サイバー攻撃に対するデータの保護とセキュリティ確保
データ保護
データセキュリティ
データインサイト
サイバーレジリエンス実現のための5つのステップ
クラウド & SaaS
企業・法人
業界
サイバー攻撃が発生した場合、被害を最小限に抑えられるか、壊滅的な情報漏洩に発展するかは、多くの場合、事前に準備しているかどうかにかかっています。組織が初期の重要な数時間でどのように対応するかによって、被害を最小限に抑えて迅速に業務を再開できるか、あるいは数週間のダウンタイム、データ損失、規制当局からの罰金、そしてブランドイメージへの取り返しのつかない損害に直面するかが決まります。
インシデント対応計画(IRP)とは、セキュリティ上の脅威が発見された際にチームが取るべき行動を具体的に示す、文書化された段階的な指針です。誰がどの手順を担当するのか、いつ行動する必要があるのか、他のチームとどのようにコミュニケーションを取るべきか、そして最終目標がどのようなものかを概説するものです。IRPは、ランサムウェア攻撃やデータ侵害から内部脅威やシステム障害まで、あらゆるものに対処するための組織のプレイブックであると考えてください。
「インシデント対応計画の最初のステップは、適切な人々が互いに話し合うことです」と、Cohesityの主席セキュリティコンサルタントであるジョナサン・メイヨー氏は述べています。「セキュリティ、運用、リーダーシップの各チームはそれぞれ単独では能力が高いにもかかわらず、実際に同じ部屋で一緒にインシデントに取り組んだことがないために連携が取れないケースが非常に多いことに驚かれるでしょう。共有された視点の欠如こそが、ほとんどの対応計画が破綻する原因です」。
率直に言うと、しっかりとしたサイバーインシデント対応計画がなければ、チームは最も連携が求められる危機的状況で、場当たり的な対応を強いられることになるでしょう。サイバーインシデントの頻度は増え続けており、あらゆる規模の組織やあらゆる業界の組織に影響を与えています。適切に設計・実施されたインシデント対応計画があると、復旧時間を劇的に短縮し、被害を最小限に抑え、サイバーレジリエンスを高め、事業継続性を保護することができます。
セキュリティイベントが発生すると、他のすべてが停止します。業務が停止し、チームがパニックに陥り、明確な指示がないまま重要な決定が下されます。そうなると、事態は急速に悪化し始める可能性があります。
効果的なセキュリティインシデント対応計画の有無は、危機をコントロールできるかどうか、あるいは完全な混乱に陥るかどうかの分かれ目となります。システムがオフラインになる時間が1時間増えるごとに、収益が失われ、顧客の信頼が損なわれます。ダウンタイムの長期化は、法的・規制上のリスクを引き起こします。データ侵害は、通知要件、GDPRの罰金、HIPAAの罰則、およびセクター固有のコンプライアンス違反につながる可能性があります。文書化されたセキュリティインシデント対応計画があることは、適切な注意義務とコントロール体制が確保されていることを示し、規制当局はこれを重視します。
強力なIRP(インシデント対応計画)を構築することで、組織全体のサイバーレジリエンスが強化されます。混乱を吸収し、より強力に回復できる組織を再構築できるのです。
包括的なIRP(インシデント対応計画)は、インシデントのライフサイクル全体をカバーする完全なフレームワークです。効果的なインシデント対応計画には以下が含まれます。
「インシデント対応は、1ページから10ページまで順番にこなしていくような、単一の直線的な手順書ではありません。現実ははるかに流動的です。計画には、技術的な作業が始まる前に、状況の深刻度、関与すべき人物、そしてリーダーシップを発揮する人物をチームが把握できるよう、明確な意思決定基準を事前に策定する必要があります。」とジョナサン・メイヤー氏は語ります。
成功するIRP(インシデント対応計画)の各構成要素は、全体的な対応フレームワークにおいてそれぞれ明確な目的を果たし、それらが一体となって、脅威が検知された瞬間から復旧、そして教訓の抽出に至るまで、チームを導く一貫性のあるシステムを構築します。以下の構成要素は、IRPというパズルの必須要素です。どれか1つでも欠けると、IRPに重大な欠陥が生じます。
インシデント対応計画には明確なミッションが必要です。その目的は何で、どのような状況に対応するのでしょうか? サイバー攻撃、データ漏洩、物理的なセキュリティインシデント、あるいはそのすべてに対応していますか? 範囲を定義するとは、計画で詳細にカバーする事象と、他のチームや手順で処理する事象を決定することを意味します。
インシデント対応を担当する専任チームを編成する必要があります。一般的にサイバーイベント対応チーム(CERT)または コンピュータセキュリティインシデント対応チーム(CSIRT)と呼ばれるこのチームには、インシデント指揮官、セキュリティアナリスト、システム管理者、通信スペシャリスト、および経営幹部を含める必要があります。サイバーセキュリティインシデント対応計画では、各役割の権限、責任、およびエスカレーションパスを明確に定める必要があります。誰がどんな決断をできるのか? いつリーダーシップを関与させるか? これらに答えられると、重要な局面でのボトルネックを解決できます。
「インシデント発生中は、意見を募るべき時ではありません」とメイヤー氏は述べています。「迅速に意思決定を行う権限を持つ、明確に定義されたインシデント指揮官が必要です。誰もが議論することなく、状況、方向性、次のステップを理解する必要があります。」 重要な資産のリストを作成する
