インシデント対応とは
セキュリティチームは、脅威が発生した時に即座に対応できる体制を整えている必要があります。脅威に備えるためには、事前に綿密に調整されたインシデント対応プラン(IRP)と一連の行動、そしてインシデント対応チームにおけるリーダーを決めておく必要があります。
社内に対応チームを持つ企業もあれば、インシデント対応サービスを社外に委託する企業もあります。また、技術的な分析は社外に任せ、他の部分は社内で対応するというハイブリッドアプローチを取り入れるケースもあります。どちら場合でも侵害発生前に、インシデント対応のトレーニングを受け、計画を立てておく必要があります。インシデント対応への取り組みには、以下を考慮する必要があります:
- 高度なインシデント管理と調整
- インシデントの技術的な分析
- 誰がインシデントの影響を受けたのか、また、インシデントの影響範囲
- 適切な情報公開に向けた危機コミュニケーション
- 影響の特定と必要な対応や行動の準備による法的対応
- 迅速な復旧を確実にする、修正と軽減に関する推奨事項とアクション
インシデント対応チームの主な構成
インシデント対応チームは、侵害の固有の状況に合わせて行動を調整するという非常に重要な役割を担います。セキュリティ担当部署は、以下の役割を担当する人物や組織をあらかじめ決定しておくと良いでしょう:
- インシデント管理:この主体となる役割を担うには、幅広い専門知識、管理やインシデント対応の経験が必要となります。この担当者は、プロジェクト全体のマネージャーの役目を担うことになり、専門的なタスクの完了と、関係するすべてのステークホルダー向けの情報収集を管理します。
- エンタープライズインシデント調査:大規模企業と小規模企業との間で大きく異なる課題です。大きな組織で大規模な侵害が発生した場合、チーム間のテクノロジーとパートナーシップを活用して、ホスト全体(リモートのホストも含む)全体のフォレンジックを迅速に支援し、チームがと潜在的な範囲をできるだけ早く見つけられるようにする必要があります。
- 技術的分析:専門的なノウハウが必要とされる役割で、マルウェア分析、フォレンジック分析、イベントログ分析、ネットワーク分析などの特定の領域を専門とするアナリストをチームに配置するのがよいでしょう。アナリストが見つけた情報は、インシデント対応チームの他のスタッフも共有します。
- インシデントの範囲特定:侵害範囲は、すべてのインシデント対応チームがの特定するべき、非常に重要な項目です。明らかになる侵害範囲はインシデント対応や調査の過程で変化する可能性があります。特に技術分析が長期にわたった場合には大きく変わることがあります。
- 危機管理とコミュニケーション:インシデントの調査結果、範囲、起こりうる結果を、組織の内外に共有する必要があります。危機管理とコミュニケーションに熟練したチームによる、適切なコミュニケーションが重要です。侵害や法務関連の通知、社員や被害を被った組織への通知などのほか、記者会見が含まれる場合もあります。
- 法務、人事に関する問題: 侵害発生時規制やコンプライアンスに関する問題がある場合、開示要件の扱いや政府関係者などの法執行機関との連携経験を持つ人物を巻き込むことが重要です。こうした要件に対応できる専門知識を持つ社員がチームにいない場合は、法律の専門家に依頼することも非常に有効です。
- 経営陣の意思決定:侵害がきっかけとなり、組織のイメージダウンや財務的損害が生じる恐れもあります。そのため、侵害対応には経営陣の関与が不可欠です。インシデント対応や調査の過程には、重要な意思決定が必要になるタイミングがあります。こうした重要な時点において、経営陣の意見が必要になります。
- 報告と修正:インシデント対応では、すべてを文書化することが重要です。文書化により、チームは侵害の全体像を把握できるようになります。攻撃者が何をいつ、どのように行ったか、そして何を侵害したのかが分かります。また、侵害から復旧するための修正と緩和に関する推奨事項について詳細な対応プランを作成できるようになり、今後類似した攻撃を受けた場合の対策に役立てることも可能です。
インシデント対応計画とは
インシデント対応計画には、組織内で侵害やセキュリティ危機が発生した際に、誰がどのような対応をとるべきかについて明記しておきます。対応計画をしっかりと立てておけば、被害を最低限に留めるようチームが即座に対応できるようになります。一秒一秒が勝負となる局面でも、定期的なシミュレーション訓練やプロセス確認を行っておけば、緊急事態が発生しても、インシデント対応担当者が即座に行動できるようになります。
組織内でインシデントレスポンスの遅延が発生するのを防ぐために、インシデントレスポンス担当者は慎重な IR 計画を作成し、さまざまなシナリオを想定して定期的にリハーサルを行う必要があります。 また、組織の主要な関係者や経営幹部からの賛同を得ることも重要です。このプロセスを通じ、チームは、迅速かつ効率的に行動するためのサポートが整っていることを認識できます。
セキュリティインシデントが発生したときに行動を起こす必要があるのはテクニカルチームだけではありません。法務や広報、そしてセキュリティサービスプロバイダや、外部の人々も関与する必要があります。
マネージド型インシデント対応サービスとは
外部のベンダーによって提供されるマネージド型インシデント対応サービス(MDR)は、さまざまな成熟度、規模、スキルセットを持つあらゆる組織が、侵害に適切に備え、管理体制を整えることができる補助を提供することを目的としています。マネージドサービスプロバイダは、次の方法で戦略的・戦術的な課題への対処に役立ちます。
- 強固なセキュリティプログラムの開発:インシデント検出プログラムで組織のあらゆる不測事態に対応できるか分からない場合、マネージド型インシデント対応サービスを利用することで、インシデントや侵害への準備を強化できます。
- 机上演習の実施:内部インシデント対応チームの能力をプロバイダが行う脅威に関するシミュレーション演習によって測ることで、チームのインシデントや侵害に対する対応体制を整えます。
- 侵害や違反に対する準備状況の評価:外部のインシデント対応チームは、環境やセキュリティプロセスの現状を評価し、想定されるリスクやギャップを明らかにします。
- 侵害に対する即時修正:侵害の可能性があり、至急サポートが必要となる場合、マネージド型サービスプロバイダが即時に対応し、被害の進行を防止します。
- インシデントに対応する担当者(リテーナー)を提供 : リテーナーは、計画に沿って社内チームとプロバイダのチーム間で調整を行い、侵害が発生した場合に全員が対応できるように体制を整えます。多くのリテーナーは上記に挙げたようなさまざまなサービスに対応しています。また、対応時間に関するサービスレベル契約(SLA)が規定されていることもあります。
繰り返しになりますが、侵害が起こってから対策や措置を講じても手遅れです。堅牢なインシデント対応計画を設け、すべてのステークホルダーとのコミュニケーションを確保することが、最悪の事態に備える最善の対策となります。
事後検証
インシデント対応に成功しても、まだ課題は残っています。社内のインシデント対応チームは、経験から学んだことを活かし、体制を見直すために事後検討を行いましょう。
成功点、失敗点や今後の改善点、もっと迅速に行動できる点を考えましょう。経験に勝る学びはありません。実際のインシデントからできる限り多くの教訓を収集することが重要です。
インシデント対応の詳細を読む
実践に備えて : インシデント対応計画の策定(第1部)
実践に備えて : インシデント対応計画の策定(第2部)
インシデント対応の最新情報 : 最新のRapid7ブログ記事