最悪の事態が起きた。誰かがあなたの会社のネットワークをハッキングし、何千もの文書を盗み、その過程で顧客と従業員のデータを侵害しました。また、ハッカーが他に何にアクセスしていたのか、ハッカーがネットワーク内にまだいるのか、誰が責任を負っているのかもわかりません。

会社がこの範囲の重大なサイバー インシデントに備えていない場合、法執行機関と協力し、メディアに対処し、事業運営を回復しようとすると、このシナリオはすぐに困難なものになる可能性があります。

Verizon の 2015 年データ侵害調査報告書によると、2015 年には 2,100 件以上のデータ侵害が確認され、約 80,000 件のインシデントが発生しており、サイバー インシデントに対するインシデント対応計画の策定が最優先事項となります。

「組織をデータ侵害から保護することで、ビジネスに数千万ドルを節約でき、顧客ロイヤルティと株主の信頼を維持するのに役立つ可能性があります。」と報告書は説明しています。 「データ セキュリティは IT 部門に任せるべきものではありません。非常に重要であるため、すべての部門のリーダー、そして実際には従業員にとって重要であるべきです。」

セキュリティ リーダーが最悪の事態に備えて計画を立て、その後に何が起こるかを知るのに役立つように、セキュリティ管理部門はサイバー インシデント対応のベスト プラクティスについて専門家と話し合いました。

侵入前

企業が建物に火災が発生して全焼した場合に備えてインシデント対応計画を立てているのと同じように、サイバー インシデントが実際に発生する前に対処するためのインシデント対応計画を立てる必要があります。

計画を立てましょう。FTI Consulting のリスク管理プラクティス担当シニア ディレクターである Gary Bahadur は、企業が定期的にこれらの計画を立てるのを支援しています。彼は、組織がどのように攻撃される可能性が最も高いのか、攻撃の背後に誰がいる可能性が最も高いのかを最初に考えるよう提案しています。

たとえば、顧客がオンラインで取引を行うことを許可している銀行 (たとえば、オンライン バンキング ポータルを通じて) は、Web アプリケーションを介した侵害に対して脆弱になる可能性があります。あるいはハイテク企業は、自社の知的財産が侵害されるインサイダーの脅威を最も懸念しているかもしれません。

「最初のステップは、どのように攻撃されるかを判断し、最も可能性の高いシナリオを阻止するための最良の制御と障害は何かを理解することです。」とバハドゥル氏は説明します。

その時点から、企業は米国司法省 (DOJ) サイバーセキュリティ部門の被害者対応とサイバー インシデント報告に関するベスト プラクティスのガイダンスを利用して、実用的なインシデント対応計画を立てることができます。

これは、少なくとも、公共通信に関する決定から情報技術、セキュリティ対策の導入、法的問題の解決に至るまで、企業のサイバー インシデント対応のさまざまな要素について主導的な責任を負うのは誰かを特定することを示唆しています。

企業は、いつでも重要な担当者に連絡できる方法、重要な担当者に連絡できない場合の対処方法、最大の保護のためにどのミッション クリティカルなデータ、ネットワーク、サービスを優先する必要があるかを決定する必要もあります。

「コンピュータ セキュリティの責任を持つすべての担当者、特にインシデント発生時に技術的、運用的、または管理的な意思決定を行う役割を果たすすべての人は、この計画にアクセスし、熟知している必要があります。」とガイダンスには記載されています。

組織が評価、計画、インシデント対応、復旧の合理性に関する実績を積み上げるにつれて、新しい法的基準が出現しつつあるため、このプロセスを完了することが特に重要になっていると、Ballard Spahr LLP のプライバシーおよびデータ セキュリティ グループのパートナーで元連邦検察官の Ed McAndrew 氏は述べています。

「組織が予見可能なリスクを軽減するために合理的なデータ セキュリティ基準を採用する必要がある場合に、新しい法的基準が出現しつつあります」と元司法省国家安全保障サイバー専門家でもあるマクアンドリュー氏は説明します。 「企業はリスクを認識し、リスクの管理に努め、その後、これらのインシデントに対応するための計画を立てる必要があります。」

