インシデント対応計画作成ガイド 2022年版

はじめに

現実にサイバーセキュリティの脅威に直面したとき、まずどのような手順を踏めばよいかを知っている組織はほとんどありません。どのようにインシデントを処理すればビジネスへの影響を最小限に抑えられるのか…。危機に対処するための十分な準備を整えるには、綿密なサイバーセキュリティ・インシデント対応計画(IRP)を策定しておくことが最重要です。

この記事では、インシデント対応のためのNIST(アメリカ国立標準技術研究所)が公開したフレームワークを使用して、ビジネスのニーズにしっかりと適合するするための十分な準備を整えるには、綿密なサイバーセキュリティ・インシデント対応計画(以下、IRP)を構築する方法を詳しく説明します。

インシデント対応計画:IRPとは何か、なぜ必要なのか、どのように構築するのか

IRPとは?

IRP(Incident Response Plan)とは、インシデント対応計画のことで、セキュリティインシデント、サイバー攻撃、データ侵害に対処し、その影響を軽減するための体系的な方法論を記した文書です。

なぜインシデント対応計画が重要なのか

IRPは、企業の規模に関わらず、計画の策定を強く推奨されています。インシデント対応を計画する際には、組織のネットワークと資産を保護するために、多層的なアプローチを取ることが重要です。

さらに、セキュリティと企業ネットワーク、および配備されたシステムの生産性のバランスを常に考慮する必要があります。

インシデント対応計画書サンプル構築のためのチェックリスト

以下では、組織のインシデント対応計画を構築またはチェックするための10のヒントを紹介します。NIST(アメリカ国立標準技術研究所)の詳細なガイドライン、重要なステップ、技術的な解決策を見つけるためのヒントについても、次の段落で解説を行います。

  • 従うべき主なインシデント対応要件(NIST、HIPAA/医療保険の相互運用性と説明責任に関する法律、PCI DSS/クレジット業界におけるグローバルセキュリティ基準他)を、ビジネス関連の要件(対応時間、復旧戦略など)と共に明記する。
  • セキュリティ監査を実施し、自社のネットワークや配備されているシステムのうち、すぐに対処できる弱点を特定する。
  • セキュリティ・インシデントとは何かを定義する。従業員は、どのような事象がセキュリティインシデントとみなされるか、その重大性をどのように定義するかなどを知る必要がある。
  • インシデント発生時の責任者を決める。インシデントの処理に際してどのような関係者に情報を提供し、関与させる必要があるかを決める。
  • 包括的な情報伝達ラインを組む。IRPでは、インシデントが発生した場合に最初に連絡する相手、連絡するタイミング、相手が不在の場合の連絡先などを明記する必要があります。
  • あなたの組織が直面する可能性の高い、または過去に直面したことのあるセキュリティ・インシデントを簡単にリストアップし、これらのインシデントに対処するための手順を計画する。そして、対象となるセキュリティ・インシデントの範囲を少しずつ広げていく。
  • IRP には、データ漏洩の可能性のレベル、インシデントの重大度のレベル、影響を受けるエンドポイントの種類など、さまざまなオプションを追加する。
  • 復旧シナリオを計画する。バックアップ・ソリューションを組み込み、セキュリティ・インシデント発生時に従うべきシステムの復元とデータ復旧の手順を明記する。
  • 適切な機関に報告する。特定のインシデントが発生した場合に通知すべき機関のリストを記載する。例えば、GDPR(General Data Protection Regulation/EU一般データ保護規則)やカリフォルニア州のデータプライバシー法であるSB1386では、データ侵害が発生した場合、公的な通知を発行することが義務付けられています。
  • 過去のインシデントを基にIRPを改善する。新しいインシデントに対応したら、それを詳細に分析して、より効果的な対応戦略、手順、シナリオで現在のIRPを更新する。

それでは、あなたの組織に適したIRPをどのように構築すればよいかを見ていきましょう。まずは、潜在的なセキュリティ・インシデントにどのように対応するかを考える際に、従うべきガイドラインを選択することから始めましょう。

IRP構築のガイドラインとしてのNIST

IRPを構築する上で、多くのガイドラインやすぐに使えるサイバーIRPのテンプレートが存在します。しかしながら、世界には無数の組織が存在します。そのため、ガイドラインやテンプレート自分の組織にそのまま適用できるとは限りません。

とはいえ、IRPをゼロから作成することは、インサイダー脅威対策の構築と同様に困難です。効果的なインシデント対応シナリオの選択をする際、特定のIT環境、組織が直面する脅威、および組織のビジネスニーズによって選択肢が異なります。

そんな中で、米国標準技術局(NIST)(英語のページ)は、すべての組織がインシデント対応プログラムを構築するためのベースラインとして使用できる一連のガイドを提供しています。

特に、「Computer Security Incident Handling Guide, 800-61 Revision 2」(英語のページ)の推奨事項に従って、サイバーセキュリティの潜在的なインシデントを効果的に管理することができます。

インシデント管理に関する NIST のガイドラインによると、インシデント対応計画には、以下の主要な段階を含める必要があります。

各フェーズには、組織がIRPに追加することを検討すべき多くのステップが含まれています。それでは、これらのフェーズについて詳しく見ていきましょう。

準備段階

組織は、サイバーセキュリティインシデントが実際に発生する前に、それに対処する準備を整え、必要な対応手順を事前に用意する必要があります。準備段階には、データ侵害や攻撃を未然に防ぐために何をすべきかを計画することも含まれます。

検知と分析

組織は、サイバーインシデントを検出し、インシデントに関連するデータを収集、文書化、および分析するためのツールや技術を備えている必要があります。この作業を少しでも簡単にするために、NIST は 8 つの攻撃ベクトル(下記参照)を指定し、サイバーセキュリティ・インシデントの最も一般的な兆候をリストアップしています。

また、必要に応じて、組織は、インシデントの影響度と回復可能性に応じて優先順位を付け、侵害について適切な当局に通知できるようにする必要があります。

封じ込め、根絶、そして復旧

組織は、攻撃を効果的に処理し、脅威除去、影響を受けたシステムとデータの復旧を即座に開始できなければなりません。

これらの段階では、インシデントの解決と法的手続きの両方に利用ができるように、インシデントに関する証拠を収集することも重要です。

インシデント発生後の対策

セキュリティ・インシデントを効果的に処理した後、組織は、インシデントから学んだ情報を使用して、現在の IRP を改善する必要があります。

NISTサイバーセキュリティフレームワークの最大の特徴は、柔軟性と適応性を兼ね備えているため、大企業だけでなく中小企業でも効率的に実施できることです。それでは、NISTに準拠したIRPを構築する方法を見ていきましょう。

NISTに準拠したインシデント対応計画を実施するためのヒント

NISTは、効果的なIRPを構築するために、詳細なインシデント対応ガイドラインを提供しています。しかし一点問題があります。詳細なガイドライン故に記載された情報が多すぎて、自身の組織で推奨されるべき事項を見失う可能性があることです。

以下は、NISTのインシデント対応チェックリストで、インシデント対応プログラムがNISTの要件と自社のニーズの両方を満たすように、必ず実行すべき5つのステップを紹介しています。

サイバーセキュリティ・インシデント対応チームの設置

組織の規模や扱う分野にかかわらず、IRP を計画する際に最初に行うべきことは、サイバーセキュリティ・インシデント対応チーム (CIRT) を立ち上げることです。CIRT は、セキュリティ・インシデント発生時に主要なリソースとチーム・メンバーを調整し、攻撃の影響を最小限に抑え、すべての業務を可能な限り迅速に復旧させる役割を担います。

CIRTの主な機能は以下の通りです。

  • インシデント対応の方針と手順を定義する
  • サイバーセキュリティインシデントをタイムリーに処理する
  • 過去のインシデントを調査・分析する
  • インシデント報告機能を構築し、必要なコミュニケーションを確立する
  • サイバーセキュリティの脅威とその軽減に関するスタッフのトレーニングおよび意識向上
  • 現行のインシデント対応プログラムの改善

CIRTのメンバーの人数は、会社の規模、潜在的なデータ損失、地理的な範囲によって異なる。しかし、インシデントへの対応と処理を担当するチームリーダーを必ず任命することが重要です。

CIRTのメンバーは、組織のサイバーセキュリティ方針と手順、および攻撃された場合の具体的な責任について知っておく必要があります。

すべての手順を事前に計画立案する

事前に計画を立てることは非常に重要です。

サイバー・セキュリティ・インシデントが発生した場合、CIRT は、損失を最小限に抑えるための対処方法を正確に把握しておく必要があります。しかし、実際にインシデントが発生する前に、コンピュータ・セキュリティ・インシデント対応計画を作成するだけでなく、実戦テストする必要もあります。

