インシデント対応(インシデントレスポンス)とは?フローと対策

定義

サイバーセキュリティの防御は多くの攻撃を阻止しますが、すべての侵入者を捕らえることを100%保証するわけではありません。攻撃者が脆弱性を悪用した場合、組織はまずその出来事を認識し、インシデント対応チームとともにそれを封じ込め、根絶する必要があります。インシデント対応における各ステップの実行は、組織のインシデント対応計画で規定されています。この計画では、対応に携わる人々、データ復旧を担当するチーム、何が起こったのか、誰に責任があるのかについての調査など、サイバーセキュリティインシデントの後に行わなければならないことが概説されています。

インシデント対応の重要性

サイバーセキュリティのインシデントは、発見、封じ込め、および攻撃者に記録を奪われたことによる法的余波で、組織に何百万ドルもの損害を与える可能性があります。インシデントの対応方法によって、攻撃者がネットワーク上に留まる時間を短縮し、今後のインシデントの発生件数を減らすことができます。数多くの大企業がインシデント対応に失敗し、法的賠償金、罰金、政府の追加規制の原因となっています。

インシデント対応チーム

データ漏洩の際には、インシデント対応チームが重要な役割を果たします。このチームは、脅威への対応に不慣れなスタッフよりも被害額を軽減し、迅速に封じ込めることができます。攻撃者がネットワーク上に長く留まれば留まるほど、攻撃者が残したマルウェアやバックドアの増加により、対応がより複雑になる可能性があります。インシデント対応チームは、攻撃者の手口に精通したIT専門家やセキュリティの専門家で構成されています。

インシデント対応チームは、その名が示すように、攻撃が成功した後にネットワーク環境の後始末と安全確保を行う役割を担っています。コンピュータインシデント対応チーム(CIRT)は、組織内の複数の主要な関係者で構成されるか、専門機関にアウトソーシングされることがあります。CIRTは通常、データベース管理者、運用担当者、開発者などのITスタッフが参加します。以下に、インシデント対応の担当者として考えられる人物をいくつかご紹介します。

  • 重要な管理者: 管理者は、対応中に決定を下すことができる唯一の人々です。ネットワークリソースへのアクセスを許可したり、本番環境に変更を加えたりします。
  • IT監査人: 監査人は、事故前の手順が守られていることを確認するだけでなく、何が問題だったのか、将来的に攻撃を阻止する方法を特定するのにも役立ちます。
  • 情報セキュリティ担当者: 情報セキュリティ担当者は、悪用された技術や脆弱性が存在するかどうかを特定するのに役立ちます。また、将来の情報セキュリティ・プロトコルや手順について、ITスタッフに助言することもできます。
  • 弁護士:  法的責任を回避するための正しい手順について、組織に助言します。
  • 人事: 内部脅威の場合、従業員の問題への対処方法についてアドバイスを提供します。
  • 広報: 情報漏えいで顧客への発表が必要な場合、広報チームが一般消費者への周知に必要なコミュニケーションをとります。
  • 財務監査人: 財務監査人により、企業が被る金銭的影響を評価し、判断することができます。データ侵害のコストは、特定の法的調査や告発のために必要となる場合があります。

インシデント対応フロー

情報漏えいの余波は、関係者全員にとってストレスの多い、多忙な時間となる可能性があります。インシデント対応計画やディザスタリカバリ計画を策定し、必要なすべてのステップを踏んでおけば、間違いを避けることができます。SANS Instituteは、インシデント対応の6つの主要なステップを説明しています。以下の6つのステップとその詳細は、インシデント対応プランに記載する必要があります。

  1. 準備: 準備は、インシデントの前に必ず行います。準備には文書化が必要で、対応に関与する人、システムへのアクセスに必要な手順、権限を付与する管理チームを明らかにします。また、対応に必要なツールも文書化します。
  2. 識別: インシデントが発生したことを知るには、適切な監視と分析が必要です。その後、ログ、監査証跡、エラー、認証情報、ファイアウォールレポートなどを調査し、インシデントを特定します。
  3. 封じ込め: 攻撃者を迅速に封じ込めることが重要です。優れたインシデント対応チームは、脅威が持続するのを食い止めます。持続的な攻撃者は、発見された場合に備えて複数のバックドアを持っていることが珍しくありません。脅威の発見が早ければ早いほど、封じ込めの効果は高くなり、攻撃者が新たなバックドアを作成する可能性も低くなります。
  4. 根絶: 脅威を環境から完全に排除します。封じ込めと根絶を迅速に行うことで、被害やデータ盗難を減らすことができます。根絶は、脅威を除去しながらも、ビジネスの生産性を維持するために本番環境にダメージを与えないようにしなければならない、注意が必要な手順です。
  5. 復旧: 脅威を除去した後、データを復旧し、システムを正常な状態に戻すための変更を行う必要があるかもしれません。このステップは、破壊されたデータの復旧のような大規模な変更では、すぐに実行できない場合があります。サイバーセキュリティインシデントの後、本番環境に脆弱性がないことを確認するためにテストが必要になる場合があります。
  6. 教訓: 何が問題だったのかを見直さなければ、同じ過ちを犯す可能性が高いです。教訓とは、インシデント対応時にもっとうまくできたことはないか、同じ攻撃が成功しないようにするためにどのような変更を加えるべきかを振り返る時間です。

サイバーセキュリティのインシデント対策

理想は、組織がサイバーセキュリティのインシデントに直面しないことです。100%安全なサイバー防御はありませんが、組織が標的となる犠牲者にならないために必要な予防措置を講じることは可能です。管理者は全員、ファイアウォールによって外部からのトラフィックを防ぎ、ID管理とアクセス制御を行い、物理的なセキュリティによって資産を保護する、などの基本を理解しています。しかし、一部の管理者は、監視と侵入検知の実施を怠っています。

ネットワーク監視、クラウドセキュリティ監視、侵入検知は、管理者に攻撃の可能性を警告します。誤検知を避けるため、通常、このアラートはアナリストに送られ、さらに検討されます。誤検知が多すぎると、アナリストが疲弊し、誤検知のために潜在的な真の脅威が見落とされる可能性があります。アナリストが侵害にできるだけ早く対処できるよう、監視はできるだけ正確に行う必要があります。

侵入検知ツールは、監視の一要素です。監視ツールはインシデントを記録し、人工知能による侵入検知は攻撃が発生しているかどうかを判断します。侵入が持続する場合、攻撃者は数ヶ月間ネットワークにアクセスできる可能性があります。攻撃者は、発見されないようにゆっくりとデータを流出させることがあります。そのため、アクセス要求のベンチマークや異常な認証の試行に基づいて、あらゆる機密データについて監視を続けることが重要です。

適切な予防ツールを導入していても、組織はインシデント対応計画を毎年必ず見直し、正確な文書と情報が含まれていることを確認する必要があります。インシデント対応計画は、企業の成功に不可欠であり、訴訟費用、顧客への賠償金、データ損失など、何百万ドルもの費用を節約することができます。

Proofpoint Threat Response ソリューション

Proofpoint Threat Response ソリューションにより、セキュリティチームが組織内の人を標的とした脅威にどのように対応できるかをご覧ください。

グローバルレポート: 内部脅威による損失

インサイダー脅威がもたらす財務的影響をご覧ください。Ponemon Instituteの内部脅威による損失グローバルレポートをダウンロードできます。

ウェビナー: 脅威インテリジェンスを活用したインシデント対応

オンデマンドウェビナーで、今日のセキュリティチームに影響を与える主要なコンテキストとインテリジェンスのアプリケーション、ギャップ、および制限について、Proofpointの専門家が解説します。