インシデント対応とは
正式なインシデント対応計画を策定することで、サイバーセキュリティー・チームはサイバー攻撃やセキュリティー違反による損害を制限あるいは防止することできます。
超高層ビルのズームアップ・ビュー
インシデント対応とは

インシデント対応(サイバーセキュリティー・インシデント対応とも呼ばれる)とは、サイバー脅威、セキュリティー違反、サイバー攻撃を検知して対応するための組織のプロセスとテクノロジーのことです。 インシデント対応の目的は、サイバー攻撃を未然に防ぎ、発生したサイバー攻撃によるコスト増加や業務の混乱を最小限に抑えることです。

組織が正式なインシデント対応計画(IRP)でインシデント対応プロセスとテクノロジーを定義し、さまざまな種類のサイバー攻撃を特定、封じ込め、解決する方法を正確に規定すること理想的です。 効果的なインシデント対応計画を策定できると、サイバーセキュリティー・チームはサイバー脅威を検知して封じ込め、影響を受けたシステムをより迅速にリストアし、それらの脅威に関する収益の損失、規制上の罰金、その他のコストを削減できます。 IBMの「2022年データ侵害のコストに関する調査」によると、インシデント対応チームや定期的に検査されるインシデント対応計画を持つ組織は、インシデント対応チームやIRPを持たない組織に比べて、データ侵害にかかる平均コストが266万ドル下回っています。


セキュリティー・インシデントとは

セキュリティー・インシデント(またはセキュリティー・イベント)とは、機密性、整合性、可用性、または組織の情報システムや機密データを脅かす、デジタルまたは物理的な侵害のことです。 セキュリティー・インシデントには、ハッカーや不正なユーザーによる意図的なサイバー攻撃から、正当な許可ユーザーによる意図しないセキュリティー・ポリシーの違反まで、さまざまなものがあります。

最も一般的なセキュリティー・インシデントとしては、以下のようなものがあります。

ランサムウェア。 ランサムウェアは、悪意のあるソフトウェア(マルウェア)の一種であり、被害者のデータやコンピューティング・デバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックしたままかそれ以上悪い状態にすると脅迫するものです。 IBMの「2022年データ侵害のコストに関する調査」レポートによると、ランサムウェア攻撃は2021年から2022年にかけて41パーセント増加しました。

ランサムウェアの詳細はこちら

フィッシングとソーシャル・エンジニアリング。 フィッシング攻撃は、デジタルまたは音声のメッセージで受信者を操作し、機密情報の共有、悪意のあるソフトウェアのダウンロード、不適切な相手への金銭や資産の転送、またはその他の有害な行動を受信者に取らせようとするものです。 詐欺師は、信頼できる組織や個人(場合によっては、受信者が個人的に知っている人物)から送信されたように見えたり、聞こえたりするフィッシング・メッセージを作成します。

IBMの「2022年データ侵害のコストに関する調査」レポートによると、フィッシングはデータ漏洩被害の原因として2番目に多く、最もコストがかかるものです。 フィッシングは、最も一般的な形態のソーシャル・エンジニアリングでもあり、デジタル・セキュリティーの脆弱性ではなく人間の性質を利用して個人や企業の機密データや資産に不正にアクセスする攻撃の一種です。

ソーシャル・エンジニアリングの詳細はこちら

DDoS攻撃。 分散型サービス妨害(DDoS)攻撃では、ハッカーが多数のコンピュータのリモート制御を取得して、標的組織のネットワークまたはサーバをトラフィックで過負荷状態にして、正当なユーザーがそのリソースを利用できないようにします。

DDoS攻撃の詳細はこちら

サプライチェーン攻撃。 サプライチェーン攻撃は、サプライヤーのシステムから機密データを盗んだり、ベンダーのサービスを使用してマルウェアを配布したりするなどベンダーを攻撃することで標的組織に侵入するサイバー攻撃です。 2021年7月、サイバー犯罪者はKaseyaのVSAプラットフォーム (ibm.com外部へのリンク)の欠陥を利用して正当なソフトウェア更新を装ってランサムウェアを顧客に拡散しました。 IBMの「2021年サイバー・レジリエンスを備えた組織の調査」によると、サプライチェーン攻撃の頻度が増しているにも関わらず、この特殊なサイバー脅威に対するインシデント対応計画を準備している組織はわずか32%です。

サプライチェーンのセキュリティーの詳細はこちら。

インサイダーの脅威。 インサイダーの脅威には2種類あります。 悪意のあるインサイダーは、組織の情報セキュリティーを意図的に侵害する従業員、パートナー、またはその他の許可ユーザーです。 不注意なインサイダーは意図せずにセキュリティーを侵害する許可ユーザーです。セキュリティーのベスト・プラクティスに従わずに、脆弱なパスワードを使用したり、機密データを安全でない場所に保存したりします。 

インサイダーの脅威の詳細はこちら


インシデント対応の仕組み

インシデント対応計画

前述のとおり、組織のインシデント対応の取り組みはインシデント対応計画に基づいて行われます。 通常、この計画を作成および実行するのはコンピューター・セキュリティー・インシデント対応チーム(CSIRT)です。このチームは、最高情報セキュリティー責任者(CISO)、セキュリティー・オペレーション・センター(SOC)、ITスタッフ、さらに経営陣、法務、人事、法令順守とリスク管理の各担当者など、組織全体の関係者で構成されています。

インシデント対応計画には、通常は以下のものが含まれます

  • CSIRTの各メンバーの役割と担当。
  • エンタープライズ全体にインストールされるセキュリティー・ソリューション(ソフトウェア、ハードウェア、その他のテクノロジー)。
  • 障害発生時に、重大な影響を受けるシステムとデータをできるだけ素早く復旧するための手順をまとめた事業継続性計画。
  • インシデント対応プロセスの各フェーズ(下記参照)における具体的な手順と、それを誰が実行するかを説明した詳細なインシデント対応の方法論。
  • 企業の幹部、従業員、顧客、さらには法執行機関にインシデントについて通知するためのコミュニケーション・プラン。
  • 資料収集に関する文書化、および事後調査や(必要に応じて)法的手続きのためのインシデントの文書化に関する手順。 

インシデントのタイプによって独自の対応が必要となるため、CSIRTがタイプごとに異なるインシデント対応計画を作成することは珍しくありません。

IBMの「2021年サイバー・レジリエンスを備えた組織の調査」によると、ほとんどの組織がDDoS攻撃、マルウェアやランサムウェア、フィッシングに関する具体的なインシデント対応計画を用意しており、半数近くの組織がインサイダーの脅威に関する計画を用意しています。

一部の組織では、インシデント対応サービスを提供する外部パートナーを活用して社内のCSIRTを補完しています。 このようなパートナーは、多くの場合リテーナーを担当し、インシデント管理プロセスの準備と実行を含め、インシデント管理プロセスのさまざまな側面を支援しています。

インシデント対応プロセス

ほとんどのIRPは同一のインシデント対応の汎用フレームワークにも従っています。このフレームワークはSANS Institute、米国標準技術研究所(NIST)、Cybersecurity and Infrastructure Agency(CISA)によって作成されたインシデント対応モデルに基づくものです。

準備。 このインシデント対応の最初のフェーズは継続的であり、業務中断を最小限に抑えつつ可能な限り迅速にインシデントの特定、封じ込め、復旧に対応できるように、CSIRTが常に最善の手順とツールを備えられるようにするものです。

CSIRTは、定期的なリスク評価によってネットワークの脆弱性を特定し、ネットワークにリスクをもたらす様々なタイプのセキュリティー・インシデントを定義し、組織に与える潜在的な影響に応じて各タイプに優先順位を付けます。 このリスク評価に基づいて、CSIRTは既存のインシデント対応計画を更新するか、新しいインシデント対応計画を策定することができます。

検知と分析。 このフェーズでは、セキュリティー・チームのメンバーが、不審なアクティビティーや潜在的な脅威がないか、ネットワークをモニターします。 デバイス・ログやネットワークにインストールされている各種セキュリティー・ツール(アンチウイルス・ソフトウェアやファイアウォール)から収集されたデータ、通知、アラートを分析し、誤検知をフィルター処理して、実際のアラートを重大度の高い順にトリアージします。

