セキュリティインシデント対応はなぜ遅れるのか

　サイバーセキュリティ対策はいまや経営と一体化した取り組みだ。インシデントが発生してから対応するのでは手遅れになることも多いため、インシデント発生に備えて平時からいかに取り組みを行うかがカギとなる。

　あるセキュリティベンダーがグローバル規模で行ったユーザー調査によると、一般的なインシデント対応にかかる時間は、封じ込めと対処で平均して約1週間かかっていた。封じ込めとは感染端末の特定と感染端末の隔離を指し、これが約3日間だ。対処とは脅威を無効化することだが、これには4日間ほど日数がかかる。さらに、感染の原因や経路、正確な影響範囲や安全性の調査には平均して36日間を要していた。

　こうした対応の遅れは、企業に甚大な被害を及ぼすことになる。具体的には、企業ブランドのイメージ低下、顧客喪失による減収・減益、損害賠償などだ。さらに、対応が遅れれば遅れるほど、調査コストや事後対応にかかるコスト、再発防止策へのコストがかさむことになる。

　なぜ、こうした遅れが発生するのか。その要因は大きく4つある。情報資産の所在が不明なこと、調査作業が煩雑なこと、そもそもセキュリティ人材が不足していること、そして、インシデント対応の体制が成熟していないことだ。

　これらが組み合わさると、インシデントが起きてから慌てて対応することになり、リスクの在りかや優先順位付けができなくなり、場当たり的な対策に終わってしまう。結果として、損害や影響がますます大きくなっていく。そうならないためにも、インシデント発生に備えて平時から対策を行うことが重要となる。

　では、具体的にどのように取り組めば良いのだろうか？