インシデント対応（インシデントレスポンス）とは？フローと対策

サイバーセキュリティの防御は多くの攻撃を阻止しますが、すべての侵入者を捕らえることを100％保証するわけではありません。攻撃者が脆弱性を悪用した場合、組織はまずその出来事を認識し、インシデント対応チームとともにそれを封じ込め、根絶する必要があります。

インシデント対応（インシデントレスポンス）とは、組織がサイバー脅威を特定、対処、および復旧するために依存する体系的かつ計画的なアプローチのことです。簡単に言うと、組織がサイバー セキュリティ侵害に直面した際に取る一連の対応です。データ保護や他の脅威対策ソリューションと同様に、インシデント対応は企業のサイバー セキュリティ プログラムにおける重要な基盤であり、その重要性を見過ごすことはできません。

インシデント対応における各ステップの実行は、組織のインシデント対応計画で規定されています。この計画では、対応に携わる人々、データ復旧を担当するチーム、何が起こったのか、誰に責任があるのかについての調査など、サイバーセキュリティインシデントの後に行わなければならないことが概説されています。

インシデント対応の主な目的は、被害を抑制し、復旧にかかる時間とコストを削減する方法で状況に対処することです。効果的なインシデント対応は、将来の脅威を防ぎ、脅威アクターがバックドア型の代替手段を使用する試みを軽減することにも役立ちます。

データ侵害の発生後は、関係者全員にとってストレスの多い忙しい時期となります。必要なステップをすべて示したインシデント対応とディザスタ リカバリ プランがあれば、コストのかかるミスを回避し、見落としがないことを確実にできます。しかし、侵害が発生するまで計画を準備していない企業も少なくありません。

SANS Instituteは、インシデント対応の6つの主要なステップを説明しています。以下の6つのステップとその詳細は、インシデント対応プランに記載する必要があります。

1. 準備: 準備は、インシデントの前に必ず行います。準備には文書化が必要で、対応に関与する人、システムへのアクセスに必要な手順、権限を付与する管理チームを明らかにします。また、対応に必要なツールも文書化します。
2. 識別: インシデントが発生したことを知るには、適切な監視と分析が必要です。その後、ログ、監査証跡、エラー、認証情報、ファイアウォールレポートなどを調査し、インシデントを特定します。
3. 封じ込め: 攻撃者を迅速に封じ込めることが重要です。優れたインシデント対応チームは、脅威が持続するのを食い止めます。持続的な攻撃者は、発見された場合に備えて複数のバックドアを持っていることが珍しくありません。脅威の発見が早ければ早いほど、封じ込めの効果は高くなり、攻撃者が新たなバックドアを作成する可能性も低くなります。
   1. 短期的な封じ込め：影響を受けたネットワーク セグメントの分離など、拡散と影響を迅速に制限するための即時対応。
   2. 長期的な封じ込め：脅威が拡大または持続できないようにするための、より恒久的な解決策。
4. 根絶: 脅威を環境から完全に排除します。封じ込めと根絶を迅速に行うことで、被害やデータ盗難を減らすことができます。根絶は、脅威を除去しながらも、ビジネスの生産性を維持するために本番環境にダメージを与えないようにしなければならない、注意が必要な手順です。
5. 復旧: 脅威を除去した後、データを復旧し、システムを正常な状態に戻すための変更を行う必要があるかもしれません。このステップは、破壊されたデータの復旧のような大規模な変更では、すぐに実行できない場合があります。サイバーセキュリティインシデントの後、本番環境に脆弱性がないことを確認するためにテストが必要になる場合があります。
6. 教訓: 何が問題だったのかを見直さなければ、同じ過ちを犯す可能性が高いです。教訓とは、インシデント対応時にもっとうまくできたことはないか、同じ攻撃が成功しないようにするためにどのような変更を加えるべきかを振り返る時間です。

組織は、インシデント対応をサポートするために、セキュリティ情報イベント管理（SIEM）システム、侵入検知システム（IDS）、その他の専門プラットフォームなど、様々なツールやテクノロジーに依存しています。