企業が容易に解決できる成果を特定し、インシデント対応計画を策定した後、バハドゥル氏は、特定の攻撃の可能性とそれを防ぐ方法を分析するためのロードマップを作成することを提案しています。企業は、新しいビジネス機能が開発されるにつれて、新しいセキュリティの課題に適応し続ける長期戦略をどのように作成するかについても検討する必要があります。

「セキュリティ組織とその機能を成長させることができなければなりません。」と彼は付け加えました。

法執行機関を検討してください。企業はインシデント対応計画を策定する際、地域および国内の法執行機関との関係を考慮する必要があります。

マクアンドリュー氏は、サイバーセキュリティに関しては民間部門との関係を構築したいという「法執行機関の真の意欲」があると述べた。これは、法執行機関が「サイバーの効果的な捜査には、捜査員と組織内の対応者との間に一定レベルの信頼と個人的な関係が必要である」と理解しているためであると同氏は説明する。

このため、政府は、InfraGard、情報共有分析センター、情報共有分析組織、米国国土安全保障省の新しいサイバーセキュリティ情報共有プログラムなど、民間部門を対象としたさまざまな支援プログラムを作成しました。

「これらの組織に参加し、アウトリーチ プログラムに参加することは、法執行機関との関係を構築し始めるための優れた簡単な方法です」とマクアンドリュー氏は言います。これは企業がサイバー インシデントが発生する前に行うべきことです。

企業は、地元の FBI 事務所に連絡することもできます。FBI の捜査官が企業のサイバーセキュリティ リスク評価、インシデント計画、データ セキュリティ計画の実施を支援してくれることが多いためです。

これらの関係は、企業が侵害が発生した場合に法執行機関のパートナーに何を期待するかを知るのにも役立ちます、とコンピュータ犯罪担当次長で司法省サイバーセキュリティ部門の責任者であるミック・スタワズ氏は述べています。

「事件が起こる前に、私たち、FBI、その他の捜査機関は、関係を確立し、到着時に何が起こるかを理解できるよう、基礎を築こうとしています」とスタワシュ氏は説明する。 「私たちは、イベントに参加したときに、イベントの前に知っておくべき情報の種類であることを人々に伝えるためにイベントを行っています。」

たとえば、企業はどのようなデータを法執行機関と共有できるのか、また、事件が発生した場合にはどのようなアクセスを提供できるのかを考える必要があると彼は言います。企業は「時間の経過とともに」独自の法的調査を行う必要がなくなるため、これはインシデント調査のプロセスを合理化するのに役立つとスタワズ氏は言う。 「私たちは、欲しいものがあるので、事前に考えることを強く勧めています。」

しかし、マクアンドリュー氏は、法執行機関と連携するのは素晴らしいことだが、企業は慎重に行動する必要があると言う。 「関与のレベルと、法執行機関が役立つ可能性があるロジスティクスだけでなく、法執行機関との関与が捜査につながる可能性がある場合も理解する必要がある」と彼は付け加えた。

企業がこの分野をうまく乗り切るのを助けるために、マクアンドリュー氏はサイバーセキュリティの経験を持つ外部の弁護士に頼ることを推奨します

練習すれば完璧になります。企業はサイバー インシデント対応計画の概要を説明した後、それを実践して問題領域を特定し、計画が効果的であることを確認する必要があります。

バハドゥル氏は、経営幹部、IT、広報、法務、マーケティング、さらには営業スタッフの代表者を含む、部屋にいるすべての主要な関係者と机上演習を行うことを推奨しています。

「サイバー侵害は IT の問題だと人々は言います」と彼は説明します。 「そうではありません...侵害が発生したときに広報担当者が必要です。私たちがいる業界にどのような影響があるかを法的に議論する必要があります。また、クライアントとの関係に影響を与える可能性があるため、経営陣のサポート、マーケティング、営業も必要です。」

