インシデント対応

インシデントレスポンスとは何か?

サイバーセキュリティにおけるインシデントレスポンスとは、組織がサイバー攻撃を検知、分析、修復するためのツールや技術を指す。インシデントレスポンスには通常、IT、セキュリティ、企業広報、財務、法務など、複数の利害関係者が関与する。インシデントレスポンスの中核的な目標は2つある。

第一に、破壊的なサイバー事象の影響を最小化することを目的として、脅威行為者が目的を果たす前に検知して撃退すること、あるいは、攻撃による永続的な損害を回避するのに十分な回復力を組織が備えていることを確認することである。また、インシデント対応プログラムでは、破壊的な事象を分析し、組織が今後同様のインシデントをどのように防止するかを判断する。

インシデント対応計画とは何か?

インシデント対応計画は、組織のインシデント対応プログラムを定義する ものである。すべてのインシデント対応手順、責任、および緩和策の概要が記載されています。ほとんどの場合、インシデント対応計画は、組織が直面する可能性が最も高いサイバー攻撃、および対処せずに放置した場合に深刻な損害を引き起こす可能性が最も高いサイバー攻撃も特定します。

インシデント対応計画で通常カバーされるその他の要素には、以下が含まれる:

  • インシデント発生時および発生後の指揮系統
  • 指標と主要業績評価指標
  • インシデント対応計画が、組織の中核的な事業目標とどのように結びついているか
  • 危機管理コミュニケーション・プラットフォーム、安全なデータ保管庫、災害復旧ソリューションなどのツールやテクノロジー
  • 事故後の文書要件
  • 事故後の評価プロセス
  • 訴訟または規制上の罰則に対処するための手順。
  • インシデント対応訓練の手順

インシデント対応計画が重要な理由

同じ系統のランサムウェアに狙われた2つの組織を思い浮かべてほしい。

最初の組織は、脅威に対処するための明確な戦略を持っている。そのセキュリティ・チームは、感染したシステムを直ちに隔離し、ランサムウェアの株を特定した後、それらのシステムをサニタイズすべきか、完全に消去すべきかを決定する。攻撃は開始とほぼ同時に解決され、会社は顧客や利害関係者に何が起こったかを即座に伝える。

攻撃後、組織は何が起こったかを検証し、学んだことをセキュリティの改善に生かす。

インシデント対応計画がないため、2つ目の組織は脅威への動員や対応にかなり時間がかかる。その結果、ランサムウェアはより多くのインフラに拡散し、その過程で複数のビジネスクリティカルなシステムをロックダウンする機会を得る。利害関係者とのコミュニケーションが、もし行われたとしても、曖昧で一貫性がない。

これらの例を見れば、なぜインシデント対応計画が必要なのかがよくわかる。インシデント対応計画がなければ、あなたのチームがサイバー攻撃に効率的かつ効果的に対応できるかどうかは、主に運次第です。このようなインシデントがビジネスの評判に永続的な影響を与える可能性を考えると、このようなリスクを負うことは許されません。

別の言い方をすれば、インシデント対応計画は、組織が風評被害や財政的ダメージを最小限に抑え、業界規制により効果的に準拠し、インシデント対応時間を短縮し、全体的なセキュリティ態勢を改善するのに役立ちます。

どのようなシナリオでインシデント対応計画が適用されるのか?

インシデント対応計画が必要とされる状況には、以下のようなものがある:

インシデントレスポンスとインシデントマネジメント

インシデントレスポンスはインシデント管理の一部であるが、多くの組織ではこの2つの用語を同じ意味で使用している。この2つの主な違いは、インシデント管理はより広範で戦略的な焦点を持っていることです。一方、インシデントレスポンスは、より技術的で即時性が高く、サイバー攻撃が発生したときに直接対処することに重点を置いています。

インシデント管理戦略は通常、以下をカバーする:

  • サイバーインシデント発生前の管理・対応計画の作成
  • 破壊的イベント発生時のインシデント対応活動の監督
  • 必要に応じて第三者の専門知識を活用
  • クライシス・コミュニケーション・チャネルと計画の管理
  • インシデント発生時に従うべき指揮系統の定義
  • 事故後のフォレンジックとフォローアップ

一方、インシデントレスポンスには以下のようなものがある:

  • 潜在的なサイバー攻撃の監視と初期識別
  • 社内、MSSP経由、または自動化された脅威検知プラットフォームを通じて、関係者にインシデントを通知する。
  • 攻撃の具体的な性質と目的を特定し、それを阻止する最も効果的な方法を決定する。
  • 漏洩したシステムやデータをバックアップから復元する。

組織のインシデント対応プロセスには誰が責任を負うのか?

インシデント対応計画を策定する場合、組織のセキュリティ・チームやIT部門が主導するのが一般的ですが、効果的なインシデント対応には組織全体からのインプットが必要です。ガートナー社によると、これは一般的にサイバー・インシデント対応チーム(CIRT)の形をとります。ガートナー社は、組織のCIRTに技術専門家だけでなく、「(セキュリティ)インシデント発生後の適切なコミュニケーションについて企業幹部を指導できる専門家」を含めることを推奨しています。

このアナリストはさらに、組織のCIRTは通常、セキュリティ、災害復旧、広報などの他のグループと協力していると指摘する。

インシデント対応計画のステップ

SANS InstituteのIncident Handler's Handbookによると、典型的なサイバーインシデント計画は6つのステップまたはフェーズに分けることができ、それぞれにベストプラクティスがある。

準備

  • インシデント対応計画が明確に定義され、予期せぬサイバーイベントに適応できる柔軟性を備えていることを確認する。
  • IR 文書は、すべての職員が容易に利用できるようにし、すべての方針、戦略、プロセスを明記する。
  • ビジネスのエコシステムから完全に切り離されたIRツールを導入し、その有効性を定期的にテストする。
  • 組織文化にインシデント対応トレーニングと準備態勢を組み込む

識別

封じ込め

  • 脅威を迅速かつ効果的に特定・隔離できる高度なエンドポイント保護プラットフォーム(EPP)などのテクノロジーを活用する
  • すべてのシステム、資産、デバイスをエコシステムから迅速にエアギャップできるようにします。
  • デジタル・フォレンジックとして使用可能な包括的なログファイルを維持する。

撲滅

  • 感染したシステムをすべてサニタイズまたはワイプクリーンする
  • バックアップからリストアする前に、バックアップに削除されたばかりの脅威が含まれていないことを絶対に確認して ください。 
  • 脅威者が組織へのアクセスを回復する可能性のあるあらゆる手段を封鎖する。

リカバリー

  • 業務を復旧させる際には、すべての資産とデータに侵害の兆候がないか、引き続き監視、テスト、検証を行ってください。
  • 完全復興に向けた現実的なロードマップを設定し、短期的および長期的な潜在的影響をステークホルダーに伝える。

評価

  • 事件全体を見直し、以下の質問に答えなさい:
    • 何が起こったのか?
    • どうしてこうなった?
    • 今後このようなことが起こらないようにするにはどうすればいいのだろうか?
  • インシデント対応計画の有効性を評価し、将来のインシデントのために改善すべき潜在的な分野を特定する。

BlackBerry インシデントレスポンス

BlackBerryCybersecurity Services- サイバー攻撃を受けている場合でも、侵害を食い止める必要がある場合でも、インシデント対応計画を策定する必要がある場合でも、BlackBerryから直ちに支援を受けることができます。インシデントを報告するか、当社 (+1-888-808-3119)に今すぐお電話ください。
インシデントの報告

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース