ホーム

Topics

インシデント対応

インシデント対応とは何ですか?
IBMのインシデント対応ソリューションはこちら Thinkニュースレターの購読
雲、携帯電話、指紋、チェックマークのピクトグラムのコラージュ付きイラスト

更新日: 2024年8月20日
寄稿者: Jim Holdsworth、Matthew Kosinski

インシデント対応とは何ですか?

インシデント対応(サイバーセキュリティー・インシデント・レスポンスと呼ばれることもあります)は、サイバー脅威、セキュリティー侵害、サイバー攻撃を検知し、対応するための組織のプロセスとテクノロジーを指します。正式なインシデント対応計画により、サイバーセキュリティー・チームは被害を制限または防止できます。

インシデント対応の目標は、サイバー攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。インシデント対応はインシデント管理の技術的部分であり、重大なインシデントにおける経営、人事、法務管理も含まれます。

組織は、さまざまな種類のサイバー攻撃をどのように特定し、封じ込め、解決すべきかを規定する正式なインシデント対応計画(IRP)でインシデント対応プロセスとテクノロジーを定義するのが理想的です。

効果的なインシデント対応計画を立てることで、サイバー・インシデント対応チームはサイバー脅威を検知して封じ込め、影響を受けたシステムを復旧し、収益の損失や規制上の罰金、その他のコストを削減できます。

IBMのデータ侵害のコストに関する調査によると、インシデント対応チームと正式なインシデント対応計画があれば、組織は侵害のコストを平均で約50万米ドル(473,706米ドル)も削減できることがわかりました。

IBM X-Force Threat Intelligence Index

この調査レポートは、130以上の国または地域において、1日あたり1,500億件以上のセキュリティー・イベントを監視して得られた洞察と観察結果に基づきます。ぜひインシデント対応機能の向上にお役立てください。

関連コンテンツ データ侵害コスト・レポートに登録する
セキュリティー・インシデントとは

セキュリティー・インシデントまたはセキュリティー・イベントは、機密性や完全性、可用性あるいは組織の情報システムや機微データを脅かすデジタル的または物理的な侵害です。セキュリティー・インシデントは、ハッカーや権限のないユーザーによる意図的なサイバー攻撃から、正規の権限のあるユーザーによる意図しないITセキュリティー・ポリシー違反まで多岐にわたります。

最も一般的なセキュリティー・インシデントには次のようなものがあります。

  • ランサムウェア
  • フィッシングとソーシャル・エンジニアリング
  • DDoS攻撃
  • サプライチェーン攻撃
  • 内部脅威
  • 権限昇格攻撃
  • 中間者攻撃 
ランサムウェア

ランサムウェアは、被害者のデータやコンピューティング・デバイスをロックし、身代金を支払わない限り、ロック状態を維持するか、さらに悪い状況に陥ると脅す、悪意のあるソフトウェア、つまりマルウェアの一種です。IBMの最新のX-Force 脅威インテリジェンス・インデックス によると、ネットワーク攻撃の20%でランサムウェアが使用されており、恐喝ベースの攻撃はサイバー犯罪の原動力となっており、これを上回るのはデータ盗難とデータ漏洩のみです。

ランサムウェアの詳細はこちら
フィッシングとソーシャル・エンジニアリング

フィッシング攻撃とは、受信者を操作して、機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。

攻撃者は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。

IBMのデータ侵害のコストに関する調査によると、フィッシングと認証情報の盗難または侵害の2つが最も蔓延している攻撃ベクトルです。また、フィッシングはソーシャル・エンジニアリングの最も一般的な形態でもあり、デジタル・セキュリティーの脆弱性ではなく、人間の本質をハッキングして、機微な個人や企業のデータやアセットに不正にアクセスする攻撃の一種です。

ソーシャル エンジニアリングの詳細
DDoS攻撃

分散型サービス妨害(DDoS)攻撃では、ハッカーが多数のコンピューターを制御し、それらを使用して標的組織のネットワークやサーバーをボーナストラフィックで圧倒し、それらのリソースを正規のユーザーが使用できなくします。