サイバーセキュリティのインシデントは、発見、封じ込め、および攻撃者に記録を奪われたことによる法的余波で、組織に何百万ドルもの損害を与える可能性があります。インシデントの対応方法によって、攻撃者がネットワーク上に留まる時間を短縮し、今後のインシデントの発生件数を減らすことができます。数多くの大企業がインシデント対応に失敗し、法的賠償金、罰金、政府の追加規制の原因となっています。

サイバー攻撃に関連する被害、コスト、復旧時間を最小限に抑えることに加えて、インシデント対応は、データ侵害などのセキュリティ危機後のビジネス継続性を確保する上で極めて重要です。インシデント対応計画は、訴訟の成功、監査文書作成、そしてリスク評価プロセスに活用される過去の知見のための、非常に貴重なサポートも提供します。適切なインシデント対応を整備することで、組織は改善が必要な領域を特定し、類似したインシデントを防ぐためのより強固なセキュリティ手法を開発することで、セキュリティ態勢を改善できます。

インシデント対応計画は、組織がサイバー セキュリティ インシデントをどのように管理すべきかを定義した、文書化された体系的なプロセスです。これは、チームがネットワーク セキュリティ インシデントを検知し、対応し、復旧するのを支援する一連の手順です。インシデント対応計画は、特定のインシデントシナリオに対する組織のプレイブックであり、どの脅威やエクスプロイト、状況が対処必要なセキュリティ インシデントに該当するのか、そしてそれらが発生した際の対応方法を詳述した文書です。

インシデント対応計画の主要な構成要素には以下が含まれます。

• インシデント対応チームの編成と、対応活動を完了するための役割と責任の決定
• インシデントの検知と対応に必要なツールとリソースの特定と設定
• インシデントの兆候を認識し、実際のインシデントと誤報を区別すること
• 根本原因に対処しながら、脅威が再発または拡散しないことを確実にするための短期的および長期的な対策の概要
• インシデント対応プロセスの各段階で必要な具体的な行動の文書化と、さらなる分析のための関連するすべてのインシデントデータの記録
• セキュリティ インシデントの解決、システムの通常運用への復旧、主要な原因の調査、および関係者全員へのイベントの伝達のためのステップの一覧
• 将来の脅威をより効果的に処理するために、インシデントから学んだことに基づくインシデント対応計画の修正

インシデント対応計画は、実際のサイバー攻撃の圧力の下でもチームが理解し、必要な行動を取れるほどシンプルである必要があります。

データ漏洩の際には、インシデント対応チームが重要な役割を果たします。このチームは、脅威への対応に不慣れなスタッフよりも被害額を軽減し、迅速に封じ込めることができます。攻撃者がネットワーク上に長く留まれば留まるほど、攻撃者が残したマルウェアやバックドアの増加により、対応がより複雑になる可能性があります。インシデント対応チームは、攻撃者の手口に精通したIT専門家やセキュリティの専門家で構成されています。

インシデント対応チームは、その名が示すように、攻撃が成功した後にネットワーク環境の後始末と安全確保を行う役割を担っています。コンピュータインシデント対応チーム（CIRT）は、組織内の複数の主要な関係者で構成されるか、専門機関にアウトソーシングされることがあります。CIRTは通常、データベース管理者、運用担当者、開発者などのITスタッフが参加します。以下に、インシデント対応の担当者として考えられる人物をいくつかご紹介します。

• 重要な管理者: 管理者は、対応中に決定を下すことができる唯一の人々です。ネットワークリソースへのアクセスを許可したり、本番環境に変更を加えたりします。
• IT監査人: 監査人は、事故前の手順が守られていることを確認するだけでなく、何が問題だったのか、将来的に攻撃を阻止する方法を特定するのにも役立ちます。
• 情報セキュリティ担当者: 情報セキュリティ担当者は、悪用された技術や脆弱性が存在するかどうかを特定するのに役立ちます。また、将来の情報セキュリティ・プロトコルや手順について、ITスタッフに助言することもできます。
• 弁護士: 法的責任を回避するための正しい手順について、組織に助言します。
• 人事: 内部脅威の場合、従業員の問題への対処方法についてアドバイスを提供します。
• 広報: 情報漏えいで顧客への発表が必要な場合、広報チームが一般消費者への周知に必要なコミュニケーションをとります。
• 財務監査人: 財務監査人により、企業が被る金銭的影響を評価し、判断することができます。データ侵害のコストは、特定の法的調査や告発のために必要となる場合があります。

