セキュリティー・インシデントまたはセキュリティー・イベントは、機密性や完全性、可用性あるいは組織の情報システムや機微データを脅かすデジタル的または物理的な侵害です。セキュリティー・インシデントは、ハッカーや権限のないユーザーによる意図的なサイバー攻撃から、正規の権限のあるユーザーによる意図しないセキュリティー・ポリシー違反まで多岐にわたります。

最も一般的なセキュリティー・インシデントには次のようなものがあります。

1. ランサムウェア
2. フィッシングとソーシャル・エンジニアリング
3. DDoS攻撃
4. サプライチェーン攻撃
5. 内部脅威

ランサムウェア。ランサムウェアとは、被害者のデータやコンピューティング・デバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになるか、さらに悪いことに脅迫する、悪意のあるソフトウェア（マルウェア）の一種です。IBMの「Cost of a Data Breach 2022 Report（データ侵害のコスト 2022年度報告書）」によると、ランサムウェア攻撃は2021年から2022年の間に41%増加しました。

ランサムウェアの詳細はこちら

フィッシングとソーシャル・エンジニアリング。フィッシング攻撃とは、受信者を操作して、機微情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。詐欺師は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。

IBM の「Cost of a Data Breach 2022 Report（データ侵害のコスト 2022年度報告書）」によると、フィッシングは最もコストがかかり、二番目に多いデータ侵害の原因です。また、ソーシャル・エンジニアリングの最も一般的な形態でもあり、デジタル・セキュリティーの脆弱性ではなく、人間の本質をハッキングして、機微な個人や企業のデータやアセットに不正にアクセスする攻撃の一種です。

ソーシャル エンジニアリングの詳細

DDoS攻撃。 分散型サービス妨害（DDoS）攻撃では、ハッカーが多数のコンピューターをリモート制御し、それらを使用して標的組織のネットワークやサーバーをトラフィックで圧倒し、それらのリソースを正規のユーザーが使用できなくします。

DDoS攻撃の詳細はこちら

サプライチェーン攻撃。サプライチェーン攻撃とは、ベンダーを攻撃することで標的組織に侵入するサイバー攻撃です。例えば、サプライヤーのシステムから機微データを盗んだり、ベンダーのサービスを利用してマルウェアを配布したりします。2021年7月にサイバー犯罪者は、KaseyaのVSAプラットフォームの欠陥を利用して （ibm.com外部へのリンク）、正規のソフトウェア・アップデートを装ってランサムウェアを顧客に拡散しました。IBMの「2021 Cyber Resilient Organization Study（2021年サイバーレジリエンス組織調査）」によると、サプライチェーン攻撃の頻度が増加しているにもかかわらず、この特定のサイバー脅威に対するインシデント対応計画を準備している組織はわずか32％です。

サプライチェーン・セキュリティーについての詳細はこちら

内部脅威。内部脅威には2つのタイプがあります。悪意のあるインサイダーとは、組織の情報セキュリティーを意図的に侵害する従業員やパートナーまたはその他の権限のあるユーザーのことです。不注意なインサイダーとは、権限のあるユーザーで、脆弱なパスワードを使用したり、機微データを安全でない場所に保管したりするなど、セキュリティーのベスト・プラクティスに従わなかったために意図せずにセキュリティを侵害してしまう人のことです。

内部脅威の詳細はこちら

インシデント対応計画

前述したように、組織のインシデント対応の取り組みは、インシデント対応計画に基づいて行われます。通常、これらは、最高情報セキュリティー責任者（CISO）やセキュリティー・オペレーション・センター（SOC） 、IT スタッフ、さらには経営幹部や、法務・人事・規制コンプライアンス・リスク管理部門の代表者など、組織全体の利害関係者で構成されるコンピューター・セキュリティー・インシデント対応チーム（CSIRT）によって作成・実行されます。

インシデント対応計画には通常、次のものが含まれます。

• CSIRTの各メンバーの役割と責任
• 企業全体にインストールされるセキュリティー・ソリューション（ソフトウェア、ハードウェア、その他のテクノロジー）
• 障害が発生した場合に、影響を受ける重要なシステムとデータを可能な限り早く復元するための手順を概説した事業継続性計画
• インシデント対応プロセスの各段階で実行すべき具体的な手順と実行者を説明する詳細なインシデント対応方法論。
• 企業の幹部や従業員、顧客、さらには法執行機関にインシデントについて通知するためのコミュニケーション計画
• 事後分析や（必要に応じて）法的手続きのために情報を収集し、インシデントを文書化するための文書化指示書