司法省コンピュータ犯罪・知的財産課の国家安全保障特別検察官、レナード・ベイリー氏は、インシデント対応計画の実践が重要であることに同意する。なぜなら、インシデント対応計画はインシデント発生時の人々の役割を強化するものであり、指定された人物が不在の場合に企業がその役割を担う代替者を指名できるからである。

侵入中

慎重な準備とサイバー攻撃防止戦略にもかかわらず、ロバート・バーンズ氏が書いているように、「ネズミと人間の最善の計画でさえ、失敗することがよくある」。ただし、次のヒントを覚えておくことで、企業はサイバー インシデントがサイバー危機に発展するのを防ぐことができます。

評価を行います。企業はサイバーインシデントを特定したら、司法省のガイダンスに従って、インシデントの性質と範囲について直ちに評価を行う必要があります。

「特に、インシデントが悪意のある行為なのか技術的な不具合なのかを最初に判断することが重要です」とガイダンスは説明している。 「インシデントの性質によって、組織がインシデントに対処するために必要な支援の種類、および必要となる可能性のある損害と修復作業が決まります。」

インシデントの性質を特定するために、企業はシステム管理者に、影響を受けたコンピュータ システム、インシデントの原因、インシデントに関連して使用されたマルウェア、データの送信先のリモート サーバー、およびその他の被害組織の身元を特定させます。

初期評価では、現在ログオンしているユーザー、コンピュータ システムへの現在の接続、実行中のプロセス、開いているすべてのポートとそれに関連するサービスとアプリケーションも文書化する必要があります。

「組織が受け取った事件に関連する可能性のある通信（特に脅迫や法外な要求）も保存する必要がある」とガイダンスは説明している。 「不審な電話、電子メール、またはその他の情報要求は、インシデントの一部として扱う必要があります。」

証拠を保管してください。多くの場合、企業がサイバー攻撃について知ったときの最初の反応は、出血を止めるためにあらゆる手段を講じることです。

「企業が最初に行うことは、場合によっては出血を止めるためにハッキングされたデバイスのプラグを抜くことです」とバハドゥル氏は言う。 「しかし、フォレンジック分析を行う場合、つまり攻撃を追跡したり報告したりする場合、環境を変更してハッキングされたサーバーを消去すると、非常に貴重な証拠を失うことになります。」

証拠の漏洩を防ぐために、企業は適切な法医学慣行に従うべきだとバハドゥル氏は言いますが、これはほとんどの組織が苦労していることです。 「ほとんどの企業は加工保管管理をうまく扱っていません」と彼は付け加えた。 「彼らは文字通りプロセス全体を台無しにし、証拠をひどく改ざんするでしょう。」

代わりに、企業は証拠の保管連鎖を構築し、IT スタッフが法務部門と協力して証拠を維持および保存するためのテクノロジーが確実に導入されるようにすべきだと、Guidance Software の CEO、Patrick Dennis は述べています。

「法執行機関と連携して証拠を提出できる人材、テクノロジー、政策を含むインフラストラクチャを整備したい場合は、そのためのプログラムを事前に導入しておく必要があります。」と彼は説明します。 「そうでないと、一般的に、証拠の一部またはすべてが侵害されることになります。」

法執行機関に通報します。初期評価が行われ、証拠が収集されたら、サイバー インシデント対応計画に概説されている手順に従って、組織内の管理者およびその他の担当者に通知する必要があります。

会社が犯罪行為が行われた疑いがある場合は、法執行機関に通報することを検討できます。 FBI と米国秘密情報局はサイバー捜査を行っており、法執行機関は通常民間企業では利用できないツールや手法を使用できるため、法執行機関に連絡することは被害者組織にとって有益である可能性があります。

「これらのツールと関係により、侵入者や攻撃者の逮捕と失われたデータの保護に成功する可能性が大幅に高まります」と司法省のガイダンスは説明しています。 「さらに、起訴に成功したサイバー犯罪者は、会社や他者にさらなる損害を与えることが防止され、他のサイバー犯罪者志望者もそのような有罪判決によって思いとどまる可能性があります。」