計画段階で CIRT が達成しなければならない主なタスクは以下の 4 つです。

まず、どのような事象がサイバーセキュリティ・インシデントと見なされるかを決定する必要があります。次に、潜在的なインシデントの種類ごとに、インシデント対応計画を作成します。

NIST は、そのコンピュータ・セキュリティ・インシデント処理ガイドの中で、攻撃ベクトル(攻撃者の攻撃経路・手法)のリストを指定し、同じ攻撃ベクトルを使用するインシデントについて共通のインシデント対応シナリオを作成することを提案しています。

一般的な攻撃ベクトルの中には、以下のようなものがあります。

  • 外部メディアまたはリムーバブルメディア(例:感染したUSBデバイス)
  • 機器の紛失や盗難(会社のノートパソコンや認証用トークンの紛失など)
  • ウェブ(ウェブアプリケーションから実行される攻撃)
  • メール攻撃(悪意のあるウェブサイトへのリンクが貼られたメール)
  • なりすまし(スプーフィング、中間者攻撃)
  • 不正使用(アクセスの悪用)
  • 穴あけ(ブルートフォース攻撃/総当たり攻撃)
  • その他

次に、考えられる脅威や攻撃について、その影響度に応じた優先順位を設定します。大きな脅威に対処できないまま、小さな攻撃に対処するために時間を浪費する事は非効率であり、組織のためになりません。

NISTのインシデント対応計画では、インシデントの優先度を決定するために、影響度に基づく3つの基準を提示しています。

NISTのインシデントの重大度レベルは、いくつかの要因に依存します。

機能への影響度

機能への影響度は、特定のインシデントがビジネスオペレーションに与える影響を決定します。機能への影響度には、以下、4つのレベルがあります。

  • なし – 組織のシステムに機能的な影響を与えない。
  • 低 – 組織のシステムにはほとんど影響がない。
  • 中程度 – 組織のサービスの一部が提供できない。
  • 高 – 組織は、すべてのユーザーに少なくとも1つの重要なサービスを提供することができない

情報への影響度

情報への影響度は、インシデント発生時に漏えいした情報の重要性と機密性に依存します。また、情報への影響度は、以下、4つのカテゴリーに分類されます。

  • なし – データは流出していない
  • プライバシー侵害 – 個人を特定できる機密情報が流出した。
  • 機密保持違反 – 企業秘密が漏えいした可能性
  • 完全性の損失 – データが改ざんされた可能性がある

復旧への響度

復旧への影響度は、組織がインシデントから完全に復旧するために必要なリソースを示す指標です。復旧への影響度にも、以下、4つのレベルがあります。

  • 通常 – 追加のリソースは必要ない
  • 補足 – 追加のリソースが必要だが、組織は全体的な復旧時間を予測できる
  • 延長 – 復旧時間を予測できない
  • 回復不可能 – 組織がインシデントから回復することはできない。

この 3 段階のアプローチは、どのような組織においても柔軟にIRPに採用することができます。

分類作業がすべて完了したら、次のステップです。様々な種類のサイバーセキュリティ・インシデントに対応するための手順の計画するタイミングがやってきました。システム障害、サービス妨害、侵入、スパイウェア感染などのイベントに対する封じ込め戦略と標準作業手順書(SOP)の構築を検討していきます。

SOPでは、特定のインシデント発生時にCIRTが使用する技術的なプロセス、技術、チェックリスト、フォームを指定します。

適切な対応手順を確立するための詳しいガイダンスとして、NIST Special Publication 800-86「Guide to Integrating Forensic Techniques into Incident Response」(英語のページ)を参照することが可能です。

ユーザーとネットワークのアクティビティを監視する

もし、私たちが脅威を「監視する」ことができれば、それらを管理できる可能性があります。

潜在的な攻撃を防ぐ最善の方法の1つは、ネットワーク上で発生する出来事を監視することです。インサイダーの脅威や下請け業者関連のセキュリティ・リスクの問題に対処するために、ユーザー行動監視ソリューションの導入を検討してください。

個々のユーザーの活動やネットワーク上のアクティビティーを把握することで

  • 攻撃を早期に検知し、終了させることができる
  • 証拠となる貴重なデータを収集し、さらなる分析に活用できる

さらに取り組みを進めるには、行動ユーザー監視機能を備えたソリューションを導入するとよいでしょう。AIを活用したこれらのソリューションでは、監視対象にあるインフラ内において、ユーザーの活動を監視します。そして、行動基準値からの逸脱した活動を検出することができます。また、インサイダー脅威のインシデント対応計画を策定し、自社が抱えるリスクを軽減することも大切です。

