「プレイブック」はインシデント対応マニュアル
サイバーセキュリティ分野で「プレイブック」とは、インシデント対応マニュアルのことを指します。
わかりやすく言い換えるなら、「サイバー攻撃を受けた際にどんな対処をすべきか」が書かれたものです。
実際には「サイバー攻撃に備えて事前に準備しておくことは何か」、「サイバー攻撃を鎮圧した後に誰に対しどんな報告をするか」などの事前準備や事後処理のことまで記載されています。
目的は「インシデント対応品質の均質化」、「法律の確実な遵守」
プレイブックを作る目的は、インシデント対応品質の均質化と法律遵守にあります。
新人でもインシデント対応に一定の品質が出せる
例えばインシデント発生時、ベテランエンジニアが対応した場合と、新人エンジニアが対応した場合を想像します。
ベテランエンジニアが対応した場合は、的確で迅速な仕事をしてくれる期待があり、問題は無さそうです。
一方、新人エンジニアでは実行するべき対応内容がわからないなどの問題が想定されます。
人によりインシデント対応の品質に差が出てしまうのは仕方ない部分もありますが、一定の水準を満たしていないなら問題があります。
プレイブックを準備し活用することで、新人エンジニアでも「インシデント対応時として何をするべきか」が明確になります。
プレイブックの目的は、こうして一定水準を満たした対応品質を確保することです。
記載通り進めれば、法律で求められることを自然と満たせる
サイバーセキュリティ分野では個人情報の保護など、法律の要件と密接な関わりがあります。
そのため対応を間違えたり、漏れがあったりすると法的な責任を問われかねません。
こうした事態を防ぐため、プレイブックに必要な手順をまとめておきます。
そうすることで例え法律に対し知識が乏しいエンジニアが対応に当たっても、プレイブック通りに進めれば自然と法律で求められる対応をこなすことができます。
内容は対応フェーズ毎に構造化されている
プレイブックの内容はインシデント対応のフェーズ(段階)に分けて構造化されています。
一般的には以下のようになっています。
- 準備
- 検出
- 分析
- 封じ込め
- 根絶
- 復旧
- 事後対応
のような構造です。
プレイブックは国によって異なり、進化していく
実際のプレイブックを見てみる
代表的なプレイブックとして、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)が公開している「Incident and vulnerability response playbooks」があります。
2021年に発表されたものなので、内容としては古いものですが、プレイブックが実際どんな姿をしているのかを知ることができます。
また初級レベルのサイバーセキュリティ職がよく使うもののひとつでもあるようなので、内容的にも比較的易しい部類と考えられます。
国が違えば法も違い、プレイブックも違う
各国で基本となるプレイブックは異なります。
理由は国ごとに法律が異なることが背景にあり、サイバーセキュリティで求められる内容が違うためです。
日本で代表的なプレイブックがあるかは筆者は知りません。
※もしIncident and vulnerability response playbooksのように公開されているものがあれば、コメントで教えてください。
経験を基にプレイブックは更新・改善される
サイバー攻撃は日々進化するものであるため、自然とその対策も進化を求められます。
そのためプレイブックも一度作ったら終わりではありません。
幾多の攻撃対処の経験を基に、それらの対応を振り返り、プレイブックに反映させていきます。
まとめ
今回の記事では「サイバーセキュリティ分野におけるプレイブックとは何か?」について解説しました。
その役割、目的、特徴、具体例をお伝えできたかと思います。
今回の記事は以上です。
お役に立てれば幸いです。
コメント