CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

<インシデントマネジメント⑥~その他インシデント関連業務~>

<インシデントマネジメント⑥~その他インシデント関連業務~>

 

さて、インシデントマネジメントシリーズも残りわずかとなってきました!そんな今回は インシデントマネジメントに関連した業務についてご紹介をしていきます!

いきなりですが、その他インシデント関連業務とは具体的に言えば、「セキュリティ演習や訓練」のことを指します。尚、僕としては演習と訓練の言葉の定義などは考えなくて良いと思いますので、とりあえず「インシデントマネジメントを推進していくにはセキュリティ演習や訓練が大切なんだな~」とイメージして頂ければ問題ありません(^^♪

 

ちなみに、巷でよく聞くセキュリティ演習・訓練の例としては以下などがあるかと思います。

・標的型攻撃メール訓練

・サイバー演習

ペネトレーションテスト

特に標的型攻撃メール訓練は一般企業様でもかなり採用されている印象ですし、サイバー演習については各業界のISAC(=Information Sharing and Analysis Center)毎に、企業間の垣根を越えようと演習が行われているかと思います。

 

くどいようですが、今回は「インシデントマネジメントを推進していくにはセキュリティ演習や訓練が大切なんだな~」と思って頂ければ良いので、細かい話は別に聞かなくて良さそうな方はここでこの記事は終了として頂いて問題ありません!(^^)/

 

※もう少し詳しく知りたい・考えたいという方は以下も併せてご参考にして頂ければと思います。※


上記のようなセキュリティ演習・訓練的なことををする際は何をゴールとして、何をKPIとするかをよく考えて行う必要がある点は注意が必要です。

あくまで個人的な意見ですが、特に「標的型攻撃メール訓練」は無駄な投資になりやすいかと考えています。理由としてはゴール設定が明確でなかったり、そもそもゴール設定に問題があるからと考えています。多くの企業では「メール開封率」「添付ファイル開封率」をKPIにしてメール訓練を重ね、それらのKPI数値が改善しているかどうかをベンチマークしているケースがあるかと思いますが、これはあまり意味がありません。多くの専門家が指摘するよう、仮に開封率1%でも、従業員が1000人いれば10人は開封するわけです。

ちなみに、上場企業でセキュリティ対策に積極的な企業でも10%を切る開封率になればそれ以降は誤差の範囲かと思います!('◇')ゞ

 

このように考えると、やはりゴール設定が非常に重要かと思います。

僕的には、「従業員が不正なメールorファイル開封後にSOCやCSIRTへ正しく通報できること」をゴールとして、「開封から通報まで時間」「開封率と通報率」などをKPIとしてメール訓練を実施をすることが重要ではないかと考えます。次章では「インシデントハンドリング」についてご紹介をするのですが、インシデントハンドリングの主役であるCSIRTからすると「いかに早くインシデントを検知できるか?」というのはめちゃくちゃ重要で、検知が遅れればインシデントから復旧するために膨大な時間とコストがかかります。逆に言えば、早急な検知ができるということはインシデントハンドリングをする上でかなりアドバンテージになるという事です。

今回はメール訓練を例にお話を致しましたが、サイバー演習やペネトレーションテストについてもまだまだ語りたい内容があります・・・(笑)

長くなりすぎるので今回はこのあたりで押さえておこうと思いますが、セキュリティ演習・訓練に対する投資が価値ある投資となることを願っていますし、少しでも参考になれば光栄です。(^^

 

以上、長々とありがとうございました!

 

f:id:CyberSEALs:20210512105503j:plain

先日久しぶり晴れたので海に行きました( ´∀` )