現在、ほとんどの企業では、セキュリティー・チームがSIEM(Security Information and Event Management)やEDR(Endpoint Detection and Response)などの1つ以上のセキュリティー・ソリューションを使用して、リアルタイムでセキュリティー・イベントをモニターおよび分析し、インシデントの検知と対応のプロセスを自動化しています。 (詳しくは下記の「インシデント対応テクノロジー」をご覧ください。)

コミュニケーション・プランも、このフェーズ中に実行されます。 CSIRTでは、対処している脅威や違反の種類を特定すると、インシデント対応プロセスの次の段階に進む前に、該当する担当者に知らせます。 

封じ込め。 インシデント対応チームは、ネットワークに対する侵害がさらに拡大しないように対策を講じます。 封じ込めアクテビティーは、次の2つのカテゴリーに分けられます。

  • 短期的な封じ込め対策では、感染したデバイスをオフラインにするなど、影響を受けたシステムを隔離することで現在の脅威の拡散の防止に重点を置きます。
  • 長期的な封じ込め対策では、影響を受けていないシステムの保護に重点を置き、機密データベースをネットワークの他の部分から分離するなどして、そのシステムの周囲により強力なセキュリティー制御を配置します。

この段階で、CSIRTは、影響を受けたシステムと影響を受けていないシステムのバックアップを作成して、さらなるデータ損失を防ぎ、将来の調査のためにインシデントの法的証拠を収集することもできます。 

根絶。 脅威を封じ込めた後、チームは完全な修復とシステムから脅威を完全に取り除く作業に移ります。 この作業には、マルウェアの破壊、無許可のユーザーや不正なユーザーのネットワークからの追い出しなど、脅威そのものを積極的に根絶し、影響を受けたシステムと影響を受けていないシステムの両方を参照して侵害の痕跡が残されていないか確認する作業が含まれます。 

復旧。 インシデント対応チームは、脅威が完全に根絶されたと確信すると、影響を受けたシステムを通常の運用に戻して復旧します。 この作業には、パッチの導入、バックアップからのシステムの再構築、修復されたシステムとデバイスのオンライン再接続などが含まれます。

インシデント後の調査。 CSIRTはインシデント対応プロセスのすべてのフェーズを通じて、違反の証拠を集め、脅威を封じ込めて根絶するための手順を文書化します。 この段階では、CSIRTはその情報を調査してインシデントに対する理解を深めます。 そしてCSIRTは、今後この種のインシデントが発生しないように、攻撃の根本原因を突き止め、ネットワークへの侵入に成功した方法を特定し、脆弱性を解決します。 

また、CSIRTでは、何が効果的だったのかを調査し、今後の攻撃に対するインシデント対応の取り組みを強化するためにシステム、ツール、プロセスを改善する機会を探します。 侵害の状況によっては、法執行機関がインシデント後の調査に関与する場合があります。 


インシデント対応テクノロジー

前述のセキュリティー・インシデントが発生した場合にCSIRTが実行する手順の説明に加えて、一般にインシデント対応計画ではセキュリティー・ソリューションの概要を示します。これらのソリューションはセキュリティー・データの収集と関連付け、リアルタイムでのインシデントの検知、進行中の攻撃への対応など、主要なインシデント対応ワークフローを実行または自動化するために、インシデント対応チームが構築すべきものです。