マクアンドリュー氏は、サイバーセキュリティに関しては捜査官の中には「真のスーパースター」もいることから、FBIに連絡する際にはFBIに関する知識を活用するよう企業に勧めている。 「すべての弁護士が平等に生まれているわけではないのと同じように、すべてのエージェントが平等に生まれているわけではありません」と彼は冗談を言います。

場合によっては、企業法務チームの誰かに米国検察庁に連絡を取ってもらい、弁護士間の関係を利用した方がよい場合もあります。

「弁護士同士で話すほうが役に立つ場合もあります」とマクアンドリューは言う。 「彼らにこの問題に興味を持ってもらえれば、一度も対応したことのない FBI 事務所に電話をかける必要がなくなることはわかっています。」

情報が漏れたり、不用意に共有されたりするのを防ぐために、何が起こっているのかについて全員が同じ認識を持つ必要があります。

「IT 部門は FBI と関係があり、合法的なことは問題外ですか?」マクアンドリューは尋ねます。 「IT 部門は法務担当者の知識なしに情報を共有していますか? 上級管理職は、法執行機関とのやり取りを開始したときに次に何が起こるかについて説明を受けており、知識を持っていますか? また、彼らはそれらのことを行うつもりですか?」

これらの質問を（多くの場合事前に）行うことは、インシデントが発生した場合の企業の意思決定を簡素化するのに役立つと彼は付け加えました。

落とし穴を避けてください。サイバーインシデント後に企業が取るべき行動は数多くありますが、司法省のガイダンスでは、通信に侵害されたシステムを使用しないよう企業に明示的に求められています。

「被害組織が通信に侵害されたシステムを使用する必要がある場合、通信を暗号化する必要がある」とガイダンスには記載されています。 「ソーシャル エンジニアリング攻撃の被害者にならないように、被害者組織の従業員は、最初に身元を確認することなく、インシデントについて問い合わせる未知のコミュニティにインシデント固有の情報を開示すべきではありません。」

司法省のガイダンスでは、企業はサイバー インシデント後に別のネットワークにハッキングしたり損害を与えたりしてはならないとも述べています。

「動機に関係なく、そのような行為は米国および一部の外国の法律の下では違法である可能性が高く、民事および/または刑事責任を負う可能性がある」と説明している。 「さらに、多くの侵入や攻撃は侵害されたシステムから開始されます。その結果、『ハッキングバック』によって、侵入者のシステムではなく、別の罪のない被害者のシステムが損傷または損なわれる可能性があります。」

侵入後

企業がサイバー攻撃の出血を止めることに成功したとしても、侵害の加害者が起訴された場合には法廷に立つことになるかもしれません。このため、ベイリー氏とスタワズ氏は、企業は法廷に出廷する可能性を念頭に置く必要があると説明しています。

被害者のステータス。サイバーインシデントが発生したとき、企業は自分たちが犯罪の被害者であること、そして検察は彼らをそのように扱うべきであることを忘れないことが重要だとスタワズ氏は言います。

「私たちは本当に助けようとしています。捜査の過程で彼らと協力し、運が良ければ、行われたことに対して誰かが起訴されるでしょう。」と彼は説明した。

スタワズ氏はまた、司法省は調査と訴追がどのように進んでいるのか企業に情報を提供し続けるために、より良い仕事をしようとしているとも述べた。企業には、事件の解決前、起訴の際、司法取引が行われた場合など、さまざまな段階で情報を得る権利があり、個人が有罪判決を受けた場合には量刑陳述に出廷する権利がある。

「サイバー犯罪が被害者に及ぼす影響を国民と裁判所に強調する声明を発表することを奨励します。」とスタワズ氏は説明します。

警戒を怠らないでください。サイバー インシデントが解決され、制御下にあるように見えた後も、企業は将来のシステム侵害の試みに備えて警戒を続けることが重要です。

「最善の努力にもかかわらず、既知のセキュリティ脆弱性に対処し、侵入者を排除するためにあらゆる合理的な措置を講じた企業が、それでも侵入者がネットワークに不正にアクセスする手段をすべて排除できていない可能性があります。」と司法省のガイダンスは説明しています。 「引き続きシステムに異常なアクティビティがないか監視してください。」