インシデント対応計画：フレームワークと手順

インシデント対応フレームワーク

最も評価の高い2つのインシデント対応フレームワークは、ITチームがインシデント対応計画を立てるための基盤となるよう、NISTとSANSが開発したものです。各フレームワークの手順は以下の通りです。

NISTのインシデント対応手順

• ステップ#1：準備
• ステップ#2：検知と分析
• ステップ#3：封じ込め、根絶、復旧
• ステップ#4：インシデント後の活動

SANSのインシデント対応手順

• ステップ#1：準備
• ステップ#2：特定
• ステップ#3：封じ込め
• ステップ#4：根絶
• ステップ#5：復旧
• ステップ#6：教訓

NISTとSANSのそれぞれのフレームワークを並べて比較すると、コンポーネントはほぼ同じであるものの、文言やグループ分けの仕方が少し異なることがわかります。最も大きな違いは、ステップ3です。NISTは、封じ込め、根絶、復旧を同じステップ内で行うべきであると考えています。つまり、脅威を根絶するにあたり、すべての脅威が封じ込められるまで待つべきではないと捉えています。

どちらのフレームワークが優れているか

どちらのフレームワークが優れているかは議論が分かれるところですが、実際には好みや組織のリソースの問題です。どちらにも包括的なチェックリストが付いており、チームはこれに従って着手します。この記事では、NISTのフレームワークの4つのステップを取り上げ、インシデント対応計画で各ステップがどのような意味を持つのかを説明します。

ステップ#1：準備

インシデントに対して即座に効果的な対応ができる組織など存在しません。イベントの防止と対応の両方に対して計画を立てましょう。

CSIRT（コンピューターセキュリティインシデント対応チーム）を決める

インシデントが展開されている間に迅速かつ隙なく行動するには、CSIRTの全員が自分の責任と決断すべき事柄を把握している必要があります。

CSIRTには、ビジネスを支援するために行動する権限を持つ、ビジネスと技術の専門家による混成チームを加えましょう。メンバーには、管理、技術、法律、および通信分野の代表者と、セキュリティ委員会の連絡役を含めます。また、インシデントの影響を受けるすべての部署で情報を共有し、全員がインシデント中およびインシデント後の行動の意思決定マトリクスを持っている必要があります。

この計画では、責任者、および特定の重大な決定を下す権限を持つ人も決める必要がありますが、その場の勢いで決めたり、議論したりすべきではありません。

計画を作成および更新する

計画やその他の関係文書が存在し、定期的に更新されて最新の状態に保たれていることを確認します。関係者全員が、自分の責任に関連する計画にアクセスでき、計画が改訂されたときには通知されるようにします。計画を継続的に改善するためには、重大なインシデントが発生するたびに実施されるフィードバックループが必要です。

適切なインフラストラクチャとツールを取得し維持する

インシデントを検知して調査し、証拠を収集して保存できるようにします。攻撃者が環境にいるかどうかを判断するには、エンドポイントセキュリティテクノロジーを導入して、エンドポイントを完全に可視化し、インシデントデータを収集することが重要です。

適切なツールとその適切な使い方を示すプロセスがなければ、攻撃者が環境にアクセスする方法、攻撃者の既存のアクセスを軽減する方法、または将来の攻撃を防ぐ方法を調査する準備は十分ではありません。

常にスキルアップし、トレーニングをサポートする

インシデント対応チームが適切なスキルを身に付け、適切なトレーニングを受けられるようにします。これには、時折インシデント対応計画の演習を行うことも含まれます。また、社内スタッフやサードパーティプロバイダーをインシデント対応チームに派遣して、チームメンバーが業務から離れて認定資格の維持などの教育機会を活用する場合に対応できるようにします。

最新の脅威インテリジェンス機能を備える

脅威インテリジェンス機能は、対応する準備を整える必要がある脅威の種類を理解するのに役立ちます。脅威インテリジェンスをエンドポイント保護にシームレスに統合し、インシデント調査を自動化して、素早く侵害に対応する必要があります。自動化することで、数時間も要さずわずか数分で脅威をより包括的に分析できるため、組織はよりスマートに対応して持続的標的型攻撃（APT攻撃）を先回りして防御することができます。

