インシデント対応

侵害に対する備え:侵害は「万が一」発生するのではなく「いつか必ず」発生します

インシデント対応とは

セキュリティチームが脅威を検知した時に、組織として次に向けた準備が整っていることは非常に重要です。そのためには、綿密に調整されたインシデント対応プラン(IRP)と一連のアクション、そして専門のインシデント対応チームの特定のステークホルダーに割り当てられたイベントが必要となります。独自の社内チームを有する企業もあれば、インシデント対応サービスをアウトソーシングする企業もあります。一方で、技術分析はアウトソーシングして、IRPの残りの部分については社内で対応するというハイブリッドアプローチをとる企業もあります。いずれの場合も、問題が発生する前に、チームはこうしたインシデント対応イベントのトレーニングを受けて、計画を立てておく必要があります。

  • 十分に調整されたインシデント対応への取り組みには、常に以下の内容が含まれます。
  • ハイレベルなインシデント管理と調整
  • インシデントのテクニカル分析
  • 誰と何が影響を受けたのかを判断するインシデント範囲の特定
  • 調整のとれた、メリットのあるやり方で確実に情報をリリースする危機コミュニケーション
  • 影響を判断し、必要な対応やアクションがあればそれを準備する法的対応
  • スムーズなリカバリを確保するための、修正と軽減に関する推奨事項とアクション

組織全体の準備

組織のインシデント対応チームには、セキュリティやIT以外の部門の人員も含める必要があります。法務、企業広報、人事などからのステークホルダーも、インシデント対応アクティビティの準備と実施に関与する必要があります。

スピードが重要となる事態で迅速なアクションをとるためには、準備が鍵となります。状況が本格的なエスカレーションインシデントになるまで待ってから、ステークホルダーを探し出して報告を開始するのは理想的ではありません。重要な関係者は、合図があればすぐに行動に移せるように、かなり前の段階で自らの責任を認識する必要があります。チームメンバーが適時に適切な行動を取れるように十分なトレーニングと権限を与えるため、チームでは非専門的な内容の机上訓練とフル違反シミュレーションを行って、専門的/非専門的プロセスを練習する必要があります。

重要なスタッフを把握する

インシデント対応の準備をする際には、チームに適切なスタッフを加えることが非常に重要です。すべてのビジネスには独自のニーズがありますが、組織が以下の重要となる役目を担当する個人またはチームを特定することが推奨されます。

  • インシデント管理:この中心的な役割には、幅広い専門知識と管理やインシデント対応に関連した先行経験が必要となります。この役割を担うスタッフは、プロジェクト全体のマネージャーの役目を担うことになり、専門的なタスクの完了と、関係するすべてのステークホルダー向けの情報収集を管理します。
  • 企業インシデント調査:この調査では、企業で取り組む課題は、小規模な企業のものとは異なります。大規模な組織で発生する大規模な侵害では、テクノロジーを利用してホスト全体(リモートを含めた)のフォレンジックを支援し、チームが侵害の兆候や潜在的な範囲をできるだけ短時間で見つけることができるようにする必要があります。
  • テクニカル分析:専門的なノウハウが必要とされる役割で、マルウェア分析、フォレンジック分析、イベントログ分析、ネットワーク分析などの特定の領域を専門とするアナリストがチームにいるのがベストです。アナリストが見いだした情報は、インシデント対応チームの他のスタッフとも共有する必要があります。
  • インシデントの範囲特定:侵害の程度はどのくらいなのか?これはすべてのインシデント対応チームが知る必要のある、非常に重要な質問です。この質問への答えはインシデント対応や調査の過程で変わる可能性があり、特にテクニカル分析が続いた場合には顕著に変わります。
  • クライシスコミュニケーション:調査結果、範囲、起こりうる結果について、組織の内外で共有する必要があります。経験豊富なクライシスコミュニケーションチームが、適切なスタッフに適切かつ詳細な情報を伝える必要があります。担う役割には侵害に関する通知、規制に関する通知、従業員または被害者への通知などが含まれ、必要に応じて記者会見も行います。
  • 法務、人事、規制に関する懸念: 侵害を受けた際に規制やコンプライアンスの懸念がある場合、開示要件のかじ取りや政府の代表者などの法執行機関との連携に関するノウハウを持つ人物が、チームに参加することが重要です。こうした要件をカバーする専門知識が社内のチームにない場合には、法律の専門家に依頼するのも価値ある投資となります。
  • 経営陣の意思決定:すべての侵害において、組織のイメージダウンや財務的損害が生じる恐れもあります。そのため、対応には経営陣が常に関与している必要があります。インシデント対応や調査の過程には、重要な意思決定を行うポイントがあります。こうした重要な時点では、チームは経営陣に意見を求める必要があります。
  • 報告と修正:インシデントに対応する際、すべてを文書化することが重要です。これらの情報から、チームは侵害の全貌を把握することができるようになります。攻撃者が何をいつ、どのように行ったか、そして何を侵害したのかが分かります。これにより、侵害から回復するための修正と緩和に関する推奨事項について詳細な対応プランを作成することができるようになり、今後類似した攻撃を受けた時の防衛に役立ちます。

事後検討

インシデント対応に成功した後も、まだ安心はできません。インシデント対応チームはこの経験から学ぶために、インシデント対応プログラムを具体的に微調整したり、セキュリティプログラムを全体的に修正したりするなどの事後検討を実施する必要があります。何が機能し、何が機能しなかったのか。そしてもっとうまく、迅速にできたことはなかったのか?経験に勝る教師はありません。実際のインシデントからできる限り多くの教訓を収集することが重要です。

We love to give you options. 

This page is also available in English!

Switch to English