インシデント応答の定義
インシデント応答を定義する前に、インシデントとは何かを明確にすることが重要です。IT において、同じ意味で使われることもあるが、異なる意味を持つ 3 つの用語があります。
- イベントとは、ファイルの作成、フォルダーの削除、メールの開封など、頻繁に発生する無害な処理のことです。通常、イベント単体は侵害を示すものではありませんが、他のイベントと組み合わさると脅威を示唆している可能性があります。
- アラートとは、脅威であるかどうかを問わず、イベントによって作動する通知のことです。
- インシデントとは、人間またはオートメーション ツールが本物の脅威である可能性が高いと判断した、相関性のあるアラートのグループのことです。各アラート単体では重大な脅威のようには見えないかもしれませんが、それらが組み合わさることで、侵害の可能性があることを示します。
インシデント応答とは、IT システムやデータが侵害を受けた可能性があると考えられる場合に、組織が行う対応のことです。たとえば、セキュリティ担当者は、不正ユーザー、マルウェア、またはセキュリティ対策の不備の証拠を見つけた場合に対応します。
応答の目標は、サイバー攻撃をできるだけ早く排除し、復旧を行い、地域の法律に従って顧客や政府機関に通知し、今後同様の侵害のリスクを低減する方法を学ぶことです。
インシデント応答のしくみ
通常、インシデント応答はセキュリティ チームがセキュリティ情報イベント管理 (SIEM) システムから信頼できるアラートを受け取ったときに始まります。
チーム メンバーは、イベントがインシデントに該当することを確認し、感染したシステムを隔離して脅威を取り除く必要があります。インシデントが重大か、解決に時間がかかる場合は、組織でバックアップ データの復元、身代金への対応、またはデータがセキュリティ侵害を受けたことを顧客に通知することが必要になることがあります。
そのため、サイバーセキュリティ チーム以外の人員が応答に携わることが一般的です。プライバシーに関する専門家、弁護士、ビジネス上の意思決定者は、インシデントとその影響に対する組織の取り組み方の判断をサポートします。
セキュリティ インシデントの種類
攻撃者が企業のデータへのアクセスや、システムと事業運営の侵害を試みる方法はいくつかあります。ここでは、代表的なものをいくつか示します。
-
フィッシング
フィッシングとは、ソーシャル エンジニアリングの一種で、攻撃者がメール、テキスト メッセージ、通話などを使って信頼できるブランドや人物に偽装します。一般的なフィッシング攻撃では、受信者はマルウェアをダウンロードしたりパスワードを提供したりするよう促されます。これらの攻撃は、人々の信頼を悪用したり、不安などの心理的な手法を活用したりして、人々に行動を起こさせます。これらの攻撃の多くは、標的を定めておらず、何千人もの人々に向けて発信され、たった 1 人が反応してくれることを期待するものです。しかし、スピア フィッシングと呼ばれるより巧妙なものでは、詳細な調査によって、1 人の個人に対して説得力を持たせるメッセージが作成されます。 -
マルウェア
マルウェアとは、コンピューター システムに危害を加えたり、データを流出させたりするように設計されたソフトウェアのことです。ウイルス、ランサムウェア、スパイウェア、トロイの木馬など、さまざまな形態があります。悪質なアクターが、ハードウェアやソフトウェアの脆弱性を利用したり、ソーシャル エンジニアリングの手法を使って従業員を納得させたりして、マルウェアをインストールします。
-
ランサムウェア
ランサムウェア攻撃では、悪質なアクターがマルウェアを使って重要なデータやシステムを暗号化し、被害者が身代金を支払わない場合はデータを公開または破壊すると脅します。 -
サービス拒否
サービス拒否攻撃 (DDoS 攻撃) では、脅威アクターがトラフィックを過剰に増やすことで、ネットワークやシステムを低速化またはクラッシュさせます。一般的に、攻撃者は銀行などの知名度の高い企業や政府機関を標的にし、時間および金銭的な損害を与えることを目的としていますが、あらゆる規模の組織がこの種の攻撃の犠牲になる可能性があります。
-
中間者
サイバー犯罪者が個人情報を盗むために使うもう 1 つの方法は、非公開でコミュニケーションを行っていると思い込んでいる人々によるオンラインでの会話の中間に入り込むことです。メッセージを傍受し、意図した受信者に送る前にそれをコピーしたり変更したりすることで、会話に参加しているいずれかの人を操って貴重なデータを提供させようとします。
-
内部関係者による脅威
ほとんどの攻撃は組織外の人物によって行われますが、セキュリティ チームは内部関係者による脅威にも目を光らせる必要があります。制限されたリソースに正当にアクセスできる従業員や他の人々が、不注意で、または場合によっては意図的に機密データを漏洩させる可能性があります。
-
不正アクセス
多くのセキュリティ侵害は、アカウント資格情報の盗用から始まります。悪質なアクターは、フィッシングの攻撃活動によってパスワードを入手した場合でも、一般的なパスワードを推測した場合でも、いったんシステムにアクセスできるようになると、マルウェアのインストール、ネットワークの偵察、または特権の昇格を行って、より機密性の高いシステムやデータにアクセスできるようにします。
インシデント応答プランとは?