DDoS攻撃の詳細はこちら
サプライチェーン攻撃

サプライチェーン攻撃とは、ベンダーを攻撃することで標的組織に侵入するサイバー攻撃です。例えば、サプライヤーのシステムから機密データを盗んだり、ベンダーのサービスを利用してマルウェアを配布したりすることが含まれます。 

サプライチェーン・セキュリティーについての詳細はこちら
内部脅威

内部脅威には2つのタイプがあります。悪意のあるインサイダーとは、組織の情報セキュリティーを意図的に侵害する従業員やパートナーまたはその他の権限のあるユーザーのことです。不注意なインサイダーとは、権限のあるユーザーで、脆弱なパスワードを使用したり、機密データを安全でない場所に保管したりするなど、セキュリティーにおけるベスト・プラクティスに従わなかったために意図せずにセキュリティーを侵害してしまう人のことです。

内部脅威の詳細はこちら
権限昇格攻撃

これらには、攻撃者がまずシステム内で限られた権限を取得し、それを使用して横方向に移動してより高い権限を取得し、その過程でより機密性の高いデータへのアクセスを取得するといった攻撃が含まれます。

盗まれた認証情報は、攻撃者が最初に侵入したり、権限を強化したりするのに使われます。X-Force 脅威インテリジェンス・インデックスによると、有効なアカウントの悪用は、今日攻撃者がシステムに侵入する最も一般的な方法です。

横移動についての詳細はこちら
中間者(MITM)攻撃

MITM攻撃では、脅威アクターが通信(多くの場合、ユーザー名やパスワードなどの機密情報を含むEメール)を傍受し、その通信内容を盗んだり改ざんしたりします。攻撃者は盗んだ情報をそのまま使用するか、マルウェアを挿入して対象の受信者に転送します。

中間者攻撃の詳細はこちら
インシデント対応計画

組織でのインシデント処理への取り組みは通常、インシデント対応計画に基づいて行われます。多くの場合、この計画は、組織全体の利害関係者から構成されるコンピューター・セキュリティー・インシデント対応チーム(CSIRT)によって作成され、実行されます。

CSIRTチームには、最高情報セキュリティー責任者(CISO)、セキュリティー・オペレーション・センター(SOC)、セキュリティー・アナリスト、ITスタッフなどが含まれる場合があります。また、経営幹部、法務、人事、規制遵守、リスク管理、場合によってはサービス・プロバイダーのサードパーティー専門家からの代表者が含まれる場合もあります。

データ侵害のコストに関する調査では、「対応準備に投資することで、組織はデータ侵害によるコストのかかる破壊的影響を軽減し、事業の継続をサポートし、顧客やパートナー、その他の重要な利害関係者との関係を維持することができる」と指摘しています。

インシデント対応計画には通常、次のものが含まれます。

  • インシデント対応ライフサイクル全体におけるCSIRTの各メンバーのロール(役割)と責任を含むインシデント対応プレイブック

  • 企業全体にインストールされるセキュリティー・ソリューション(ソフトウェア、ハードウェア、その他のテクノロジー)。

  • 障害が発生した場合に、重要なシステムとデータを可能な限り早く復元するための手順を概説した事業継続性計画。

  • インシデント対応プロセスの各段階で実行すべき具体的な手順と実行者を説明するインシデント対応方法論

  • 企業の幹部や従業員、顧客、さらには法執行機関にインシデントについて通知するためのコミュニケーション計画

  • 事後調査や(必要であれば)法的手続きのために、インシデントに関する情報を収集し、文書化するための手順や指示

CSIRTは、インシデントの種類ごとに異なるインシデント対応計画を策定することができます。多くの組織は、DDoS攻撃、マルウェア、ランサムウェア、フィッシング、内部脅威に関する具体的なインシデント対応計画を策定しています。

組織の環境に合わせたインシデント対応計画を立てることが、攻撃への対応・修正・回復の時間を短縮するために重要です。それらの計画は、定期的に訓練する必要があります。

組織によっては、インシデント対応サービスを提供する外部パートナーによって社内CSIRTを補完します。これらのパートナーは多くの場合、リテーナーに取り組み、インシデント対応計画の準備と実行を含むインシデント管理プロセスのさまざまな側面を支援します。

