Incident Response (IR) インシデント対応

5月 28, 2020

インシデント対応とは

インシデント対応(IR)は、組織が疑わしいサイバーセキュリティ侵害に際して、検知、封じ込め、復旧を実施するために準備を行う体系的な取り組みです。インシデント対応計画は、サイバーセキュリティインシデントへの秩序ある効果的な対応を確実に実施するのに役立ち、その結果、組織のデータ、評判、収益を保護するのに役立ちます。

組織がインシデントにどう対応するかは、最終的にインシデントの影響に非常に大きく関係します。サイバー攻撃の被害者になること自体大変なことですが、適切な措置を講じない組織は、従業員に対しての影響、株主の訴訟、規制当局からの罰則を受けやすくなります。また、事前に決めた特定の措置を講じなかった場合、保険会社が保険請求を受け入れないこともあります。

インシデント対応計画は、適切な措置を確実に講じるのに役立ちます。計画には、多くの場合、次の要素が含まれます。

  • インシデント対応が組織の幅広いミッションをサポートする方法
  • 組織のIRへの取り組み
  • IRの各フェーズで必要な活動
  • IR活動を遂行するための役割と責任
  • IRチームと組織の他のメンバーとの間のコミュニケーション手段
  • IR機能の有効性を把握するための指標

インシデントが終わってもIR計画の有用性を継続させることには終わりがないことを認識しておくことが重要です。訴訟の成功、監査人に提示する書類、経過の知識をリスク評価プロセスに取り入れてインシデント対応プロセス自体を改善することなどを行います。

2020年 CROWDSTRIKE グローバル脅威レポート

ひCrowdStrikeグローバル脅威レポートをダウンロードください 攻撃者グループの進化し続ける戦術、手法、手順の傾向を明らかにし、今後組織を保護するための実用的な推奨事項も提供しています。

ダウンロード

IR計画の重要性

サイバーインシデントは単なる技術的な問題ではなく、ビジネス上の問題です。緩和措置が早ければ早いほど、被害は少なくなります。

数週間にわたり見出しを飾った最近のセキュリティ侵害について考えてみてください。その会社はかなり前にインシデントを知ったのにも関わらず、問題に対処できなかったのでしょうか。会社の広報担当者は、詳しい調査によってこれは大変なことだと伝えられるまで、インシデントの重大さを軽んじていたのでしょうか。影響を受けた個人とのコミュニケーションがうまく整理されていなかったため、混乱が拡大したのでしょうか。幹部は、インシデントの対応を誤ったと非難されましたか。真剣に受け止めなかったり、株を売却するなどの行動を取ったりして、事態を悪化させたでしょうか。これらは、組織が計画を持っていなかったという明白な証拠です。

インシデント対応計画は技術的な問題だけに留まらないため、IR計画は組織の優先事項と許容可能なリスクのレベルに合わせて策定する必要があります。

インシデント対応リーダーは、インシデント発生中および発生後の混乱を最小限に抑え、データ損失を食い止めるために、組織の短期的な運用要件と長期的な戦略目標を認識する必要があります。

インシデント対応プロセスを通じて得られた情報は、リスク評価プロセスとインシデント対応プロセス自体にもフィードバックすることで、将来のインシデントへの対処を改善し、セキュリティ体制全体を強化することができます。投資家、株主、顧客、メディア、裁判官、監査人からインシデントについて尋ねられたら、インシデント対応計画のある企業は記録を指し示し、攻撃に対して責任を持って徹底的に行動したことを証明できます。

ほとんどの組織が無計画

インシデント対応計画の必要性は明らかであるにもかかわらず、驚くほど大多数の組織には計画がないか、あるとしても不十分です。

Ponemon Instituteのアンケート調査によると回答者の77%が、組織全体に一貫して適用される正式なインシデント対応計画がないと回答、半数近くが計画は非公式であるか存在しないと回答しています。IR計画を持っている組織のうち、その計画が「よく練られている」と述べたのは、わずか32%です。

これらの数字はまさに、57%の組織が組織内のサイバーインシデントを解決する時間が長期化していると考え、65%が被っている攻撃の深刻度が増していると述べていることと関係しています。

これら2つの発言は密接に結びついています。サイバーセキュリティでは、速さが損害を抑える重要な要素なのです。攻撃者が標的のネットワーク内に留まる時間が長いほど、盗みや破壊に成功しやすくなります。IR計画で、インシデント対応者が実施すべき対策を把握し、対策実施のためのツールと権限を持つようにすれば、攻撃者の時間を奪うことができます。

インシデント対応の最も難しい課題については、次のブログ記事をご覧ください。「Confessions of a Responder:The Hardest Part of Incident Response Investigations(英語)」

インシデント対応計画の4つのステップとは

米国立標準技術研究所(NIST)によると、IRには4つの主要なフェーズがあります。

  • 準備
  • 検知と分析
  • 封じ込めと根絶
  • インシデント後の復旧

ステップ1:準備

急な通知があった際に、効果的なインシデント対応を開始できる組織はありません。イベントを防止し、イベントに対応するための計画を立てておく必要があります。

IRチームを定義する
インシデントが発生している間に迅速かつ完璧に行動するには、IRチーム全員が自分たちの責任と彼らが判断を下すべきことを知っておく必要があります。

