侵害発生時には
緊急のインシデントレスポンスサポートが必要な場合は、下記の番号にお電話していただくか、リンクからお問い合わせください。
米国のインシデントレスポンス直通番号:1-844-727-4347
英国のインシデントレスポンス直通番号:0-800-069-8753
スイスのインシデントレスポンス直通番号:0800-838-238
オーストラリアのインシデントレスポンス直通番号:1-800-145-596
包括的な検知対応サービス
Rapid7では、唯一無二のMDRサービスを提供しています。インシデントレスポンスパートナーとして、お客様が必要な時に本当に頼れる存在として、サポートいたします。インシデントレスポンスリテーナー契約では、セキュリティに関わるインシデントが起きた場合、その深刻度に関わらず、MDRチームがインシデントレスポンスに関する妥協のない専門技術を持って対処します。追加コストはかからず、無制限でサービスを利用できます。
いつでもどこでもサポートします
インシデントレスポンスでは、複数のテレメトリソースによってフォレンジックアーティファクトを取得し、データを分析しています。侵害が起きた場合、お客様の環境にすでにデプロイされた技術を活用して、直にインシデントレスポンスを行います。
無制限インシデントレスポンスサービスでは、対応時間数やDFIRコンサルタントとのやり取り、侵害の規模、複雑さに制限はありません。対象となるMDRユーザーであれば、無制限でご利用いただけます。
24x365で調査を行い、迅速に対応します。事業の継続性と顧客の信頼に関するリスクを軽減できます。お客様の事業は、常にRapid7の優先事項です。
インシデントレスポンスに関するよくある質問
-
インシデントレスポンスとは
セキュリティチームは、脅威が発生した時に即座に対応できる体制を整える必要があります。脅威に備えるためには、事前に綿密に調整されたインシデントレスポンスプラン(IRP)と一連の行動、そしてインシデントレスポンスチームにおけるリーダーを決めておく必要があります。社内に対応チームを持つ企業もあれば、インシデントレスポンスサービスを社外に委託する企業もあります。また、技術的な分析は社外に任せ、他の部分は社内で対応するというハイブリッドアプローチを取り入れるケースもあります。どちらの形にせよ、実際にトラブルが起きる前に、担当チームはインシデントレスポンスが必要になったときのために計画と訓練を行う必要があります。
-
インシデントレスポンス計画とは
インシデントレスポンス計画には、組織内で侵害やセキュリティ危機が発生した際に、誰がどのような対応をとるべきかについて明記しておきます。対応計画をしっかりと立てておけば、被害を最低限に留めるようチームが即座に対応できるようになります。定期的なシミュレーション訓練やプロセス確認を行っておけば、緊急事態が発生しても、インシデントレスポンス担当者が即座に行動できるようになります。情報セキュリティチームもそうした例をみならうと良いでしょう。緊急事態が発生した際には、時間が刻々と過ぎていく中でインシデントレスポンスプロセスや手順を把握するために時間を使うことはできません。対応計画は非常に重要です。
-
インシデントレスポンス計画を立てることで可能になること
- インシデントの通知
- インシデントの調査と分析
- 修復 (Remediation)
- インシデント後のプロセス
-
堅牢なインシデントレスポンス計画には何が含まれるか
緊急時における複雑性とリスクを減らすために、事前に実施できる作業は多くあります。インシデントレスポンス計画には以下の内容を含めるべきでしょう。
- 主要なステークホルダーの同意を得る:緊急事態にチームが迅速に行動するためにはまず、主要なステークホルダーからのサポートが得られているという認識が必要です。Cレベルのエグゼクティブやその他のステークホルダーが対応計画に完全に同意していて、支援が得られる状態であり、危機の際にはインシデントレスポンスチームが迅速に、自信を持って行動できる状態であることを明確にします。