インシデント対応の仕組み

ほとんどのインシデント対応計画は、米国国立標準技術研究所(NIST) 1やSANS Institute2が開発したモデルに基づいた、同様の一般的なインシデント対応フレームワークに従っています。一般的なインシデント対応手順は次のとおりです。

  • 準備
  • 検知と分析
  • 封じ込め 
  • 根絶
  • 復旧
  • インシデント後のレビュー
準備

これはインシデント対応の第一段階であるものの、継続的に行うものでもあります。CSIRTは、業務の中断を最小限に抑えながら、インシデントへの対応、特定、封じ込め、復旧をできるだけ迅速に行うために、可能な限り最善の手順、ツール、手法を選択します。

CSIRTは、定期的なリスク評価を通じて、保護されるべきビジネス環境、潜在的なネットワークの脆弱性、およびネットワークにリスクをもたらすさまざまな種類のセキュリティー・インシデントを特定します。同チームは、組織への潜在的な影響に応じて、各タイプのインシデントに優先順位を付けます。 

CSIRTは、いくつかの異なる攻撃戦略を「ウォーゲーム化」し、実際の攻撃時に最も効果的な対応策のテンプレートを作成する場合があります。将来の演習や潜在的な攻撃に対してメトリクス(指標)を確立するために応答時間を追跡する場合があります。完全なリスク評価に基づいて、CSIRTは既存のインシデント対応計画更新や新しい計画の草案作成をすることがあります。

検知と分析

この段階では、セキュリティー・チームのメンバーがネットワークを監視し、不審なアクティビティーや潜在的な脅威がないか確認します。デバイスのログやさまざまなセキュリティー・ツール(ウイルス対策ソフトウェア、ファイアウォール)から収集されたデータ、通知、アラートを分析して、進行中のインシデントを特定します。チームは、実際のインシデントから誤検知をフィルタリングし、実際のアラートを重大度順にトリアージします。

現在、ほとんどの組織は、セキュリティー情報およびイベント管理(SIEM)やエンドポイントの検知と対応(EDR)など、複数のセキュリティー・ソリューションを使用して、セキュリティー・イベントをリアルタイムで監視し、対応作業を自動化しています。(詳細については、「インシデント対応テクノロジー」セクションを参照してください。)

コミュニケーション計画もこの段階で影響を受けます。CSIRTは、直面している脅威や侵害の種類を判断したら、インシデント対応プロセスの次の段階に進む前に、適切な担当者に通知します。

隔離

インシデント対応チームは、侵害やその他の悪意のある活動によるネットワークへのさらなる被害を阻止するための措置を講じます。その後、緊急インシデント対応計画が実行に移されます。封じ込め活動には以下の2つのカテゴリーがあります。

  • 短期的な緩和策では、感染したデバイスをオフラインにするなど、影響を受けるシステムの隔離によって現在の脅威の拡大を防ぐことに重点を置いています。

  • 長期的な封じ込め対策は、機微データベースをネットワークの他の部分からセグメント化するなど、より強力なセキュリティー制御を行うことで、影響を受けないシステムを保護することに重点を置いています。

この段階で、CSIRTは影響を受けたシステムと影響を受けていないシステムのバックアップを作成して、さらなるデータ喪失を防ぎ、今後の調査に備えてインシデントの科学的証拠を収集することもあります。 

根絶

脅威が封じ込められた後、チームは完全な修復に移り、システムから脅威を完全に除去します。これには、マルウェアの削除や、権限のないユーザーまたは不正ユーザーのネットワークからの排除などが含まれます。また、チームは影響を受けたシステムと影響を受けていないシステムの両方を確認し、侵害の痕跡が残らないようにします。  

復旧

インシデント対応チームは、脅威が完全に根絶されたと確信したら、影響を受けたシステムを通常の運用に戻します。この修正には、パッチの展開、バックアップからのシステムの再構築、システムやデバイスのオンライン復帰が含まれる場合があります。攻撃とその解決の記録は、分析とシステム改善のために保持されます。

