インシデントレスポンスは「時間との勝負」

昨今のサイバー攻撃は質、量ともに以前とは比べ物にならないほどレベルが高くなっており、従来のような「ネットワークの境界上で侵入を防ぐ対策」だけでは、被害を防ぎきれなくなっています。そのため、マルウェアの侵入を許してしまったり、実際に被害が生じてしまった際の事後対応と復旧を迅速に行うための「インシデントレスポンス」の重要性が叫ばれています。

サイバー攻撃からの被害を100％防ぐのはもはや不可能なので、もし被害を受けてしまった場合に、そのダメージの量や範囲を最小限に抑え、かつ迅速にビジネスを復旧させるための計画を事前にしっかり立てておこうというのが、インシデントレスポンスの基本的な考え方です。現在では国内外のさまざまなセキュリティ団体や政府組織、ベンダーが、このインシデントレスポンスの重要性を説いており、これを受けて企業もいざというときの対応計画とそのための体制の整備を進めつつあります。

ただし、その取り組みはまだまだ途上段階にあるようです。サイバーリーズンが世界各国の企業・団体を対象に行った調査によれば、マルウェアの感染が発覚してから感染端末を特定・隔離し、脅威を無効化するまでには、平均して1週間かかっているという結果が出ました。また、感染の原因や経路、正確な影響範囲や安全性などの調査には、その後36日間もかかっているそうです。

脅威の封じ込めと無効化に1週間もかかっているという実情は、明らかにスピード感に欠けていると言わざるを得ません。感染スピードが早いマルウェアであれば、1週間で感染範囲をかなり広げることが可能です。一次対応に1週間もかけているようでは、スピードの早い攻撃に対してはどうしても後手に回ってしまう可能性が高いでしょう。

インシデントレスポンスの長期化がもたらす数々の弊害

しかし実際には、感染を検知して感染元のIPアドレスから端末を特定するだけで早くても丸1日、場合によっては2週間ほどかかることも珍しくありません。また感染端末を特定できても、それらをネットワークから隔離するのにさらに時間がかかります。近年では特に、「働き方改革」の掛け声の下、ノートPCを社外に持ち出してモバイルワークや在宅勤務を行う機会も増えてきました。そうした端末が感染してしまった場合、社内ネットワークにつながっていない分、調査はさらに難航することが予想されます。

さらに、その後の調査に36日間かかるというのは、誰の目にもスピード感が足りないことは明らかです。もし初期の封じ込めと無効化が不十分だった場合、この36日の間に見えないところで二次被害が広がる可能性があります。多くの企業はそれを恐れ、調査結果が明らかになるまでは影響を受けた可能性のある端末をすべてネットワークから隔離したり、最悪の場合はネットワークそのものをインターネットから完全に遮断してしまうことすらあります。

もし36日間も社内のネットワークがインターネットから遮断されてしまえば、業務効率が大幅に低下してしまうのはもちろんのこと、それを少しでも緩和するために情報システム部門は業務部門からのクレームを一身に受けながら奔走するはめになります。例えば、業務上どうしてもアクセスしなければいけないサイトやWebサービスへのアクセスを特例として許可したり、メールのやりとりを行えるようにするためのネットワーク設定を別途行ったりと、調査期間中は調査そのもの以外にもイレギュラーな作業に忙殺されることになります。

インシデントレスポンスの時間短縮に寄与する「Cybereason EDR」

このように、インシデントレスポンスにかかる時間が長引けば長引くほど、セキュリティリスクが高まるとともに、ビジネスへ与えるダメージも大きくなっていきます。そのためインシデントレスポンスのプランを策定する際には、「いかに時間を短縮できるか？」という視点が決して欠かせません。

サイバーリーズンが提供するEDR製品「Cybereason EDR」は、まさにこの点において効果を発揮する製品だと言えます。もし社内の端末がマルウェアに感染した場合、その端末が社内で使われていようと社外で使われていようと、即座に感染端末を特定し、管理コンソール上から端末をネットワークから即座に隔離できるようになっています。

さらには、端末上の疑わしいファイルやレジストリの削除といった初期対応も、管理コンソール上のわずか数クリックの操作で完了できます。そのため、通常は1週間かかる脅威の封じ込めと無効化の対処を、その場で即座に完了できます。

感染の原因や経路、影響範囲の調査についても、Cybereason EDRを用いれば一目で把握することができます。各端末上で取得した情報をクラウド環境上でリアルタイムに分析し、その結果を管理コンソール上からグラフィカルなチャートで分かりやすく攻撃の状況を表示できます。

また緊急事態の場合は、サイバーリーズンのセキュリティエンジニアが即座にアラートやログの情報を解析し、その結果をお客様に伝えます。これにより、端末の隔離やファイルの隔離、プロセスのキルなどの対応を即時に行えるようになりますが、さらに有益なのは翌日までにはアナリストが作成した解析レポートが提供されることです。

この緊急時の解析レポートには、詳細な調査結果と推奨対策が記載されています。組織が次に同じ脅威に遭わないためには、その根本原因を理解し、そこに対してしっかり対策を打つことが重要です。この根本的な対策を行うことにより、以前よりもセキュリティの強度を高められます。

このように、マネージド・セキュリティ・サービスも併用すれば、基本的な調査自体も、約2日で行うことが可能となります。

封じ込めと無効化に1週間かかっていたのが「即時」に。そして調査に36日間かかっていたのがわずか「2日間」に。これによって、どれほどのセキュリティリスクが抑えられ、そしてビジネスに与えるネガティブインパクトをどれほど和らげられるか、今さら説明するまでもないでしょう。時間短縮の観点からインシデントレスポンスを考える際には、ぜひCybereason EDRのようなソリューションの導入をお勧めします。

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス（インシデント対応）プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス（インシデント対応）プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス（インシデント対応）プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/