ランサムウェア攻撃のストレスで現場は崩壊寸前!?

　ランサムウェア攻撃が猛威を振るう中にあって、SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）など、セキュリティ・インシデント対応に当たるスタッフのプレッシャーは増すばかりだ。

　とある調査結果でも、メンバーの67％が日々、ストレスと不安を感じており、81％がランサムウェアにより職務上のプレッシャーが増していると回答。結果、65％が仕事が原因でメンタル・ヘルス支援を過去に求め、73％が燃え尽き症候群を経験している。

　Gartner バイス プレジデント, リサーチャーのクリスティン・リー氏は、「セキュリティ対応において技術は確かに重要ですが、それ以上に大事なのは技術を用いて実務に当たるスタッフです。ただ、各種の調査結果を見ても、状況は深刻です。日々のインシデント対応に追われて彼らは肉体的、精神的に疲れ切っており、中には職場からの離脱を余儀なくされるスタッフも出ています。このままでは現場が崩壊しかねず、CISOをはじめとするセキュリティチームのリーダーには彼らが健康を保ち、業務を高いパフォーマンスで推敲できるようにするための施策の展開が急務となっています」と訴える。


　リー氏によると、ストレス軽減に向けた施策は「インシデント発生前」「インシデント発生中」「インシデント発生後」のフェーズごとに、それぞれ次のような内容になるのだという。

発生前の施策の柱は“計画と訓練”

　まずは「インシデント発生前」の施策だ。ここで取り組むべきセキュリティ面の施策がSRM（セキュリティ リスク マネジメント）に基づく各種計画の策定だが、そこで配慮すべきなのがインシデント発生時には社内が混乱し、情報伝達も円滑にはいかず、それが現場の負担とプレッシャーにつながり、スタッフを疲弊させる一因になる点だ。

　対応に向けインシデント発生時のコミュニケーション・パスやエスカレーション・パス、全社的な情報共有のための手続きなどを最低限でも用意しておく必要がある。社外向けのコミュニケーション計画も可能であれば策定すべきだという。

　もっとも、それらを準備できたとしても、インシデント発生時に正しく機能しなければ意味がない。そこで計画が確実に機能するよう、定期的に訓練を実施する。

「SRMの成熟度で最上位の企業は少なくとも年に数回は訓練を行い、そこでの課題を基に計画を見直しています。環境が変わり続ける中、計画は一度作って終わりではありません」（リー氏）

　人はストレスにより、思わぬ判断を下すことがあるが、定期的な訓練はストレス軽減にも大いに役立つ。また、定期訓練はセキュリティ・リーダーにとってスタッフの資質や能力を確認する絶好の機会であり、ひいては適材適所の人材配置にもつなげられる。

　これらの計画や訓練の生かす上で鍵を握るのが、復旧作業の優先順位付け、さらにその概略レベル、可能であれば詳細レベルにまで踏み込んだ対応プロセスの明確化だ。併せて、確実な遂行に向け、セキュリティとIT、ビジネスのそれぞれでのRACI（Responsible：責任を負う、Accountable：説明責任を負う、Consulted：相談を受ける、Informed：連絡を受ける）も決定しておくべきだ。

「これらの整備後は、インシデント対応で利用できる保険などの情報を取りまとめたプレイブックの作成を推奨しています。危機対応時のいわばルールブックであり、各種判断の迅速化に役立ちます」（リー氏） 【次ページ】24時間連続対応のために複数チーム編成を