よく使用されるインシデント対応のテクノロジーには、以下のようなものがあります。

  • SIEM(Security Information and Event Management)SIEMは、各種内部セキュリティー・ツール(ファイアウォール、脆弱性スキャナー、脅威インテリジェンス・フィードなど)およびネットワーク上のデバイスからセキュリティー・イベント・データを集約し、関連付けます。 SIEMを利用すると、インシデント対応チームは、このようなツールが生成する膨大な通知の中から、実際の脅威のみを示す指標を活用することで「アラート疲れ」を解消できます。
  • SOAR(Security Orchestration, Automation and Response):セキュリティー・チームは、SOARを使用してプレイブック(セキュリティー・インシデントに対応するための様々なセキュリティー操作とツールを連携させて形にしたワークフロー)を定義し、可能な場合にはワークフローの一部を自動化できます。
  • EDR(Endpoint Detection and Response)EDRは、ウイルス対策ソフトウェアや他の従来のエンドポイント・セキュリティー・ツールをすり抜けるサイバー攻撃から、組織のエンド・ユーザー、エンドポイント・デバイス、IT資産を自動的に保護するためのソフトウェアです。 EDRではネットワーク上のすべてのエンドポイントから継続的にデータを収集し、既知のサイバー脅威や疑わしいサイバー脅威の証拠についてリアルタイムで分析し、自動的に対応して、脅威による被害を防止または最小限に抑えることができます。
  • XDR(Extended Detection and Response):XDRはサイバーセキュリティー・テクノロジーであり、ハイブリッドIT環境(エンドポイント、ネットワーク、プライベートクラウド、パブリッククラウド)全体で、セキュリティー・ツール、制御ポイント、データとテレメトリのソース、および分析を統合し、脅威の防止、検知、および応答のための単一の中央エンタープライズ・システムを構築します。 まだ新しいテクノロジーであるXDRはセキュリティー・ツール間のサイロを排除し、サイバー脅威のキル・チェーン全体の応答を自動化するので、セキュリティー・チームやセキュリティ・オペレーション・センター(SOC)は、より少ない労力でより多くの成果を上げることができます。
  • UEBA(ユーザーとエンティティーの行動分析) (UEBA)は、行動分析、機械学習アルゴリズム、および自動化を使用して、異常であったり、潜在的に危険なユーザーの行動やデバイスの動作を特定します。 UEBAは、インサイダーの脅威(悪意のあるインサイダーや、インサイダーから漏えいした資格情報を使用するハッカー)を識別するのに特に効果的です。これらの脅威は、承認されたネットワーク・トラフィックを模倣するため、他のセキュリティー・ツールからは巧妙に逃れる可能性があります。 UEBAには、多くの場合、SIEM、EDR、XDRの各ソリューションが含まれます。
  • ASM(Attack Surface Management)ASMソリューションは、組織の攻撃対象領域内のすべての資産にわたって、脆弱性と潜在的な攻撃ベクトルの継続的な検知、分析、修復、および監視を自動化します。 ASMは、これまではモニターされていなかったネットワーク資産を明らかにし、資産間の関係をマッピングすることができます。

関連ソリューション

X-Forceインシデント対応チーム

IBM Securityが提供するインシデント対応保持のためのサブスクリプションに登録して、データ・ブリーチへの対応を向上させるために組織で必要なセキュリティー保護を入手してください。 当社のIRコンサルタントのエリート・チームにお任せいただければ、信頼できるパートナーがインシデント対応にかかる時間を削減し、影響を最小限に抑え、サイバーセキュリティー・インシデントが疑われる前に復旧できるようサポートいたします。


セキュリティー・オーケストレーション・自動化・対応(SOAR)

脅威を検知するだけでは、セキュリティーの実現は道半ばです。 また、増大し続けるアラート、複数のツール、スタッフの不足に対してスマートなインシデント対応が必要です。 自動化やプロセスの標準化、そしてお持ちのセキュリティー・ツールとIBMの統合で、インシデント対応を加速させます。


管理型の検出と対応のサービス

ノートPCやデスクトップPCの台数の増加やリモート・ワーカーの増加は、先端の知識を持ったサイバー犯罪者にとって組織に侵入する機会が増えることとなりました。 サイバー犯罪者たちは、このような侵入口から気付かれないで深く入り込むことがあります。 IBMは、脅威インテリジェンスとプロアクティブな脅威ハンティングによる、すぐに使用可能な24時間365日対応の脅威防止、検知、および迅速な対応能力を提供し、最新の脅威を識別して修復します。


Endpoint detection and response(EDR)

リモートワーク増加の傾向とエンドポイントの相互接続の増加は、悪意のあるアクティビティーの増加につながっています。 マルウェアやランサムウェアの脅威を自動的にブロックして隔離できる最新のAI駆動型のEDRを活用して、アナリストの負荷を軽減します。


IBM Security Framing and Discovery Workshop

IBMの上級セキュリティー設計者やコンサルタントと、バーチャルまたは対面による設計構想セッションを無料で3時間行い、サイバーセキュリティーに関するお客様の状況を把握し、対策の優先順位を決定することができます。



参考情報