インシデント対応には、インシデントを検知するための特定のテクノロジーの活用も含まれます。以下が最も一般的に使用されるインシデント対応テクノロジーです。

• セキュリティ情報イベント管理（SIEM）：SIEMは、潜在的な脅威を検知し、インシデント対応を支援するための実用的なインテリジェンスを提供します。
• セキュリティのオーケストレーション、自動化、対応（SOAR）：SOARツールは、セキュリティデータの収集と相関付け、リアルタイムでのインシデント検知、進行中の攻撃への対応など、インシデント対応ワークフローを自動化します。
• 侵入検知システム（IDS）：IDSは、悪意のある行動やポリシー違反を監視するために、ネットワーク トラフィックやシステム活動を監視します。トラフィックを監視するネットワークベース、または個々のシステム活動を監視するホストベースがあります。
• エンドポイント検知対応（EDR）：EDRソリューションは、不審な活動についてエンドポイントを監視し、インシデント対応を支援するためのリアルタイムアラートを提供します。
• ネットワーク トラフィック分析（NTA）：NTAツールは、不審な活動についてネットワークトラフィックを監視し、インシデント対応を支援するためのリアルタイムアラートを提供します。
• ディセプション テクノロジー：これにはネットワーク内にハニーポットなどのおとりを配置することが含まれます。これらのおとりは実際の資産を模倣して攻撃者を罠にかけ、調査し、本物の資産を危険にさらすことなく、攻撃者のテクニックやツールについての洞察を提供します。
• 脆弱性スキャナー：脆弱性スキャナーは、組織のシステムとアプリケーションの脆弱性を特定するのに役立ち、潜在的な攻撃経路を特定することでインシデント対応を支援します。
• フォレンジック ツール：フォレンジック テクノロジーは、システムログ、メモリダンプ、その他のデータを分析してインシデントの根本原因を特定することで、インシデント対応チームの調査を支援します。

これらのテクノロジーは、サイバー脅威とセキュリティ インシデントを検知し対応するために、インシデント対応のプロセスとフレームワークと共に使用されます。

セキュリティ インシデントには、組織の情報の整合性、機密性、または可用性を損なう可能性のある、幅広い悪意のある活動が含まれます。インシデントの種類を認識することは、適切な対応を策定する上で極めて重要です。以下が一般的なセキュリティ インシデントの種類とその簡単な説明です。

• マルウェア感染：ウイルス、トロイの木馬、ワーム、ランサムウェア、スパイウェアが含まれます。これらの悪意のあるソフトウェアの変種は、システムとデータに侵入、損傷、または悪用し、時には身代金が支払われるまで情報を人質に取ります。
• フィッシング攻撃：サイバー攻撃者は、正当な組織を装った偽装メール、メッセージ、またはウェブサイトを使用して、ログイン認証情報や財務情報などの機密情報を開示するよう個人を騙します。
• 分散型サービス妨害（DDoS）攻撃：攻撃者がシステム、サーバー、またはネットワークリソースにトラフィックを殺到させ、ユーザーが利用できないように圧倒します。DDoS攻撃には、単一のシステムを標的とする複数の侵害されたシステムが関与します。
• 不正アクセス：脆弱性を悪用したり、盗まれた認証情報を使用したりして、誰かがシステム、ネットワーク、またはデータへの不正アクセスを行います。
• 内部脅威：従業員、請負業者、またはビジネスパートナーなど、組織内の個人による悪意のある行動です。これらの個人は、組織のセキュリティ慣行、データ、およびコンピュータシステムに関する内部情報を持っています。
• データ侵害：不正な個人が機密データ、保護されたデータ、または機密データをコピー、送信、閲覧、盗取、または使用するインシデントです。データ侵害には、個人データ、知的財産、または金融情報が含まれる場合があります。
• 設定ミス：セキュリティ設定、データベース、クラウド サービス、またはネットワーク デバイスの構成における不注意な誤りのことです。設定ミスにより機密情報が露出したり、攻撃者が悪用できる脆弱性が作成されたりする可能性があります。
• 物理的な盗難または紛失：機密データを含むラップトップ、スマートフォン、またはストレージメディアなどのデバイスの物理的な盗難。また、そのようなデバイスが紛失し、悪意のある意図を持つ個人によって発見される可能性がある状況も含まれます。
• 権限昇格：攻撃者が通常制限されているリソースへの昇格したアクセスを取得し、アクセスすべきではないシステムやデータを制御できるようになるインシデントです。
• ソーシャル エンジニアリング：攻撃者が機密情報を開示したり、セキュリティを損なう行動を実行したりするよう、個人を欺き、説得するために使用する操作的な戦術です。
• 中間者（MitM）攻撃：攻撃者が2つの当事者間の通信を密かに傍受し、中継します。彼らは関係者を誤解させるために、データを盗み聞きしたり操作したりすることができます。