IRチームには、ビジネスを支援する措置を講じる権限のある、ビジネスおよび技術のさまざまなエキスパートを含めることが望ましいです。メンバーには、管理、技術、法務、およびコミュニケーションの各分野の代表者と、セキュリティ委員会のリエゾン(連携役)も含めなければなりません。インシデントの影響を受けるすべての部門がメンバーに入り、全員がインシデント中およびインシデント後の行動の指針となる判断基準を持っている必要があります。

計画では、担当者と、特定の重要な決定を下す権限を持つ人物も定めなければなりません。こういったことはインシデントの渦中に決めることではありませんし、議論することでもないのは言うまでもありません。

計画の策定と更新

計画書およびその他の関係書類が存在することを確認し、定期的に更新して最新の状態を維持してください。すべての関係者は、計画の中で自分の責任に関連する部分にアクセスできる必要があり、計画が改訂されたときにはその旨を受け取ることが望ましいです。計画を継続的に改善するには、あらゆる重大なインシデントの後にフィードバックの場を設ける必要があります。

適切なインフラストラクチャとツールの取得と維持

インシデントを検知して調査すると同時に、証拠を収集して保存する機能も備えます。攻撃者が環境内にいるかどうかを判断するには、エンドポイントを完全に可視化し、インシデントデータを収集するエンドポイントセキュリティ技術を使用することが極めて重要です。

適切なツールとそのツールの使用をガイドするプロセスがなければ、攻撃者が環境にアクセスする方法、すでにアクセスされている場合、既存のアクセスを軽減する方法、または将来のアクセスを防止する方法を見つけるには不十分です。

常にスキルを向上させ、トレーニングをサポートする

IRチームに適切なスキルがあり、適切なトレーニングも受けられるようにします。時折IR計画を実行することもその1つです。また、社内スタッフまたはサードパーティプロバイダのスタッフをIRチームに派遣して、認定を維持したり他の教育機会を活用したりするためにチームメンバーが仕事から離れる場合に対応できるようにする必要もあります。

最新の脅威インテリジェンス機能を持つ

脅威インテリジェンス機能は、対応するための備えが必要な脅威の種類を把握するのに役立ちます。脅威インテリジェンスをエンドポイント保護にシームレスに統合し、自動化されたインシデント調査を使用して、侵害対応を迅速化する必要があります。自動化することで、数時間ではなく数分で脅威をより包括的に分析できるため、組織はよりスマートに対応して永続的に攻撃を仕掛ける攻撃者の先を行くことができます。

徹底したIR計画や、適切に訓練されたチームがなければ、たやすく間違いが起きてしまうでしょう。「5 Common Mistakes to Avoid in Cyber Incident Response(英語)」をぜひご覧ください

ステップ2:検知と分析

IRの第2フェーズでは、インシデントが発生したかどうか、その重大度、およびインシデントの種類を判別します。NISTでは、このフェーズ全体を次の5つのステップにまとめています。

  • インシデントの兆候の特定(前兆と痕跡):前兆と痕跡は、インシデントが発生しようとしているか、すでに発生したことを知らせる特定のシグナルです。
  • 見つかった兆候の分析:IRチームは、前兆または痕跡を特定したら、それが攻撃の一部なのか、誤検知なのかを判断する必要があります。
  • インシデントの文書化:兆候が本物のインシデントであることが判明した場合、IRチームはインシデントに関連するすべての事実の文書化を開始し、プロセス全体を通して実行された全アクションのログを記録し続ける必要があります。
  • インシデントの優先順位付け:NISTは、このステップをIRプロセスの最も重要な決断ポイントとして指定しています。IRチームは、単純に発生順でインシデントを優先順位付けすべきではなく、それよりもビジネス機能への影響、被害にあった情報の機密性、およびインシデントの回復可能性を考慮して、インシデントをスコアリングする必要があります。
  • インシデント通知:インシデントを分析して優先順位を付けた後、IRチームは適切な部門や個人に通知する必要があります。徹底したIR計画には、特定の報告要件があらかじめ含まれていなければなりません。

上記の簡単なリストに惑わされないでください。検知と分析フェーズは非常に困難な場合があります。理由はいくつかあります:

  • インシデントは、自動検知システムからユーザからの報告によるものまで、さまざまな手段で見つかる可能性があります。忠実度と詳細の度合いは、レポートの作成方法や作成者によって異なります。また、中にはどの様にレポートされたとしても検知するのがほぼ不可能なインシデントもあります。
  • 潜在的な侵害の痕跡(IoC)の量が非常に多くなる場合があります。組織によっては、1日当たりに受け取る件数が数百万におよぶこともあります。ノイズの中から兆候を選り分けるのは大変な作業です。
  • インシデント関連データを正確に分析するには、深く専門的な知識と豊富な経験が必要です。自動化は有用ではありますが、インシデントが発生しているかどうかを最終的に判断するのは人です。多くの組織は、進行中のインシデントを見極めるのに必要となる専門知識を獲得するのに苦労しています。