種類ごとに独自の対応が必要になるため、CSIRTがインシデントの種類ごとに異なるインシデント対応計画を作成することは珍しいことではありません。IBMの「2021 Cyber Resilient Organization Study（2021年度サイバーレジリエント組織調査）」によると、ほとんどの組織は、DDoS攻撃やマルウェアとランサムウェア、フィッシングに関する具体的なインシデント対応計画を策定しており、ほぼ半数が内部脅威に対する計画を策定しています。

組織によっては、インシデント対応サービスを提供する外部パートナーによって社内CSIRTを補完します。これらのパートナーは多くの場合、リテーナーに取り組み、IRPの準備と実行を含むインシデント管理プロセスのさまざまな側面を支援します。

インシデント対応プロセス

ほとんどのIRPは、SANS Instituteや米国国立標準技術研究所（NIST）およびサイバーセキュリティー・インフラストラクチャー庁（CISA）によって開発されたインシデント対応モデルに基づいた、同じ一般的なインシデント対応フレームワークにも準拠しています。

準備。インシデントレスポンスのこの最初のフェーズは、CSIRT がインシデントの特定、封じ込め、復旧に対応するための最善の手順とツールを、可能な限り迅速に、かつ最小限のビジネス中断の中で常に備えていることを確認するための継続的なものでもある。

定期的なリスク評価を通じて、CSIRTはネットワークの脆弱性を特定し、ネットワークにリスクをもたらすさまざまなタイプのセキュリティー・インシデントを定義し、組織への潜在的な影響に応じて各タイプに優先順位を付けます。このリスク評価に基づいて、CSIRTは既存のインシデント対応計画更新や新しい計画の草案作成をすることがあります。

検知と分析。この段階では、セキュリティー・チームのメンバーがネットワークを監視し、不審なアクティビティーや潜在的な脅威がないか確認します。デバイス・ログやネットワーク上にインストールされているさまざまなセキュリティー・ツール（ウイルス対策ソフトウェア、ファイアウォール）から収集されたデータや通知、アラートを分析し、誤検知を除外し、実際のアラートを重大度の順に優先順位付けします。

現在、ほとんどの組織は、SIEM（セキュリティー情報とイベント管理）やEDR（エンドポイントの検知と対応）などの複数のセキュリティー・ソリューションを使用して、セキュリティー・チームがセキュリティー・イベントをリアルタイムで監視・分析し、インシデントの検知と対応プロセスを自動化できるようにしています。（詳細については、「インシデント対応テクノロジー」を参照してください。）

コミュニケーション計画もこの段階で影響を受けます。CSIRTは、直面している脅威や侵害の種類を判断したら、インシデント対応プロセスの次の段階に進む前に、適切な担当者に通知します。

隔離。インシデント対応チームは、侵害によるネットワークへのさらなる被害を阻止するための措置を講じます。封じ込め活動は、次の2つのカテゴリーに分類できます。

• 短期的な封じ込め対策は、感染したデバイスをオフラインにするなど、影響を受けるシステムの隔離によって現在の脅威の拡大を防ぐことに重点を置いています。
• 長期的な封じ込め対策は、機微データベースをネットワークの他の部分からセグメント化するなど、より強力なセキュリティー制御を行うことで、影響を受けないシステムを保護することに重点を置いています。

この段階で、CSIRTは影響を受けたシステムと影響を受けていないシステムのバックアップを作成して、さらなるデータ喪失を防ぎ、今後の調査に備えてインシデントの科学的証拠を収集することもあります。

根絶。脅威が封じ込められた後、チームは完全な修復に移り、システムから脅威を完全に除去します。これには、マルウェアの破壊や、権限のないユーザーまたは不正ユーザーのネットワークからの排除など、脅威自体の積極的な根絶、ならびに、侵害の痕跡が残らないように、影響を受けたシステムと影響を受けていないシステムの両方の確認が含まれます。

回復。インシデント対応チームは、脅威が完全に根絶されたと確信したら、影響を受けたシステムを通常の運用に戻します。これには、パッチの展開やバックアップからのシステムの再構築、修復されたシステムとデバイスをオンラインに戻すことが含まれる場合があります。