インシデントの種類を特定することは、インシデント対応プロセスの最初のステップです。インシデントの種類ごとに異なるアプローチが必要になる可能性がありますが、脅威の性質を理解することで、チームは最も効果的な対策を策定できます。

理想は、組織がサイバーセキュリティのインシデントに直面しないことです。100％安全なサイバー防御はありませんが、組織が標的となる犠牲者にならないために必要な予防措置を講じることは可能です。管理者は全員、ファイアウォールによって外部からのトラフィックを防ぎ、ID管理とアクセス制御を行い、物理的なセキュリティによって資産を保護する、などの基本を理解しています。しかし、一部の管理者は、監視と侵入検知の実施を怠っています。

ネットワーク監視、クラウドセキュリティ監視、侵入検知は、管理者に攻撃の可能性を警告します。誤検知を避けるため、通常、このアラートはアナリストに送られ、さらに検討されます。誤検知が多すぎると、アナリストが疲弊し、誤検知のために潜在的な真の脅威が見落とされる可能性があります。アナリストが侵害にできるだけ早く対処できるよう、監視はできるだけ正確に行う必要があります。

侵入検知ツールは、監視の一要素です。監視ツールはインシデントを記録し、人工知能による侵入検知は攻撃が発生しているかどうかを判断します。侵入が持続する場合、攻撃者は数ヶ月間ネットワークにアクセスできる可能性があります。攻撃者は、発見されないようにゆっくりとデータを流出させることがあります。そのため、アクセス要求のベンチマークや異常な認証の試行に基づいて、あらゆる機密データについて監視を続けることが重要です。

適切な予防ツールを導入していても、組織はインシデント対応計画を毎年必ず見直し、正確な文書と情報が含まれていることを確認する必要があります。インシデント対応計画は、企業の成功に不可欠であり、訴訟費用、顧客への賠償金、データ損失など、何百万ドルもの費用を節約することができます。

インシデント対応ソリューションの中核として、ProofpointのThreat Responseは、組織が動的な脅威の状況により迅速かつ効率的に対応するのを支援する、SOARプラットフォームです。Threat Responseは様々なソースからアラートを収集し、数秒でそれらを自動的に強化してインシデントとしてグループ化します。

このプラットフォームは、セキュリティ チームが攻撃の「誰が、何を、どこで」を理解し、イベントを優先順位付けして迅速にトリアージし、セキュリティインフラ全体での隔離と封じ込めアクションなどのワークフローと対応アクションを自動化するのを支援する、豊富なコンテキストデータでセキュリティ アラートを包囲します。Threat Responseはまた、フォレンジック収集とIOC検証を提供し、アナリストがボタン操作で対応アクションを実行し、追加調査が必要な領域を特定し、または自動対応を支援します。

組織は、各インシデントの詳細なコンテキストデータを提供し、さまざまなネットワーク実施オプションをサポートすることで、脅威検知と迅速な対応の間のギャップを埋めるためにThreat Responseに依存しています。これは、インシデント対応チームがサイバー脅威とセキュリティ インシデントをより迅速に検知して対応し、これらの脅威に関連する収益の損失、規制による罰金、およびその他のコストを削減するのを支援する重要な対策ソリューションです。Threat Responseの詳細については、プルーフポイントにお問い合わせください。