CrowdStrikeのFalcon プラットフォームは、インシデント対応の際、特に検知と分析のフェーズにおいて広く利用されています。クラウドベースのアーキテクチャにより、インシデント対応とレメディエーションの時間を大幅に短縮し、環境内のすべてのエンドポイントを遠隔で可視化して、攻撃の「誰が、何を、いつ、どこで、どのように」に関する情報を即座に利用できるようにします。Falcon Completeなどのサービスでは、CrowdStrikeのエンドポイントセキュリティ技術を、インシデントの迅速な修復に必要な人、専門知識、およびプロセスと組み合わせることにより、検知と分析のフェーズを合理化します。

ステップ3:封じ込め、根絶、回復

封じ込めフェーズの目的は、インシデントがさらなる損害を引き起こす前に、その影響を食い止めることです。インシデントを封じ込めると、IRチームは次のステップの調整に時間を割くことができます。次のステップでは、インシデントの根本原因に対処し、システムを通常の動作に戻すために必要な手段を講じなければなりません。

その判断が生産性に影響を与える可能性があるため、IRチームは慎重に取り組むべきです。組織として許容可能なリスクレベルに基づいた封じ込めに関して、あらかじめ定められた一連の戦略と手順がIR計画にあれば、意思決定プロセスは容易になります。

封じ込め、根絶、および回復戦略は次のような基準に基づいて策定してください。

  • 影響を受ける資産の重要度
  • インシデントの種類と重大度
  • 証拠を保存する必要性
  • 重要なビジネスプロセスに関わるシステムで、影響を受けたものの重要性
  • 戦略の実施に必要なリソース

これらのプロセスは常に文書化しておく必要があり、証拠も常に収集しなければなりません。これには2つの理由があります。1つは攻撃から学習してセキュリティチームの専門知識を高めること、もう1つは訴訟の可能性に備えることです。

See Crowdstrike Falcon In Action

毎年、サービスチームは多くの新しい攻撃者グループと戦っています。 サイバーセキュリティ最前線レポートでは、サービスの専門家が推奨する分析と実用的な手順を紹介しています。

ダウンロード

ステップ4:インシデント後の活動

すべてのインシデントを学習と改善の機会にすべきですが、多くの組織がこのステップを軽んじています。敵は進化を続けていますから、IRチームは最新の手法、戦術、手順に遅れずについていく必要があります。

関連するすべての関係者が参加する反省会は、重大なインシデントの後には必須ですし、それほど深刻でないインシデントの後にも推奨されます。会議は具体的には、セキュリティ全体とインシデント処理を改善することを目的として開催します。大規模な攻撃の場合は、必要に応じて組織全体から人々を参加させ、今後のインシデントで協力が必要になりそうな人々を特に力を入れて誘うようにしてください。

会議では以下を確認します:

  • 何がいつ起きたのか
  • IRチームはうまく機能したか
  • 文書化された手順に従ったかどうか
  • 手順は適切だったか
  • 必要なときに不足していた情報は何か
  • どのアクションが回復を遅らせたか
  • 別の方法でできたことは何か
  • 今後のインシデントを防ぐために何ができるか
  • 今後どのような前兆や痕跡を探すことができるか

会議中に指摘された重要点を文書化し、やるべきことを割り当て、出席できなかった人にメールでフォローアップします。

これらの会議結果は、新規採用者にとって重要なトレーニングツールになる可能性があります。また、ポリシーと手順を更新し、今後のインシデントの際に役立つ組織の知識を作成するのにも利用できます。

インシデント対応計画の策定

多くの場合、組織は、効果的な計画を独自に策定または実行するための社内スキルを欠いています。幸運にも専任のチームがある場合でも、自動検知システムによる大量の誤検知で疲弊しているか、既存のタスクを処理するのに忙しすぎて最新の脅威に対応できていない可能性があります。

CrowdStrikeは、インシデント対応のリーダーであることを誇りにしており、大混乱になる恐れのあるイベントに対して制御、安定性、組織化をもたらします。CrowdStrikeは、組織と緊密に連携して、チームの構造と能力に合わせたIR計画を策定します。

当社は、プロセスを標準化および合理化することで、企業のインシデント対応オペレーションの改善を支援します。また、組織の既存の計画と能力を分析し、チームと協力してインシデント対応中の活動の手引きとなる標準的な操作手順となる「プレイブック」を作成します。

最後に、当社のサービスチームは、ペネトレーションテスト、レッドチーム/ブルーチーム演習、および攻撃者グループエミュレーションシナリオなどの演習で、プレイブックのバトルテストを支援できます。


CCrowdStrikeの迅速で効果的なインシデント対応についてはこちらからご覧ください。

CrowdStrikeのIRサービス