インシデント後のレビュー

インシデント対応プロセスの各段階を通じて、CSIRTは侵害の証拠を収集し、脅威を封じ込めて根絶するために必要な手順を文書化します。この段階で、CSIRTはインシデントをより深く理解し、「得られた教訓」を収集します。CSIRTは、攻撃の根本原因を判断し、ネットワークへの侵入に成功した方法を特定し、今後この種のインシデントが再び発生しないように脆弱性を解決しようとします。

CSIRTは、うまくいった点も確認し、将来の攻撃に対するインシデント対応の取り組みを強化するために、システムやツール、プロセスを改善する機会を探します。侵害の状況に応じて、法執行機関も事後調査に関与する場合もあります。

インシデント対応技術

インシデント対応計画では、セキュリティー・インシデントが発生した場合にCSIRTがとるべき手順の説明に加えて、通常、インシデント対応チームが収集などの主要なワークフローを実装または自動化するために導入すべきセキュリティー・ソリューションの概要を示します。セキュリティー・データを関連付け、リアルタイムでインシデントを検知し、進行中の攻撃に対応します。

最も一般的に使用されるインシデント対応テクノロジーには、次のようなものがあります。

  • ASM(攻撃対象領域管理)
  • EDR(エンドポイントの検知と対応)
  • SIEM(セキュリティー情報およびイベント管理)
  • SOAR(セキュリティー・オーケストレーション、オートメーション、レスポンス)とは
  • UEBA(ユーザーとエンティティーの行動分析)
  • XDR(拡張検知と応答)
ASM(攻撃対象領域管理)

ASMソリューションは、組織の攻撃対象領域にあるすべての資産の脆弱性と潜在的な攻撃ベクトルの継続的な検知・分析・修復・監視を自動化します。ASMは、これまで監視されていなかったネットワーク・アセットを発見し、アセット間の関係をマッピングできます。

攻撃面管理の詳細
EDR(エンドポイントの検知と対応)

EDRは、アンチウイルス・ソフトウェアや他の従来のエンドポイント・セキュリティー・ツールを突破するサイバー脅威から組織のユーザー、エンドポイント・デバイス、IT資産を自動的に保護するソフトウェアです。

EDRは、ネットワーク上のすべてのエンドポイントから継続的にデータを収集します。このデータをリアルタイムで分析して、既知または疑わしいサイバー脅威の証拠を探索し、自動的に対応することで、特定した脅威による被害を防止または最小限に抑えることができます。

エンドポイントでの検知と対応の詳細はこちら
SIEM(セキュリティー情報およびイベント管理)

SIEM は、さまざまな内部セキュリティー・ツール(例:ファイアウォール 脆弱性スキャナー、脅威インテリジェンス・フィードなど)やネットワーク上のデバイスからセキュリティー・イベント・データを集約し、相関させます。

SIEMは、セキュリティー・ツールが生成する膨大な量の通知から実際の脅威の指標を区別することで、インシデント対応チームが「アラート疲労」と戦ううえで役立ちます。

セキュリティー情報とイベント管理の詳細はこちら
SOAR(セキュリティー・オーケストレーション、オートメーション、レスポンス)とは

SOARを使用すると、セキュリティー・チームは、セキュリティー・インシデントに対応してプレイブック(さまざまなセキュリティー・オペレーションやセキュリティー・ツールを調整する形式化されたワークフロー)を定義できるようになります。SOARプラットフォームは、これらのワークフローの一部(可能な部分)を自動化することもできます。

セキュリティーのオーケストレーション、自動化、対応についての詳細はこちら
UEBA(ユーザーとエンティティーの行動分析)

UEBAは、行動分析と機械学習アルゴリズムおよび自動化を使用して、異常で潜在的に危険なユーザーやデバイスの行動を識別します。

UEBAは、許可されたネットワーク・トラフィックを模倣するため、他のセキュリティー・ツールをすり抜ける可能性のある内部脅威(悪意のあるインサイダーや侵害されたインサイダーの認証情報を使用するハッカー)を特定する場合に効果的です。UEBA機能は、多くの場合SIEMやEDR、XDRソリューションに含まれています。

