インシデントレスポンスとは

近年、情報セキュリティ対策における「インシデントレスポンス」の重要性がますます高まっています。インシデントレスポンスとは、セキュリティインシデントが起こった際の原因の特定や除去、システムや業務の復旧、社内外の関係者との連絡や調整といった「インシデントへの対応」全般の取り組みを指します。

かつてのセキュリティ対策は、「インシデントを発生させないための対策」に主眼が置かれていましたが、近年のサイバー攻撃は年々高度化・巧妙化の一途を辿っており、もはや被害を100%確実に防ぐのは不可能だと言われています。そのため、インシデント発生を防ぐ手立てとともに、不幸にもインシデントが発生してしまったことを想定し、その対応策をあらかじめ準備しておくことが重要になってきています。

インシデントレスポンスプラン策定の重要性

具体的な取り組みとしては、インシデントが発生した際の行動プラン、つまり「インシデントレスポンスプラン」を策定するところがスタート地点になります。しかし、このプランに重大な抜け・漏れがあるために、いざインシデントが発生した際、思うように対応が運ばないケースが多く見られます。こうした事態を避けるためには、インシデントレスポンスプランを策定する際に、以下の9つのステップを踏むことが大事です。

インシデントレスポンスプラン策定に必要な「9つのステップ」

1. 組織全体で準備を進める

インシデントレスポンスプランの策定は、一般的にIT部門やセキュリティ部門の主導のもとで行われますが、いざインシデントが発生した際には、社内のさまざまな部門の関係者に動いてもらう必要があります。従ってIT部門やセキュリティ部門だけで事を運ぶのではなく、プラン策定の段階から社内のあらゆる部門の関係者を巻き込んでおくべきでしょう。

2. 計測対象のデータとマトリックスを把握する

インシデントが発生した際に計測すべきKPIを、あらかじめ定義しておくことが重要です。例えば、検知や報告に要した時間、初動にかかった時間などがそれに当たります。また定量的な情報だけでなく、攻撃の性質やインシデントを特定したツールといった、定性的な情報を追跡できるようなプランを立てておくことも大事です。

3. テストを実施する

単に「プランを立てて終わり」ではなく、起こり得るさまざまなインシデントのシナリオに沿って実際にプランを発動させて、それが正しく機能するかテストする必要があります。この場合、机上で演習を行ったり、チーム内でトレーニングを行うだけでも効果はありますが、全社レベルの訓練が行えればベストでしょう。

4. 問題がないように見えるアラートをチェックする

近年のサイバー攻撃、特に標的型攻撃は、ターゲットのシステムに侵入した後、じっくり時間をかけて慎重に行動するため、「いかにも怪しい挙動」を示すことは稀です。従って、その侵入や挙動を検知するためには、一見すると問題がないように見える事象でも丁寧に拾い上げて、きちんとチェックする必要があります。

5. 統合データリポジトリを作成する

いざインシデントが発生した際にその原因を特定するには、さまざまなセキュリティ機器、ネットワーク機器から収集したデータを互いに突き合わせて分析する必要がありますが、それらがばらばらに散在していては作業効率が大幅に落ちてしまいます。そのため、平時からこれらのデータを1カ所で管理できる統合データリポジトリを構築しておくことが重要です。

6. 産業用の制御システムも十分にチェックする

近年では企業の基幹システムやOAシステムだけでなく、工場やプラントなどの制御システムが攻撃のターゲットになることが少なくありません。こうしたシステムの管理は、本社部門とは切り離されて行われているケースが多いため、なおさら注意してチェックする必要があります。

7. 隔離や問題の修復の措置を適切に実施する

もし攻撃を検知したら、その原因となるマルウェアを隔離して攻撃を完全に停止させ、原状復帰させる必要があります。しかし、その感染経路や手口などに関する情報が乏しいまま、単にマルウェアを隔離・駆除するだけでは、何度も同じ攻撃を受けて感染を繰り返すことにもなりかねません。十分な情報に基づいた適切な処置を行うことが重要です。

8. フォローアップのための予算計画とリソース計画を立てる

インシデントレスポンスにおいては、インシデントの再発を防止するためのフォローアップの取り組みが不可欠です。しかしフォローアップの結果、追加の対策が必要だと判明しても、それに対して十分な投資を行いたがらない企業が多いことも事実です。場合によっては、投資額を抑えながらフォローアップを行えるケースもあるため、フォローアップへの投資を決して疎かにするべきではありません。

9. 組織全体でフォローアップを実施する

フォローアップの取り組みの中でインシデント再発防止策を練っていくに当たっては、セキュリティ部門内の対策だけでなく、関連するさまざまな部門の協力が必要になってきます。従って準備段階だけでなく、フォローアップのステップにおいても社内のあらゆる部門の協力を得る必要があります。

以上で挙げた9つのステップを踏めば、極めて実効性の高いインシデントレスポンスプランを策定できるはずです。加えて、サイバーリーズンが提供する「Cybereason EDR」に代表されるEDR(Endpoint Detection and Response)のソリューションを導入しておけば、いざインシデントが起こった際に「何が起きたのか」を迅速に切り分けられるため、対応をスピーディーかつスムーズに行えることでしょう。

なお、ここで挙げた「インシデントレスポンスプラン策定の9ステップ」については、別途ホワイトペーパーで詳細な解説を行っていますので、興味をお持ちの方はぜひご参照ください。

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス(インシデント対応)プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス(インシデント対応)プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス(インシデント対応)プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」インシデントレスポンスプランに組み込むべきでありながら忘れがちな9つの重要なステップ