ステップ#2. 検知と分析

インシデント対応の第2フェーズでは、インシデントが発生したかどうか、およびインシデントの重大度とタイプを判断します。NISTは、このフェーズ全体を次の5つのステップに分けています。

• インシデントの兆候（前兆と痕跡）の特定：前兆と痕跡とは、インシデントが発生しようとしているか、またはすでに発生していることを示す特定の兆候です。
• 検知された兆候の分析：前兆または痕跡を特定したら、インシデント対応チームは、それが攻撃の一部なのか、フォールスポジティブなのかを判断する必要があります。
• インシデントの文書化：兆候が本物のインシデントであることが判明した場合、インシデント対応チームはインシデントに関連するすべての事実の文書化に取り掛かり、プロセス全体で実行されたすべてのアクションのログを記録し続ける必要があります。
• インシデントの優先順位付け：NISTは、このステップをインシデント対応プロセスにおける最も重大な意思決定ポイントに指定しています。インシデント対応チームは、発生した順序でインシデントに優先順位を付けるだけでは不十分なため、ビジネス機能への影響、被害を受けた情報の機密性、およびインシデントの回復可能性に基づいてインシデントをスコアリングする必要があります。
• インシデントの通知：インシデントを分析し、優先順位を付けた後、インシデント対応チームは適切な部署/個人に通知する必要があります。徹底したインシデント対応計画には、具体的な報告要件があらかじめ含まれている必要があります。

ステップ#3. 封じ込め、根絶、復旧

封じ込めフェーズの目的は、インシデントの影響を阻止して、インシデントによるさらなる被害を防ぐことです。インシデントを封じ込めることができれば、インシデント対応チームは次以降のステップを調整する時間を取ることができます。この調整には、インシデントの根本原因に対処することと、システムを通常の動作に戻すために必要な対策を講じることが含まれます。

封じ込め、根絶、復旧の戦略は、次のような基準に基づいて立てます。

• 影響を受けるアセットの重要度
• インシデントの種類と重大度
• 証拠を保存する必要性
• 重要なビジネスプロセスに対する、影響を受けたシステムの重要性
• 戦略の実施に必要なリソース

これらのプロセスは必ず文書化し、証拠も収集する必要があります。これには2つの理由があります。1つは攻撃から学び、セキュリティチームの専門知識を高めるためで、もう1つは訴訟の可能性に備えるためです。

ステップ#4. インシデント後の活動

インシデントはすべて学習と改善の機会とすべきですが、多くの組織はこのステップを軽視しています。攻撃者は常に進化しているため、インシデント対応チームは最新の技術、戦術、手順に遅れずに対応していく必要があります。

重大なインシデントの後には、必ず関係者全員が参加する対策会議を実施する必要があります。また、重大度の低いインシデントの後も、全体的なセキュリティ、特にインシデントへの対応力を向上させるためにも実施することを推奨します。大規模な攻撃が発生した場合は、必要に応じて組織全体から人員を集めます。特に将来のインシデントの際に協力が必要になりそうな人員に声をかけるようにします。

会議では、以下の点を確認します。

• いつ、何が起きたのか
• インシデント対応チームはどの程度うまく対応できたか
• 文書化された手順に従ったかどうか
• 文書化された手順が適切であったかどうか
• 必要なときに確認できなかった情報は何か
• どのアクションが復旧を遅らせたか
• 別の方法でできたことは何か
• 将来インシデントを防ぐためにできることは何か
• 将来どのような前兆や痕跡を探すことができるか

このような会議で得られた成果は、新規採用者にとって重要なトレーニングツールになる可能性があります。また、それをもとにポリシーと手順を更新したり、将来のインシデントで役立つ組織の知識として加えたりすることもできます。

クラウドストライクのインシデント対応

潜在的な侵害の痕跡 (IOC) は非常に多く見つかる場合があります。組織によっては、1日当たり数百万件にも達することがあります。莫大な数の痕跡の中から兆候を選り分けるのは、大変な作業です。クラウドストライクは、組織のそのような業務を容易にします。クラウドストライクインシデント対応チームは、インシデント対応と修復の経験に最先端のテクノロジーを掛け合わせたインテリジェンス主導のアプローチを取り入れて、攻撃者を迅速に特定し、環境から排除します。クラウドストライクは、組織と協力して、最も重大なサイバーセキュリティインシデントに対処します。