インシデントに対応するためには、脅威を排除し、規制の要件を満たすことができるよう、チームが効率的かつ効果的に協力することが必要です。そのような緊迫した状況では、動揺してミスをしてしまいがちなので、多くの企業がインシデント応答プランを策定しています。プランでは、役割と責任を定義し、インシデントの解決および記録と、インシデントに関するコミュニケーションを適切に行うために必要なステップを含めます。
インシデント応答プランの重要性
重大な攻撃は、組織の運営に損害を与えるだけでなく、顧客や地域社会の間での企業の評判にも影響し、法的な問題をもたらす可能性もあります。セキュリティ チームが攻撃にどれだけ迅速に対応するかや、経営陣がインシデントについてどのようにコミュニケーションを取るかなど、すべてが全体的なコストに影響します。
顧客や政府機関に被害を知らせないようにしたり、脅威を十分真剣に受け止めなかったりした企業は、規制に抵触する可能性があります。このような失敗は、関係者がプランを用意していない場合に多く見られます。その場の勢いで、人々が不安に駆られて性急な決断をし、結果的に組織に損害を与えるリスクがあります。
綿密に練られたプランがあれば、人々は攻撃の各フェーズで何をすべきかがわかり、その場しのぎをする必要がありません。また、復旧後に一般の人々から質問があった場合にも、組織はどのように対応したかを正確に示すことができ、顧客には、インシデントを真剣に受け止め、より悪い結果にならないように必要な措置を講じたという安心感をもたらすことができます。
インシデント応答のステップ
インシデント応答への取り組み方は 1 つではなく、多くの組織が取り組みの指針としてセキュリティ標準団体を頼りにしています。SysAdmin Audit Network Security (SANS) は、下記の概略のような 6 つのステップによる応答のフレームワークを提供している民間団体です。また、多くの組織が National Institute of Standards and Technology (NIST) のインシデント復旧フレームワークを採用しています。
- 準備 - インシデントが発生する前に、脆弱性を減らし 、セキュリティのポリシーと手順を定義することが重要です。準備フェーズでは、組織はリスク評価を実施して、どこに弱点があるのかを特定し、資産の優先度付けを行います。このフェーズには、セキュリティの手順の作成と改善、役割と責任の定義、リスクを低減するためのシステムの更新などが含まれます。ほとんどの組織は、この段階を定期的に再考し、得た教訓や技術の変化に応じて、ポリシー、手順、システムの改善を行います。
- 脅威の特定 - セキュリティ チームは、不審な活動を示すアラートを 1 日に何千件も受け取ることがあります。中には誤検知や、インシデントのレベルにまで至らないものもあります。インシデントが特定されると、チームは侵害の特質を徹底的に調べ、侵害の原因、攻撃の種類、攻撃者の目標など、調査結果を記録します。この段階で、チームは関係者に情報を提供し、次のステップについて伝える必要もあります。
- 脅威の封じ込め - 脅威をできるだけ早く封じ込めることが、次の優先事項です。悪質なアクターにアクセスを許す時間が長いほど、被害は大きくなります。セキュリティ チームは、攻撃を受けているアプリケーションやシステムを、ネットワークの残りの部分から迅速に分離できるよう取り組みます。これにより、攻撃者が会社の他の部分にアクセスすることを防ぐことができます。
- 脅威の排除 - 封じ込めが完了すると、チームは影響を受けたシステムやリソースから攻撃者とマルウェアを排除します。このときに、システムをオフラインにする場合もあります。また、チームは関係者に進捗状況を継続的に報告します。
- 復旧と復元 - インシデントからの復旧には数時間かかる場合があります。脅威がなくなると、チームはシステムの復元やバックアップからのデータの復旧を行い、影響を受けた領域を監視して攻撃者が戻ってこないことを確認します。
- フィードバックと改善 - インシデントが解決すると、チームは何が起こったかを再調査し、プロセスに加えることができる改善点を特定します。このフェーズから学ぶことで、チームは組織の防御を強化することができます。
インシデント応答チームとは?
