申
 ・外部対応・広報組織サポート

 CSIRTが有事に行う活動は、必要に応じて専門セキュリティ企業に調査依頼や作業委託を行います。委託先企業により対応する領域は異なりますが、専門セキュリティ企業は、影響範囲を速やかに特定するためのログの精査や、攻撃者が仕込んだマルウェアの通信の特徴に基づいた攻撃サイトの洗い出し、潜伏するマルウェアの発見と解析、脅威情報データベースと照合した攻撃サイト抽出などの作業を行います。他にも、攻撃が継続中の場合に、緊急回避策として通信遮断や防御機器の設置などを実施します。

 また、対応方針の立案に際して、具体的な提案を行うとともに、社内および社外への対応に関する助言も行います。ただし、専門セキュリティ企業が行う提案や助言は、あくまで「提案」であり、判断して決断を下し、実施するのは企業側（CISOおよびCSIRT）であることに注意が必要です。

[有事の際に調査や作業委託を行う専門セキュリティ企業の機能]
 ●影響範囲の早期特定
 ・ログ精査・通信解析
 ・攻撃サイトの特定
 ・脅威情報活用による攻撃サイトの探索
 ●フォレンジック調査
 ・マルウェア解析実施
 ●防御施策実行
 ・通信遮断（IP、URL）
 ・システム停止要請
 ・感染端末の特定と回収
 ・防御機器緊急設置
 ●攻撃継続有無調査
 ●社内外対応への助言
 (※上記機能一覧は当社サービスをもとに作成しました)