- 役割、責任、プロセスを明確に定義する:緊急事態が起きてから、誰が何を担当しているのかを把握し、その人物を探すのは一番避けたいところです。技術的なものからそうでないものまで、インシデントレスポンスのあらゆる側面で、担当者とその責任が明確に定められている必要があります。こうした役割を果たす担当者は、それぞれに期待されるタスクを実施するために十分な専門知識を持っている必要があります。ジュニアなチームメンバーの実力を試す場ではないのです。さらに、侵害の初期判断から危機コミュニケーションにいたるまで、インシデントレスポンスにおけるそれぞれの役割では、インシデントが発生した際に、責任所在はどのようなプロセスにあり、担当者には何が期待されているのかを正確に把握しておく必要があります。計画の中で誰が何の責任を担うのかが曖昧になっていると、緊急事態発生中にそうしたことが忘れられてしまう可能性があります。
- 迅速な行動を可能にするテクノロジーとパートナーシップ:インシデントレスポンス訓練を実施する際には、迅速かつ効果的な対応に必要なツールがすべて用意されていることを確認してください。分野によって、大きな改善が必要になったり、若干の改善の余地が残されていることも少なくありません。可能であれば、自動化を最大限利用しつつ、チームが組織内のテクノロジーやツールを使って効率的に作業できるようにしてください。
ここで重要なのは「迅速であること」です。組織内に迅速な対応を行うための専門知識やリソースがない場合や、迅速な対応に必要な情報が得られない場合は、外部のインシデントレスポンスサービスの利用によりギャップに対処し、インシデントレスポンス時間を早めることができます。その場合、すべての訓練にこの外部チームを参加させるようにしてください。
- 主要なステークホルダーの同意を得る:緊急事態にチームが迅速に行動するためにはまず、主要なステークホルダーからのサポートが得られているという認識が必要です。Cレベルのエグゼクティブやその他のステークホルダーが対応計画に完全に同意していて、支援が得られる状態であり、危機の際にはインシデントレスポンスチームが迅速に、自信を持って行動できる状態であることを明確にします。
-
インシデントレスポンスプロセスの仕組みを教えてください。
- インシデント管理:Rapid7チームは調査用の単一窓口を設け、分析、脅威検知、コミュニケーションをすべて管理し、発見したことをすべて文書化します。
- 調査と分析:
InsightIDR、オープンソースのDFIRツールであるVelociraptor、お客様の所有するログソース、そしてRapid7が長年の間に培ってきた経験を活用し、インシデントの規模、影響、根本原因を調査します。 - コミュニケーション:定期的なコミュニケーションにより、担当者が重要な情報を適宜得られるようにいたします。
修正とクリーンアップ:お客様の環境を通常の状態に戻すための推奨事項を詳細に提供します。例えば、攻撃者によるリモート・アクセスの防止、優先順位の高いビジネス・プロセスと業務システムの復旧、侵害されたユーザーアカウントの保護を行う方法などが含まれています。
- インシデント管理:Rapid7チームは調査用の単一窓口を設け、分析、脅威検知、コミュニケーションをすべて管理し、発見したことをすべて文書化します。
-
Rapid7のDFIRを選ぶべき理由
Rapid7のインシデントレスポンスコンサルタントチームは、多くの認定を受けており、何千にもわたるお客様の事業を保護する存在として最前線に立っています。
-
対象範囲の環境とは
「対象範囲の環境」とは、MDRまたはMTCを利用するアセット(およびサポートインフラ)のことです。インシデントレスポンスの対象となるインシデントは、Rapid7によって確認または適切に予想された、お客様の対象範囲の環境またはデータの侵害です。Rapid7は、対象範囲外の環境で起きたインシデントには対応しません。また、インシデントレスポンスはリモートで行われます。
-
インシデントレスポンスで行われるべきこと
- 高度なインシデント管理と調整
- インシデントの技術的な分析
- 誰がインシデントの影響を受けたのか、また、インシデントの影響範囲
- 適切な情報公開に向けた危機コミュニケーション
- 影響の特定と必要な対応や行動の準備による法的対応
- 迅速な復旧を確実にする、修正と軽減に関する推奨事項とアクション
-
インシデントレスポンス後のプロセス
インシデントレスポンスに成功しても、まだ課題は残っています。インシデントレスポンスチームはこの経験から学ぶために、インシデントレスポンスプログラムを具体的に微調整したり、セキュリティプログラムを全体的に修正するなどの事後検証を実施する必要があります。成功点、失敗点や今後の改善点、もっと迅速に行動できる点を考えましょう。経験に勝る学びはありません。実際のインシデントからできる限り多くの教訓を収集することが重要です。