インシデント応答チームは、コンピューター セキュリティ インシデント応答チーム (CSIRT)、サイバー インシデント応答チーム (CIRT)、またはコンピューター緊急応答チーム (CERT) とも呼ばれ、インシデント応答プランを実行する責任を持つ、組織内の職能上の枠を超えた人員のグループが含まれます。これには、脅威を排除する人員だけでなく、インシデントに関連するビジネス上や法的な決定を行う人員も含まれます。典型的なチームには、以下のようなメンバーが含まれています。
インシデント応答マネージャー (多くの場合 IT 責任者) は、応答のすべてのフェーズを監督し、社内の関係者に情報を継続的に提供します。
セキュリティ アナリストは、インシデントを調査し、何が起こっているのかを把握しようとします。また、調査結果を記録し、フォレンジック エビデンスを収集します。
脅威調査員は、組織の外部に目を向け、さらなる背景を把握するための情報を収集します。
最高情報セキュリティ責任者や最高情報責任者などの経営陣の誰かが指示を出し、他の重役との連絡役となります。
人事担当者は、内部関係者による脅威への対処をサポートします。
顧問弁護士は、チームが責任問題に対処するのをサポートし、フォレンジック エビデンスを確実に収集できるようにします。
- 広報担当者は、メディア、顧客、その他の関係者に対する正確な外部コミュニケーションの調整を行います。
インシデント応答チームは、インシデント応答以外のセキュリティ オペレーションも担当するセキュリティ オペレーション センター (SOC) の一部である場合もあります。
インシデント応答のオートメーション
ほとんどの組織では、インシデント応答チームが現実的に管理できる量をはるかに超えるセキュリティ アラートが、ネットワークとセキュリティ ソリューションによって発生しています。正当な脅威に集中できるように、多くの企業がインシデント応答のオートメーションを導入しています。オートメーションでは、AI と機械学習が使用され、プログラムのスクリプトに基づく応答プレイブックを実行することによって、アラートのトリアージ、インシデントの特定、脅威の根絶を行います。
セキュリティ オーケストレーション、オートメーション、および応答 (SOAR) は、企業がインシデント応答を自動化するために使用するセキュリティ ツールのカテゴリです。これらのソリューションは、以下の機能を備えています。
複数のエンドポイントやセキュリティ ソリューション間のデータを関連付けて、人間がフォローアップできるようにインシデントを特定する。
既知のインシデントの種類を隔離して対処するために、あらかじめスクリプト化されたプレイブックを実行する。
処理、決定、分析に使用できるフォレンジック エビデンスを含む調査タイムラインを生成する。
人間が分析するための、関連する外部情報を取り込む。
インシデント応答プランの実装方法
インシデント応答プランを策定するのは大変なことだと思われるかもしれませんが、重大なインシデントの発生時に企業が無防備になるリスクを大幅に低減することができます。始める方法を以下に示します。
-
資産の特定と優先度付けを行う
インシデント応答プランの最初のステップは、何を保護するのかを知ることです。組織の重要なデータを、その所在や企業にとっての重要度などを含めて記録します。
-
潜在的なリスクを判断する
組織ごとにリスクは異なります。組織の最大の脆弱性についてよく理解し、攻撃者がそれを悪用できる方法を評価します。
-
応答手順を考案する
緊張を強いるインシデントにおいて、明確な手順は、インシデントへの迅速かつ効果的な対処を実現するうえで大いに役立ちます。まず、インシデントに該当するものを定義し、インシデントの検出および隔離と復旧のためにチームがとるべき措置を決定します (決定の記録と証拠の収集の手順を含む)。
-
インシデント応答チームを作る
