デジタルフォレンジックとインシデント対応（DFIR)とは?

インシデント対応は、セキュリティー侵害の検出と対応に重点を置いています。インシデント対応の目標は、攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。

インシデント対応の取り組みは、インシデント対応チームがサイバー脅威にどのように対処すべきかを概説するインシデント対応計画（IRP）を指針とします。インシデント対応プロセスには、次の6つの標準的な手順があります。

1. 準備：準備とは、リスクを評価し、脆弱性を特定して修復し（脆弱性管理）、さまざまなサイバー脅威に対するIRPを作成する継続的なプロセスです。
   
   
2. 検知と分析： インシデント対応担当者は、不審なアクティビティーがないかネットワークを監視します。データを分析し、誤検知を除外し、アラートに優先順位をつけます。
   
   
3. 封じ込め：侵害が検知されると、インシデント対応チームが、その脅威がネットワークに拡散されないよう措置を講じます。
   
   
4. 根絶：脅威が封じ込められたら、インシデント対応者は、ランサムウェア・ファイルの破壊または脅威アクターがデバイスを使えないようにするなどで、脅威をネットワークから排除します。
   
   
5. 回復： インシデント対応者は、脅威の痕跡をすべて取り除くとすぐに、損傷したシステムを通常運用に復元します。
   
   
6. インシデント発生後のレビュー：インシデント対応者は、侵害を見直し、それがどのように発生したかを理解し、将来の脅威に備えます。

デジタル・フォレンジックとインシデント対応を別々に行うと、互いに干渉し合う可能性があります。インシデント対応者はネットワークから脅威を除去する際に、証拠を改ざんまたは破壊してしまう可能性があり、フォレンジック調査員は証拠探索によって脅威の解決を遅れらせてしまう可能性があります。これらのチーム間で情報交換が滞るような場合、全員の効率が本来より低下してしまいます。

DFIRは、これら2つの分野を1つのチームが実行する単一のプロセスに融合します。これにより、次の2つの重要な利点をもたらします。

フォレンジック・データの収集が、脅威の軽減と並行して行われます。DFIRプロセスでは、インシデント対応者がフォレンジック手法を使用してデジタル証拠を収集して保存し、脅威を封じ込めて根絶します。これにより、保管の連鎖が守られ、貴重な証拠がインシデント対応アクティビティーによって改ざんされたり破壊されたりすることがなくなります。

インシデント後レビューには、デジタル証拠の調査が含まれます 。DFIRは、セキュリティー・インシデントを深耕するためにデジタル証拠を使用します。DFIRチームは、収集した証拠を調査・分析し、事件の最初から最後まで再現します。DFIRのプロセスは、何が起きたか、どのように起きたか、被害の全容、そして今後同様の攻撃をどのように回避できるかを詳細に記した報告書で終了します。

結果として次のようなメリットが得られます。

• より効果的な脅威防止。DFIRチームは、従来のインシデント対応チームよりも徹底的にインシデントを調査します。DFIRの調査は、セキュリティー・チームがサイバー脅威をよりよく理解し、より効果的なインシデント対応プレイブックを作成し、より多くの攻撃を未然に防ぐのに役立ちます。DFIRの調査は、未知のアクティブな脅威の証拠を明らかにすることで、脅威ハンティングの合理化にも寄与します。
  
  
• 脅威の解決中に証拠が失われることがほとんどなくなります。 標準的なインシデント対応プロセスでは、インシデント対応者は脅威を封じ込めるために急いでいることがあります。例えば、対応チームが感染したデバイスをシャットダウンして脅威の拡散を封じ込めた場合、デバイスのRAMに残っている証拠はすべて失われてしまいます。デジタル・フォレンジックとインシデント対応の両方の訓練を受けたDFIRチームは、インシデントを解決しながら証拠を保全することに長けています。
  
  
• 訴訟サポートの改善。 DFIRチームは保管の連鎖に従っているため、DFIRの調査結果を法執行機関と共有し、サイバー犯罪者の起訴に使用できます。DFIRの調査は、保険金請求や侵害後の規制当局の監査にも寄与します。
  
  
• より速く、より強固な脅威からの回復。 フォレンジック調査は標準的なインシデント対応調査よりも堅牢であるため、DFIRチームは、他の方法では見過ごされていた隠れたマルウェアやシステムの損傷を発見できます。これにより、セキュリティー・チームは脅威を根絶し、攻撃からより徹底的に回復できます。

一部の企業では、社内のコンピューター・セキュリティー・インシデント対応チーム（CSIRT）（コンピュータ緊急対応チーム（CERT）とも呼ばれる）がDFIRを担当します。CSIRTメンバーには、最高情報セキュリティー責任者（CISO）やセキュリティー・オペレーション・センター（SOC）、ITスタッフ、経営幹部、会社全体のその他の利害関係者が含まれる場合があります。

多くの企業には、DFIRを独自に実行するためのリソースが不足しています。その場合、リテイナーに機能するサードパーティーのDFIRサービスを利用します。

社内とサードパーティーのDFIR専門家はどちらも、同じDFIRツールを使用して脅威を検知・調査・解決します。それには以下が含まれます。

• セキュリティ情報およびイベント管理（SIEM）：SIEMは、ネットワーク上のセキュリティー・ツールやその他のデバイスからセキュリティー・イベント・データを収集し、相関させます。

• セキュリティー・オーケストレーション、オートメーション、対応（SOAR）：SOARを使用すると、DFIRチームはセキュリティー・データを収集・分析し、インシデント対応ワークフローを定義し、反復的なセキュリティー・タスクや低レベルのセキュリティー・タスクを自動化できます。

• EDR（エンドポイントの検知と対応）：EDRはエンドポイント・セキュリティー・ツールを統合し、リアルタイム分析とAI駆動型オートメーションを使用して、ウイルス対策ソフトウェアやその他の従来のエンドポイント・セキュリティー・テクノロジーをすり抜けるようなサイバー脅威から組織を保護します。

• XDR（拡張検知と応答） ）：XDRは、セキュリティー・ツールを統合し、すべてのセキュリティー・レイヤー（ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウドワークロード、データ）にわたってセキュリティー・オペレーションを一元化するオープンなサイバーセキュリティー・アーキテクチャーです。XDRは、ツール間の可視性のギャップをなくすことで、セキュリティー・チームがより迅速かつ効率的に脅威を検知・解決し、脅威が引き起こす被害を最小限に抑えることを支援します。