インシデント対応(サイバーセキュリティー・インシデント・レスポンスと呼ばれることもあります)は、サイバー脅威、セキュリティー侵害、サイバー攻撃を検知し、対応するための組織のプロセスとテクノロジーを指します。正式なインシデント対応計画により、サイバーセキュリティー・チームは被害を制限または防止できます。
インシデント対応の目標は、サイバー攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。
組織は、さまざまな種類のサイバー攻撃をどのように特定し、封じ込め、解決すべきかを正確に規定する正式なインシデント対応計画(IRP)でインシデント対応プロセスとテクノロジーを定義するのが理想的です。効果的なインシデント対応計画を立てることで、サイバーセキュリティー・チームはサイバー脅威を検知して封じ込め、影響を受けたシステムをより迅速に復旧するため、これらの脅威に関連する収益の損失や規制上の罰金、その他のコストを削減できます。IBMの「Cost of a Data Breach 2022 Report(データ侵害のコスト 2022年度報告書) 」によると、インシデント対応チームと定期的にテストされたインシデント対応計画を持つ組織は、インシデント対応チームやIRPを持たない組織よりも平均データ侵害コストが266万米ドル低いことがわかりました。
IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するための洞察が得られます。
データ侵害コスト・レポートに登録する
セキュリティー・インシデントまたはセキュリティー・イベントは、機密性や完全性、可用性あるいは組織の情報システムや機微データを脅かすデジタル的または物理的な侵害です。セキュリティー・インシデントは、ハッカーや権限のないユーザーによる意図的なサイバー攻撃から、正規の権限のあるユーザーによる意図しないセキュリティー・ポリシー違反まで多岐にわたります。
最も一般的なセキュリティー・インシデントには次のようなものがあります。
ランサムウェア。ランサムウェアとは、被害者のデータやコンピューティング・デバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになるか、さらに悪いことに脅迫する、悪意のあるソフトウェア(マルウェア)の一種です。IBMの「Cost of a Data Breach 2022 Report(データ侵害のコスト 2022年度報告書)」によると、ランサムウェア攻撃は2021年から2022年の間に41%増加しました。
フィッシングとソーシャル・エンジニアリング。フィッシング攻撃とは、受信者を操作して、機微情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。詐欺師は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。
IBM の「Cost of a Data Breach 2022 Report(データ侵害のコスト 2022年度報告書)」によると、フィッシングは最もコストがかかり、二番目に多いデータ侵害の原因です。また、ソーシャル・エンジニアリングの最も一般的な形態でもあり、デジタル・セキュリティーの脆弱性ではなく、人間の本質をハッキングして、機微な個人や企業のデータやアセットに不正にアクセスする攻撃の一種です。
DDoS攻撃。 分散型サービス妨害(DDoS)攻撃では、ハッカーが多数のコンピューターをリモート制御し、それらを使用して標的組織のネットワークやサーバーをトラフィックで圧倒し、それらのリソースを正規のユーザーが使用できなくします。
サプライチェーン攻撃。サプライチェーン攻撃とは、ベンダーを攻撃することで標的組織に侵入するサイバー攻撃です。例えば、サプライヤーのシステムから機微データを盗んだり、ベンダーのサービスを利用してマルウェアを配布したりします。2021年7月にサイバー犯罪者は、KaseyaのVSAプラットフォームの欠陥を利用して (ibm.com外部へのリンク)、正規のソフトウェア・アップデートを装ってランサムウェアを顧客に拡散しました。IBMの「2021 Cyber Resilient Organization Study(2021年サイバーレジリエンス組織調査)」によると、サプライチェーン攻撃の頻度が増加しているにもかかわらず、この特定のサイバー脅威に対するインシデント対応計画を準備している組織はわずか32%です。
内部脅威。内部脅威には2つのタイプがあります。悪意のあるインサイダーとは、組織の情報セキュリティーを意図的に侵害する従業員やパートナーまたはその他の権限のあるユーザーのことです。不注意なインサイダーとは、権限のあるユーザーで、脆弱なパスワードを使用したり、機微データを安全でない場所に保管したりするなど、セキュリティーのベスト・プラクティスに従わなかったために意図せずにセキュリティを侵害してしまう人のことです。
インシデント対応計画
前述したように、組織のインシデント対応の取り組みは、インシデント対応計画に基づいて行われます。通常、これらは、最高情報セキュリティー責任者(CISO)やセキュリティー・オペレーション・センター(SOC) 、IT スタッフ、さらには経営幹部や、法務・人事・規制コンプライアンス・リスク管理部門の代表者など、組織全体の利害関係者で構成されるコンピューター・セキュリティー・インシデント対応チーム(CSIRT)によって作成・実行されます。
インシデント対応計画には通常、次のものが含まれます。
種類ごとに独自の対応が必要になるため、CSIRTがインシデントの種類ごとに異なるインシデント対応計画を作成することは珍しいことではありません。IBMの「2021 Cyber Resilient Organization Study(2021年度サイバーレジリエント組織調査)」によると、ほとんどの組織は、DDoS攻撃やマルウェアとランサムウェア、フィッシングに関する具体的なインシデント対応計画を策定しており、ほぼ半数が内部脅威に対する計画を策定しています。