-
Rapid7のインシデントレスポンス・プロフェッショナル・サービスチームが提供するその他のインシデントレスポンスサービス
インシデントレスポンスプログラム開発
攻撃者の用いる手法は常に進化しています。万全の準備を整えておくには、プランを策定し、定期的に見直す必要があります。Rapid7の専門家が、テクノロジーから、アセット、人員、プロセス、ポリシーに至るまで、お客様の環境と能力を評価し、業務に関連した推奨を提示することで、インシデントレスポンスプログラムの目標達成(およびそれ以上の達成)を支援します。プログラムを一から開発する必要がある場合も、Rapid7がサポートいたします。Rapid7のIRプログラム開発サービスはカスタマイズ可能で、インシデントレスポンスのあらゆる側面で、お客様のチームの能力の構築や向上を後押します。
侵入調査(CA)
侵入調査では、侵害の確認から修正措置の検証までを行い、お客様の環境に問題があるかどうかを確認します。脅威インテリジェンスと行動分析を適用し、最先端のテクノロジーを活用して専門家がお客様の環境を評価します。マルウェアや攻撃者の行動の痕跡を特定して、設定ミス、深刻なリスク、脆弱性に関するレポートを作成します。
検知・対応のワークショップ
このプログラムは、お客様の環境でリアルタイムの攻撃シミュレーションを行うことで、お客様の企業の検知・対応能力をテストするものです。このワークショップの目標は、お客様のチームが攻撃に気づいて適切に対処できるよう、お客様の企業の検知・対応能力と現在のインシデントレスポンス計画がどれほどうまく働くかを評価することです。Rapid7のエキスパートが、現在のセキュリティ対策管理が侵害にどのように対処するかを理解するためのサポートを行い、またインシデントレスポンスへのアプローチを強化するためのコーチングを提供します。
テー��ルトップ・エクササイズ
テーブルトップ・エクササイズでは、オンサイトの脅威シミュレーションによって、管理された環境内で検出と対応の能力を評価します。Rapid7はお客様と連携して有意義なシナリオを策定し、結果を分析してお客様のインシデントレスポンスプログラムに適用できる実用的な改善点リストを提供します。
侵害対応
侵害に関して即時のサポートが必要な場合は、03-6838-9720までお電話ください。Rapid7のインシデントレスポンスチームは、お客様の社内のチームと緊密に連携します。脅威の検出、調査結果の文書化、適切な修正措置の提示を通じて、攻撃者を追放し、再度侵入できないようにします。インシデントレスポンスコンサルタントが、お客様の重要な利害関係者と緊密に連携し、対応プロセス全体を通じて、事業のさまざまな側面で考慮すべき事項が確実に網羅されるようにします。
Rapid7のリテーナー
インシデントレスポンスリテーナーは、侵害発生前からRapid7のインシデントレスポンスの専門家をスタンバイさせておく仕組みです。リテーナーを契約を結んでいただいている位場合には、万が一侵害が起きた際、お客様からRapid7チームにご連絡をいただくと、1時間以内にチームが詳細情報を集め、予め定められているインシデントレスポンスアクティビティについての対応策の検討を開始します。InsightAgentが実装できるようになったら(または検知・対応システムにアクセスできるようになったら)すぐに、すべての技術的調査がリモートで開始されます。
リテイナーは40時間単位でスタンバイを行います。リテイナーが侵害対応を行う必要がない場合は、Rapid7の他のプロフェッショナルサービスのご利用に振り替えることができます。お客様に最適なサービスを選定させていただくために、プロジェクトマネージャーとのお打ち合わせを設定いたします。お電話でお問い合わせください。その後、より強力なインシデントレスポンスへの道を一緒に歩んでいく、コンサルタントをご紹介します。
-
マネージドスレットコンプリートで利用できる他のインシデントレスポンスサービスについて
Rapid7のチームが、インシデントレスポンスの計画とガイドを作成するサポートをいたします。
-
Rapid7のDFIRコンサルタントチームが所持する認定の種類
認定一覧は以下のとおりです。
- CISSP
- CySA+
- GASF
- GCFA
- GCFE
- GCIH
- GCIH
- GSEC
- SANSコース提供機関
- オープンソースDFIR提供機関
- その他多数