7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#5

7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その5。

5つ目の気づきは「サービス再開は判断が難しい」です。

セキュリティインシデント発生時に「LANケーブルを抜く」「システムを遮断する」「インターネットから隔離する」等の対処を定めているケースは多くあるでしょう。最近のセキュリティインシデントの対応を見ても事前にある程度のケースを想定し、対応方法を定めておかなければビジネスを守ることが難しくなっています。前回取り上げた「復旧力」でも事前に手順を定めておけば、復旧を早くすることができます。セキュリティインシデント発生時にサービスを止めることで揉めるようなことがないように準備しておきたいものです。

サービス停止以上に難しい「再開」

そしてサービスの（一時）停止以上に難しいのは「再開」の方なのです。関係者はいったん、サービスを停止して、セキュリティインシデントの調査を行い、ビジネスの再開に全力を注いでいるはずです。CSIRTや情報システム担当者などが復旧に向けて作業をしている間、利用者側はその様子が見えていることはほとんどありません。

「お客様にメールが送れない」
「何としても本日中に見積もりを出さないといけない」
「一般向けに告知を出さなきゃいけない日なんだ」
「監督官庁の目が怖いんですけど」
「検索エンジンのランキングがさがっちゃう」
「情報システム部門は何をやってるんだ」
「早くシステムを復旧させろ」

不眠不休で対応していたとしてもこんな声が容赦なく降り注ぎます。しっかりと原因究明と根本対処を行った後にサービスを再開させたいと思っていても、多くの利用者の圧力は高まるばかりです。

そうやっていざサービス再開となると新たな問題が発生します。

「誰の権限でOKなの？」
「どういう基準でOKなの？」
「再発しないって誰がOKだしたの？」
「監督官庁に事前に報告しておかないと」
「俺はまだしっかり調査した方がいいと思うなあ」

という声が発生し、サービス再開がままなりません。

Hardeningの競技中にも同じようなことが発生します。

「システムをしっかり止めて対応するべき派」vs「ビジネス優先でなんとかする派」

どちらが正しいとは言えません。前者が一時的に勝った場合、想定した時間で調査と対応が終わればいいのですが、なかなか思ったようにいきません。他のチームが順調に売上を伸ばす様子を見ながら、早期にサービスを再開する圧力と戦うことになります。このしびれる感覚をリアルビジネスではなく、仮想環境で味わうことができるのもHardening Projectの魅力の一つです。

ここから学べることは「サービス再開の基準も事前にちゃんと決めておきましょう」ということです。CSIRTを作っているような組織では、サービスの停止に関する基準は定めてあると思いますが、それに加えて「サービス再開の基準」もぜひとも検討しておいてください。

次回は「トラブルは情報の不足と間違いから」を取り上げます。

• 得られた気づき　その1　 マルウェア感染にはなかなか気づかない
• 得られた気づき　その2 　意思決定のスピードが重要
• 得られた気づき　その3 　ビジネスは技術力だけではない
• 得られた気づき　その4 　ビジネス継続のために防御力と復旧力が重要
• 得られた気づき　その5 　サービス再開は判断が難しい
• 得られた気づき　その6 　トラブルは情報の不足と間違いから
• 得られた気づき　その7 　脆弱な初期設定に注意
• 得られた気づき　その8 　安易な作業がトラブルを生む
• 得られた気づき　その9 　事前準備と事後の振り返りが重要
• 得られた気づき　その10　情報共有は共同オペレーションの体験から