企業へのサイバー攻撃は、年々増加傾向にあります。
企業は早急にインシデント対応を行う必要があり、注目を集めているのですが、インシデント対応は適切な手順で行うことが大切です。
また、インシデント対応について詳しく知らない人も多いでしょう。
インシデント対応の意味や手順、何故必要なのかを解説します。
インシデント対応とは?
インシデント対応、またはサイバーセキュリティー・インシデント対応とは、セキュリティー違反やサイバー攻撃、サイバー脅威などを検知して対応するための組織のプロセスとテクノロジーのことをいいます。
インシデント対応の目的は、サイバー攻撃を未然に防ぎ、発生したサイバー攻撃によるコスト増加や業務の混乱を最小限に抑えることです。
組織はテクノロジーやインシデント対応プロセスなどを定義し、サイバー攻撃を特定して対処し、解決するための方法を規定することが求められます。
効果の高いインシデント対応計画を策定することができれば、サイバーセキュリティーチームが脅威を発見して対処し、影響があったシステムを修復することで、被害を軽減することができるのです。
組織にインシデント対応チームやインシデント対応計画がある場合、ない組織と比較してデータ侵害にかかるコストは平均で266万ドル下回ると言われているのです。
備えるためにはコストがかかるものの、データ侵害が起こった時にかかるコストははるかに大きいのです。
インシデントには、セキュリティー・インシデントというものもあります。
セキュリティー・インシデントは、組織の情報システムや機密データの機密性や可用性などを脅かす、デジタル並びに物理的な侵害のことを言います。
セキュリティー・インシデントには、ハッカーや意図的なサイバー攻撃、正当なユーザーによる意図しない違反など、様々な原因によるものがあります。
インシデント対応の手順
組織のインシデント対応は、計画に基づいて行うものです。
計画を作成して実行するのは、最高情報セキュリティー責任者やITスタッフ、経営陣をはじめとしたリスク管理の各担当者などで構成されたチームです。
インシデント対応計画に含まれるものとして、まず各メンバーの担当並びに役割の決定があります。
コンピューター・セキュリティー・インシデント対応チームは、CSIRTという略称で呼ばれています。
CSIRTは、エンタープライズ内のセキュリティー・ソリューションや、障害が発生した際に大きな影響を受けるシステムやデータを素早く復旧させるための手順を事業継続性計画としてまとめることが求められます。
また、インシデント対応のプロセスについてフェーズごとの手順を具体的に示して、実行の担当者も定めておかなくてはいけません。
対応する内容について、詳細に定めておきましょう。
企業の幹部や従業員、並びに顧客や法執行機関にインシデントを通知するため、コミュニケーションプランを策定することも必要です。
資料収集についても文書化して、必要になった時はスムーズに対応できるようにしておきましょう。
ほとんどの組織では、マルウェアやDDoS攻撃、フィッシング、ランサムウェアなどのサイバー攻撃に対して、具体的な対応計画を用意しています。
また、一部の組織では対応に関して外部パートナーに委託しています。
インシデント対応の最初のフェーズは、準備です。
継続的に行う必要があるので、業務中断を最小限にしながらインシデントをできるだけ早く特定し、対処して復旧に対応できるよう最善の手順とツールに備える必要があります。
CSIRTは、リスク評価を定期的に行うことでネットワークの脆弱性を特定して、ネットワークのリスクの原因となるセキュリティー・インシデントを定義したうえで、潜在的に組織へと与える影響に応じ、セキュリティー・インシデントのタイプ別に優先順位を付けます。
リスク評価と優先順位を考慮して、CSIRTは以前に決めていたインシデント対応計画を更新するべきか、あるいは新たにインシデント対応計画を策定していくべきかを検討する必要があるのです。
検知と分析のフェーズでは、セキュリティー・チームを構成するメンバーがネットワークをモニターし、不審なアクティビティーや潜在的な脅威に備えます。
セキュリティー・ツールのデータやアラートなどを分析し、誤検知のフィルター処理を行ってアラートを重大度の順にトリアージします。
インシデント対応チームは、ネットワークが受けている侵害が拡大することがないよう、封じ込めるための対策を講じることとなります。
封じ込める際は、短期的か長期的かで内容が異なります。
短期的に封じ込める場合は、感染しているデバイスをネットワークから遮断してオフラインにするなど、隔離して拡散を防ぐことになるでしょう。
しかし、長期的に封じ込めたい場合は、オフラインにして使用できない状態にすることは望ましくないでしょう。
長期的な対策としては、影響を受けていないシステムに拡大しないことを第一に考え、ネットワークから機密データベースを分離するなど、システムの周囲のセキュリティーを厳重にします。
長期的に対処する場合、CSIRTはシステムを影響の有無によって区別し、バックアップを作成することでデータの消失を最小限に食い止めるべきです。
さらに、将来の調査のためにインシデントの法的証拠の収集も忘れないようにしましょう。
脅威を封じたら、チームはシステムから脅威を残さず取り除いて完全に修復する作業を行います。
作業においては、無許可や不正のユーザーをネットワークから追い出し、マルウェアを破壊して脅威を徹底的に根絶しなくてはいけないのです。
影響を受けたシステムは、通常通りの運用に戻します。
戻す際は、パッチを導入してバックアップシステムも再構築し、システムとデバイスをオンラインで再接続するなどの作業も必要です。
対応プロセスを通じて、CSIRTはフェーズごとに違反の証拠を収集して、脅威を根絶するための手順について文書化しておきます。
情報を調査したうえで、インシデントを理解する必要があるのです。
また、対策の中で効果があったものを調査して、今後の対策を講じることとなります。
侵害された内容次第では、法執行機関によって調査を受ける可能性もあるため、証拠などはきちんと残しておきましょう。
まとめ
ニューリスクを探るうえで、インシデント対応は注目を集めています。
年々増加するサイバー攻撃に備えるインシデント対応は、対応チームや対応計画を事前に用意しておくことで、インシデントが起こった時のコストが266万ドル少なくなるといわれています。
インシデント対応プロセスはフェーズごとに分けられているため、各フェーズにおける担当者や対策内容などを事前に決めて置きましょう。