ユーザーとエンティティーの行動分析の詳細はこちら
XDR(拡張検知と応答)

XDRは、ハイブリッドIT環境全体でセキュリティー・ツールやコントロール・ポイント、データおよびテレメトリー・ソース、そして分析を統合するサイバーセキュリティー・テクノロジーです。XDRは、脅威の防止・検知・対応のための単一の中心的なエンタープライズ・システムを構築します。XDRは、セキュリティー・ツール間のサイロを排除し、サイバー・キル・チェーン全体にわたって対応を自動化することで、過剰に拡張されたセキュリティー・チームとSOCは少ないリソースでより多くの成果を上げるのに役立ちます。

拡張検知および応答の詳細はこちら
AIとインシデント対応の未来

データ窃盗犯やハッカーがAIを利用して攻撃を強化しているのと同様に、人工知能(AI)は組織がサイバー脅威に対してより強力な防御を構築するのにも役立ちます。

追加のAI保護を使用することで、コストを大幅に節約できます。IBMのデータ侵害のコストに関する調査によると、AI搭載のセキュリティー・ソリューションを使用している組織は、侵害コストを最大220万米ドル削減することができます。

エンタープライズ・グレードのAI搭載セキュリティー・システムは、以下のような方法でインシデント対応能力を向上させることができます。

  • 異常検知の高速化
  • より積極的な対応プロセス
  • 攻撃経路の予測
異常検知の高速化

AI搭載システムは、膨大な量のデータを監視して疑わしいトラフィック・パターンやユーザーの行動を迅速に検索することで、脅威の検知と軽減を加速できます。

より積極的な対応プロセス

AI搭載システムなら、サイバーセキュリティー・チームにリアルタイムのインサイトが提供され、インシデントのトリアージを自動化し、サイバー脅威に対する防御を調整、さらには攻撃にさらされているシステムを隔離することで、より積極的なインシデント対応プロセスをサポートできます。

攻撃経路の予測

AI搭載のリスク分析により、インシデントの概要を作成して、アラート調査を迅速に行い、障害の根本原因を見つけることができます。このようなインシデントの概要は、今後発生する可能性が最も高い脅威を予測するうえで役立つため、インシデント対応チームはインシデント対応計画をそれらの脅威に対処するためのより強力な計画へと微調整することができます。  

Webセミナー:生成AIはサイバーセキュリティーの展望をどう変えるか
関連ソリューション
脅威の検知と対応ソリューション

IBMの脅威検知と対応ソリューションを活用して、セキュリティーを強化し、脅威検出を加速しましょう。

脅威の検知と対応ソリューションはこちら
IBM Z Security and Compliance Center

統合ソリューション・スイートにより、ポリシーをコードとして定義し、安全なデータの制御を実装し、ハイブリッド・マルチクラウド環境全体でセキュリティーとコンプライアンスの体制を評価できるようになります。

IBM Z Security and Compliance Centerはこちら
IBM NS1 Connect DNSのオブザーバビリティー

DNSのデータを使用して構成ミスやセキュリティー問題を迅速に特定します。

IBM NS1 Connectはこちら
参考情報 生成AIの時代のサイバーセキュリティー

今日のセキュリティー環境がどのように変化しているか、また生成AIのレジリエンスを活用する方法について学びます。

IBM Security Framing and Discoveryワークショップ

IBMのシニア・セキュリティー・アーキテクトやコンサルタントを交え、サイバーセキュリティーを巡る自社の現状を理解し、取り組みの優先度付けを決定することをテーマに、3時間の無料デザイン思考セッションをオンライン形式または対面形式で実施します。

ランサムウェアとは

ランサムウェアは、身代金が支払われるまで被害者のデバイスとデータを人質に取るマルウェアです。

次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読
脚注

すべてのリンク先は、ibm.comの外部にあります。

1サイバーセキュリティー・フレームワークの5つの機能、米国国立標準技術研究所(NIST)、2024年2月26日。

2 SANSホワイトペーパー:インシデント・ハンドラーのハンドブック、SANS Institute、2012年2月21日。