すべてのシステムが同じように作られているわけではありません。事案発生時には、何がミッションクリティカルで何がそうでないかを即座に把握する必要があります。機密情報が含まれているのは、どのデータベースか? インシデント対応計画には、重要度別に分類された、文書化された重要資産の目録を含める必要があります。
脅威が見えなければ、それに対応することはできません。継続的な監視と異常検出は、インシデントの早期発見とデータ保護の基盤です。IRPでは、使用する監視ツール、アラートのトリガーとなるイベント、疑わしい活動をチームがどのように分析するかを指定する必要があります。
インシデントが確認された瞬間から、目標は被害の拡大を食い止めることへと変わります。封じ込めとは、影響を受けたシステムを隔離し、攻撃者のアクセスを遮断し、ネットワークの他の部分への拡散を防ぐことを意味します。計画では、さまざまなインシデントシナリオと攻撃ベクトルに対する封じ込め戦略を概説する必要があります。
脅威が封じ込められたら、攻撃者の存在を排除し、クリーンなシステムを復元し、すべてが正常に動作していることを確認する必要があります。ここで、クリーンなバックアップが非常に重要になります。IRPには、バックアップからのリストア方法と、サービスを段階的にオンラインに戻す方法を詳細に記述する必要があります。
堅実でアクション可能なIRP(インシデント対応計画)を作成することと、実際に必要なときにそれが機能するようにすることは全く別のことです。このセクションでは、どこかの棚に眠っている文書化された計画と、いざというときにチームが実行できる、生きた、息づく対応計画を分ける実践的な優先事項について説明します。
IRPは、ゼロから構築する必要はありません。出発点となる実績のあるフレームワークがあります。2つの例として、米国国立標準技術研究所(NIST)とそのサイバーセキュリティフレームワーク、そしてSANS研究所のインシデント対応プロセスがあります。どちらも、実戦で実証された指針を提供しており、専門家が長年にわたって磨き上げてきた実績のある手順をチームに提供できるよう、独自のIRPを調整する際に活用できます。
どんなに綿密に文書化された計画でも、チームがそれを実行する方法を知らなければ、何の役にも立ちません。IRPには、各メンバーの具体的な役割、提供されるツールの使用方法、コミュニケーション手順、優先順位付けガイドラインに関する定期的なトレーニングを含める必要があります。プレッシャーの下トレーニングしてこそ、実際のインシデントの備えとなります。
IRPには、机上演習やコンピューターシミュレーションによる定期的なトレーニングを含める必要があります。こうしたコントロールされたシナリオを用いることで、チームは実際のインシデントのプレッシャーを受けることなく、不足点を特定し、手順を改善することができます。
IRPを定期的に更新する計画を立てます。「インシデント対応計画は、ほとんどの組織が想定しているよりもはるかに頻繁にテストする必要があります」とメイヤー氏は指摘します。「災害復旧とは異なり、インシデントは予測可能な経路をたどりません。定期的にトレーニングを行うと、協調性とマッスルメモリーが高まり、チームはどのような意思決定をすべきかだけでなく、実際の行動にどれくらいの時間がかかるかを理解できるようになります。」
インシデント対応能力を構築するには、単純なプロセス以上のものが必要であり、適切なツールも必要となります。私たちは、お客様のインシデント対応計画のあらゆる段階を強化する包括的なソリューションを提供します。
検知と分析から復旧と検証まで、当社のプラットフォームは、危機発生時にチームが必要とする回復力、可視性、スピード、そして自信を提供します。迅速なランサムウェア復旧機能や隔離されたクリーンルーム環境などの機能により、チームは迅速かつ的確に対応し、完全に復旧することができます。当社の機能を貴社のインシデント対応計画に組み込むことで、貴社のチームは手順を効果的に実行し、復旧時間を数日ではなく数時間単位で計測するために必要なツールを手に入れられるようになります。
インシデント対応計画における主要なステップには、検知、分析、封じ込め、根絶、復旧、および事後レビューなどがあります。各段階は前の段階に基づいており、危機管理から通常の業務へと移行していきます。
インシデント対応計画は、少なくとも年に一度は更新する必要があります。ただし、重大な変更が生じた場合は、組織はその都度計画を更新する必要があります。計画を最新の状態に保つことで、実際の環境と現在の脅威の状況が反映されます。
災害への備えをテストするには、机上演習とコンピューターシミュレーションを通じて、計画とチームを定期的にテストします。バックアップを実施し、リストアプロセスを定期的にテストします。脆弱性評価を実行して、攻撃者が弱点を発見する前に、弱点を特定します。最も重要なのは、あなたとチームがプレッシャーの下でスムーズに行動できるよう、インシデント対応手順を練習することです。
効果的なツールには、セキュリティ情報とイベント管理(SIEM)、エンドポイント検知と対応プラットフォーム、フォレンジック分析ツール、通信とチケット管理システム、バックアップと復旧ソリューションなどがあります。適切なツールを使用することで、チームは対応時に必要な可視性、スピード、能力を得ることができます。
関連セクション