インシデント後のレビュー。インシデント対応プロセスの各段階を通じて、CSIRTは侵害の証拠を収集し、脅威を封じ込めて根絶するために必要な手順を文書化します。この段階で、CSIRTはインシデントをより深く理解するためにこの情報を確認します。CSIRTは、攻撃の根本原因を判断し、ネットワークへの侵入に成功した方法を特定し、今後この種のインシデントが発生しないように脆弱性を解決しようとします。

CSIRTは、うまくいった点も確認し、将来の攻撃に対するインシデント対応の取り組みを強化するために、システムやツール、プロセスを改善する機会を探します。侵害の状況に応じて、法執行機関も事後調査に関与する場合もあります。

上で述べたように、インシデント対応計画では、セキュリティー・インシデントが発生した場合にCSIRTがとるべき手順の説明に加えて、通常、インシデント対応チームが収集などの主要なインシデント対応ワークフローを実行または自動化するために導入すべきセキュリティー・ソリューションの概要を示します。セキュリティー・データを関連付け、リアルタイムでインシデントを検知し、進行中の攻撃に対応します。

最も一般的に使用されるインシデント対応テクノロジーには、次のようなものがあります。

• SIEM（セキュリティー情報とイベント管理）： SIEMは、異種の内部セキュリティー・ツール（ファイアウォール、脆弱性スキャナー、脅威インテリジェンス・フィードなど）やネットワーク上のデバイスからのセキュリティー・イベント・データを集約し、関連付けます。SIEMは、インシデント対応チームが、これらのツールが生成する膨大な量の通知から実際の脅威を指標化することで、「アラート疲労」と戦うのを助けることができる。
  
  
• SOAR（セキュリティー・オーケストレーション、自動化、対応）：SOARを使用すると、セキュリティー・チームはプレイブック（セキュリティー・インシデントに対応してさまざまなセキュリティー運用とツールを調整する形式化されたワークフロー）を定義し、可能な場合にはこれらのワークフローの一部を自動化できます。
  
  
• EDR（エンドポイントの検知と対応）：EDRは、ウイルス対策ソフトウェアやその他の従来のエンドポイント・セキュリティー・ツールを回避するサイバー脅威から組織のエンドユーザーやエンドポイント・デバイスおよびITアセットを自動的に保護するように設計されたソフトウェアです。EDRは、ネットワーク上のすべてのエンドポイントから継続的にデータを収集します。既知または疑わしいサイバー脅威の証拠となるデータをリアルタイムで分析し、特定した脅威からの被害を防止または最小化するために自動的に対応できます。
  
  
• XDR（拡張検知と対応）：XDRは、ハイブリッドIT環境（エンドポイント、ネットワーク、プライベートクラウド、パブリッククラウド）全体のセキュリティー・ツールやコントロールポイント、データおよびテレメトリソース、分析を統合して、脅威の防止・検出・対応のための単一の中央エンタープライズシステムを構築するサイバーセキュリティー・テクノロジーです。XDRはまだ発展途上のテクノロジーですが、セキュリティー・ール間のサイロを排除し、サイバー・キル・チェーン全体にわたって対応を自動化することで、過剰に拡張されたセキュリティー・チームとセキュリティー・オペレーション・センター（SOC）が少ないリソースでより多くの成果を上げるのに役立つ可能性があります。
  
  
• UEBA（ユーザーとエンティティーの行動分析）：（UEBA）は、行動分析と機械学習アルゴリズムおよび自動化を使用して、異常で潜在的に危険なユーザーやデバイスの行動を識別します。UEBAは、許可されたネットワーク・トラフィックを模倣するため、他のセキュリティー・ツールをすり抜ける可能性のある内部脅威（悪意のあるインサイダーや侵害されたインサイダーの認証情報を使用するハッカー）を特定する場合に効果的です。UEBA機能は、多くの場合SIEMやEDR、XDRソリューションに含まれています。
  
  
• ASM（攻撃対象領域管理）：ASMソリューションは、組織の攻撃対象領域にあるすべての資産の脆弱性と潜在的な攻撃ベクトルの継続的な検知・分析・修復・監視を自動化します。ASMは、これまで監視されていなかったネットワーク・アセットを発見し、アセット間の関係をマッピングできます。