応答の手順を理解し、インシデントが発生した場合に結集する役割を担う、職能上の枠を超えたチームを構築します。役割を明確に定義し、コミュニケーションや法的責任に関する意思決定をサポートできる非技術的な役割も考慮するようにします。会社の幹部レベルにおいてチームとそのニーズの擁護者となる人物を経営陣から加えてください。
-
コミュニケーション プランを定義する
コミュニケーション プランがあれば、組織内外のその他の人々にいつ、どのように現状を伝えればよいかが当て推量でなくなります。どのような場合に、重役、組織全体、顧客、メディアや他の外部関係者に知らせる必要があるのかを判断できるように、さまざまなシナリオをじっくりと検討してください。
-
従業員のトレーニングを行う
悪質なアクターは、組織のあらゆるレベルの従業員を標的にしています。そのため、誰もが応答プランを理解し、攻撃の被害の疑いがある場合に何をすべきかを知っていることが非常に重要です。定期的にテストを行い、従業員がフィッシング メールを認識できるかどうかを確認し、誤って不正なリンクをクリックしたり、感染した添付ファイルを開いたりした場合に、従業員がインシデント応答チームに簡単に通知できるようにします。
インシデント応答ソリューション
重大なインシデントに備えることは、組織を脅威から守るための重要な要素です。社内にインシデント応答チームを設置することで、悪質なアクターの被害にあった場合でも準備ができているという自信を持つことができます。
オートメーションを用いる Microsoft Sentinel のような SIEM および SOAR ソリューションを活用すると、インシデントを特定して自動的に対応することができます。リソースが少ない組織は、インシデント応答の複数のフェーズに対応できるサービス プロバイダーを利用してチームを補強することができます。しかし、インシデント応答の人員を社内に配置する場合でも、社外に配置する場合でも、必ずプランを用意してください。
よく寄せられる質問
-
インシデント応答とは、セキュリティ侵害の疑いがある場合に組織が行うすべての活動のことです。できるだけ早く攻撃者を隔離して根絶し、データ プライバシーの規制を順守し、組織にできるだけ損害を与えずに安全に復旧することを目標としています。
-
職能上の枠を超えたチームがインシデント応答を担当します。IT 部門が通常、脅威の特定および隔離と復旧を担当しますが、悪質なアクターを見つけて排除することだけがインシデント応答ではありません。攻撃の種類によっては、身代金にどう対処するかなど、誰かがビジネス上の決定を行う必要がある場合もあります。法律顧問や広報担当者は、顧客や政府機関への適切な通知など、組織がデータ プライバシー法を確実に順守できるようサポートします。脅威が従業員によってもたらされた場合は、人事部が適切な処置についてアドバイスします。
-
CSIRT とは、インシデント応答チームの別称です。脅威の検出、隔離、および排除、復旧、社内外のコミュニケーション、記録、フォレンジック分析など、インシデント応答のあらゆる側面を管理する責任を負う、職能上の枠を超えた人員のチームが含まれます。
-
-
インシデント応答のライフサイクルには、6 つの段階があります。
- "準備" はインシデントが特定される前に行われ、組織がインシデントと見なす対象の定義と、攻撃を防止、検出、排除して、復旧するために必要なすべてのポリシーと手順が含まれます。
- "脅威の特定" とは、人間のアナリストとオートメーションの両方を用いて、どのイベントが対処が必要な本当の脅威であるかを特定するプロセスです。
- "脅威の封じ込め" とは、脅威を隔離し、会社の他の領域が感染するのを防ぐためにチームが行う対応のことです。
- "脅威の排除" には、マルウェアや攻撃者を組織から排除するステップが含まれます。
- "復旧と復元" には、システムやコンピューターの再起動と、失われたデータの復元などが含まれます。
- "フィードバックと改善" とは、チームがインシデントからの教訓を明らかにし、それらの学んだことをポリシーや手順に適用するためのプロセスです。
Microsoft をフォローする