組織によっては、インシデント対応サービスを提供する外部パートナーによって社内CSIRTを補完します。これらのパートナーは多くの場合、リテーナーに取り組み、IRPの準備と実行を含むインシデント管理プロセスのさまざまな側面を支援します。
インシデント対応プロセス
ほとんどのIRPは、SANS Instituteや米国国立標準技術研究所(NIST)およびサイバーセキュリティー・インフラストラクチャー庁(CISA)によって開発されたインシデント対応モデルに基づいた、同じ一般的なインシデント対応フレームワークにも準拠しています。
準備。インシデントレスポンスのこの最初のフェーズは、CSIRT がインシデントの特定、封じ込め、復旧に対応するための最善の手順とツールを、可能な限り迅速に、かつ最小限のビジネス中断の中で常に備えていることを確認するための継続的なものでもある。
定期的なリスク評価を通じて、CSIRTはネットワークの脆弱性を特定し、ネットワークにリスクをもたらすさまざまなタイプのセキュリティー・インシデントを定義し、組織への潜在的な影響に応じて各タイプに優先順位を付けます。このリスク評価に基づいて、CSIRTは既存のインシデント対応計画更新や新しい計画の草案作成をすることがあります。
検知と分析。この段階では、セキュリティー・チームのメンバーがネットワークを監視し、不審なアクティビティーや潜在的な脅威がないか確認します。デバイス・ログやネットワーク上にインストールされているさまざまなセキュリティー・ツール(ウイルス対策ソフトウェア、ファイアウォール)から収集されたデータや通知、アラートを分析し、誤検知を除外し、実際のアラートを重大度の順に優先順位付けします。
現在、ほとんどの組織は、SIEM(セキュリティー情報とイベント管理)やEDR(エンドポイントの検知と対応)などの複数のセキュリティー・ソリューションを使用して、セキュリティー・チームがセキュリティー・イベントをリアルタイムで監視・分析し、インシデントの検知と対応プロセスを自動化できるようにしています。(詳細については、「インシデント対応テクノロジー」を参照してください。)
コミュニケーション計画もこの段階で影響を受けます。CSIRTは、直面している脅威や侵害の種類を判断したら、インシデント対応プロセスの次の段階に進む前に、適切な担当者に通知します。
隔離。インシデント対応チームは、侵害によるネットワークへのさらなる被害を阻止するための措置を講じます。封じ込め活動は、次の2つのカテゴリーに分類できます。
この段階で、CSIRTは影響を受けたシステムと影響を受けていないシステムのバックアップを作成して、さらなるデータ喪失を防ぎ、今後の調査に備えてインシデントの科学的証拠を収集することもあります。
根絶。脅威が封じ込められた後、チームは完全な修復に移り、システムから脅威を完全に除去します。これには、マルウェアの破壊や、権限のないユーザーまたは不正ユーザーのネットワークからの排除など、脅威自体の積極的な根絶、ならびに、侵害の痕跡が残らないように、影響を受けたシステムと影響を受けていないシステムの両方の確認が含まれます。
回復。インシデント対応チームは、脅威が完全に根絶されたと確信したら、影響を受けたシステムを通常の運用に戻します。これには、パッチの展開やバックアップからのシステムの再構築、修復されたシステムとデバイスをオンラインに戻すことが含まれる場合があります。
インシデント後のレビュー。インシデント対応プロセスの各段階を通じて、CSIRTは侵害の証拠を収集し、脅威を封じ込めて根絶するために必要な手順を文書化します。この段階で、CSIRTはインシデントをより深く理解するためにこの情報を確認します。CSIRTは、攻撃の根本原因を判断し、ネットワークへの侵入に成功した方法を特定し、今後この種のインシデントが発生しないように脆弱性を解決しようとします。
CSIRTは、うまくいった点も確認し、将来の攻撃に対するインシデント対応の取り組みを強化するために、システムやツール、プロセスを改善する機会を探します。侵害の状況に応じて、法執行機関も事後調査に関与する場合もあります。
上で述べたように、インシデント対応計画では、セキュリティー・インシデントが発生した場合にCSIRTがとるべき手順の説明に加えて、通常、インシデント対応チームが収集などの主要なインシデント対応ワークフローを実行または自動化するために導入すべきセキュリティー・ソリューションの概要を示します。セキュリティー・データを関連付け、リアルタイムでインシデントを検知し、進行中の攻撃に対応します。
最も一般的に使用されるインシデント対応テクノロジーには、次のようなものがあります。
IBMの脅威検知と対応ソリューションを活用して、セキュリティーを強化し、脅威検出を加速しましょう。
統合ソリューション・スイートにより、ポリシーをコードとして定義し、安全なデータの制御を実装し、ハイブリッド・マルチクラウド環境全体でセキュリティーとコンプライアンスの体制を評価できるようになります。
DNSのデータを使用して構成ミスやセキュリティー問題を迅速に特定します。
ランサムウェアは、身代金が支払われるまで被害者のデバイスとデータを人質に取るマルウェアです。
内部脅威は、権限のあるユーザーが意図的または誤って機微データやネットワーク・アセットを公開してしまうことで発生します。
IBMのシニア・セキュリティー・アーキテクトやコンサルタントを交え、サイバーセキュリティーを巡る自社の現状を理解し、取り組みの優先度付けを決定することをテーマに、3時間の無料デザイン思考セッションをオンライン形式または対面形式で実施します。