サイバー攻撃への対応で求められる
「トリアージ」とは

新型コロナウイルスの感染拡大に伴い、重症者向けベッドが不足するなど、医療機関のひっ迫が問題となっています。医療機関によっては、患者の緊急度を判定して治療を行う「トリアージ」を行っています。このトリアージはセキュリティ対策においても重要な考え方と言えます。

サイバー攻撃への対応で求められる「トリアージ」とは:新型コロナウイルスの感染拡大に伴い、重症者向けベッドが不足するなど、医療機関のひっ迫が問題となっています。医療機関によっては、患者の緊急度を判定して治療を行う「トリアージ」を行っています。このトリアージはセキュリティ対策においても重要な考え方と言えます。

インシデント対応で重要なステップとなる「トリアージ」とは

コロナ禍により、コンピューターの不正アクセスが増加している。独立行政法人情報処理推進機構(IPA)の調査によると、2020年に寄せられた不正アクセス届出数は187件で、2019年の89件より倍増。ちなみに主な攻撃行為(手口)の内訳は、「侵入行為」が280件(約65.9%)と最も多く、次いで「なりすまし」が73件(約17.2%)、「スパムメール」が27件(約6.4%)であった(なお、1つの届出について、複数の攻撃行為を受けている場合があるため、届出数の合計とは一致しない)。

不正アクセスのようなインシデントが発生した際、その対応を行う専門チームとして大企業を中心に設置されるようになったのがCSIRT(Computer Security Incident Response Team)である。

インシデントが発生した際、CSIRTは発見者からの連絡を受け付ける窓口としての役割を担う。そのうえ、インシデントの分析を行って対応の必要があるかどうかを判断し、対応の必要があれば計画を立て、それに従って必要な作業を行う。

このインシデントの対応業務において、重要なステップとして挙げられるのが「トリアージ」である。

一般的にトリアージは、救急事故現場などにおいて医療や治療の優先度を見極めることを指す。一方、サイバーセキュリティにおけるトリアージでは、発生したインシデントの重要性や緊急度を見極め、対応が必要かどうかの判断や、複数のインシデントが発生している場合にはその優先順位の決定などを行うステップとなる。

CSIRTのリソースを適切に配置するためにもトリアージは有効

トリアージを含めたインシデント対応を行うCSIRTのメンバーには、当然ながらセキュリティに関する経験や深い知識が求められる。ただし、一方でセキュリティ人材は社会的に不足している状況であることから、CSIRTのメンバーが恒常的に不足しているといった企業は少なくないだろう。

このように人的リソースが不足している場合は、特にトリアージの判断が重要になる。たとえば複数のインシデントが発生した場合、人的リソースが十分でなければ同時に対応することは困難だろう。そこでトリアージによって緊急で対応すべきものを見極め、そこに人的リソースを集中的に配備するなどの判断が求められるわけである。

分かりやすい例として挙げられるのは、マルウェアに感染したPCが踏み台として使われ、社内に設置されている複数のサーバーに不正侵入が行われたといったケースだ。このような場合、不正に侵入されたサーバーを洗い出し、どのサーバーから復旧するかを判断しなければならない。この判断を誤れば、被害が拡大する恐れもあるため油断できない。

なお、トリアージは一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が公開している「インシデントハンドリングマニュアル」においても、インシデントの基本的ハンドリングフローの1つとして言及されている。

このマニュアルにおいて、トリアージはCSIRTの活動の中でも重要なものと指摘しつつ、あらかじめトリアージのための判断基準を明確に定めておくべきと指摘している。

トリアージで重要となる適切な現状把握

このトリアージを適切に行うためには、クライアントPCやサーバー、あるいはネットワーク環境を適切に可視化し、被害の状況を把握することが欠かせない。このクライアントPCおよびサーバーの可視化で活用できる具体的なプロダクトとしては「Tanium(タニウム)」が挙げられる。そして、そのTaniumを活用したマネージドソリューションが、エンドポイントマネジメントソリューションである。

TaniumはクライアントPCやサーバーといったエンドポイントの状態をリアルタイムに可視化、制御することが可能だ。このTaniumを利用すれば、インシデントが発生した際にエンドポイントの状況を素早く把握することができ、トリアージでの適切な判断に役立つ。

またTaniumにはエージェントがインストールされていないエンドポイントを探知することが可能なため、エンドポイント監視の抜け・漏れを防ぐことができる点も魅力だろう。

NTT Comのエンドポイントマネジメントソリューションは、このTaniumを使用してエンドポイントのセキュアな環境維持を支援するソリューションである。NTT Comの担当者がTaniumを使用してユーザー企業のエンドポイントの状態をリアルタイムに管理するものであり、業務環境のセキュリティ向上やエンドポイント管理のコスト最適化を図ることができる。

一方、ネットワーク環境の可視化に役立つのはAIアノマリー検知である。これは平時の通信内容をAIで学習し、通常と異なる通信を検出した際に警告を行うソリューションだ。これによって異常な通信を自動で捕捉し、迅速に脅威を検知することができる。

このAIアノマリー検知でトラフィックの状況を可視化することができれば、やはりトリアージの判断に役立つだろう。

いずれにしても、インシデントが発生した際には適切に状況を把握し、優先順位を付けて対策を講じていくことが重要である。あらためてインシデント発生時の対応フローの確認や、トリアージをどのように行うかについて事前に検討しておくべきではないだろうか。

コラム一覧へ

このページのトップへ