ユーザー行動監視ソリューションを選ぶ際には、柔軟なインシデント対応システムを搭載しているものを探してください。リアルタイム・アラートの設定やSOPの少なくとも一部の自動化が可能であれば、サイバーセキュリティ・インシデントにタイムリーに対応することができます。

バックアップとリカバリー戦略を重要視する

貴重なデータを失うことは誰にとっても避けたいことです。

インシデント発生後に行われる復旧作業についての戦略は、ITインシデント対応計画の重要な部分です。

インシデントの対処と同様に、実際に侵害が起こる前にインシデントからの復旧を考え、さまざまなシナリオに対応したデータ復旧手順の詳細な例をまとめておくとよいでしょう。

まず、ビジネスにとって最も価値のあるデータを特定し、その保護に細心の注意を払うことから始めることが推奨されます。そうすることで、実際にサイバーセキュリティのインシデントが発生した場合に、何に注力すべきかがわかります。すぐに必要なデータは何か、ビジネスに損害を与えることなく翌日あるいは翌週に復旧できる資産は何かがわかるようになります。

サイバーセキュリティ攻撃やデータ漏洩からの組織の復旧に関して、CIRTが念頭に置くべき課題は大きく2つあります。

データ復旧

バックアップシステムを導入していない状態で、サイバーセキュリティインシデントに迅速に対応することは困難でしょう。データ損失防止ツールを導入し、バックアップを作成しておけば、組織がサイバーセキュリティインシデントに直面した場合、すべてのビジネスクリティカルな情報を安全にリストアすることができます。

重要なデータをより確実に保護するために、オンプレミスとクラウドベースのサービスを組み合わせたハイブリッドバックアップソリューションを選択します。また、NISTコンプライアンスに準拠したID/アクセス管理ソリューションを導入し、機密データへのアクセスを制限することも検討します。

また、セキュリティ事故が発生した場合、フォレンジックのために現在の状態を保存できるよう、影響を受けるシステムのバックアップを必ず行ってください。

サービスの復旧

インシデント発生後、組織のシステムを通常のオペレーションに戻すには、次の2つの手順が重要です。

  • ネットワークをチェックし、すべてのシステムが動作可能であることを確認する
  • インシデント発生時に影響を受けた可能性のあるシステムまたはコンポーネントを、運用可能なものとして再認証する

また、侵入されたアカウントのユーザーのパスワードをリセットし、侵入を可能にした可能性のあるアカウントとバックドアをブロックする必要がある場合もあります。

インシデント対応計画を更新する際に重視すべきこと

NIST によると、組織は少なくとも年に 1 回、IRPを見直す必要があります。しかし、常に新しいサイバーセキュリティの脅威が出現することを考えると、特に大企業では、より頻繁に計画を確認し、更新する方が賢明といえるでしょう。

新しい分野への進出や社内インフラの変更など、ビジネスが大きな変化に直面するたびに、これらの変化をIRPに反映させる必要があります。

  • お客様のビジネスに関連する新たな攻撃ベクトルとセキュリティ脅威
  • 地域および業界のサイバーセキュリティ要件に対する更新と変更
  • 過去の攻撃や侵害から学んだ教訓
  • 改善可能なインシデント処理手順とソリューション

例えば、あなたの組織が新しいサイバーセキュリティの脅威のターゲットになる可能性がある場合、この種の攻撃に対して適切なインシデント対応シナリオを準備することが必要であり、重要といえます。新しい脅威に関連する手順と復旧の流れを確認、計画し、テスト後、文書化します。

また、組織内で過去に実際に発生したインシデントの対処方法を調べることも重要です。こういった分析により、現在の戦略が優れているかどうか、また、このようなインシデントの再発を防ぐにはどうすればよいかが分かります。

Ekranによるリアルタイムのインシデントレスポンス

Ekranは、ユーザーベースのインサイダー脅威に効果的かつタイムリーに対応するために必要なすべてを提供します。

Ekranのプラットフォームを利用することで、以下のことが可能になります。

  • 従業員やサードパーティの活動を画像とテキストで記録・保管
  • 特定のイベントに対するカスタムアラートと通知
  • 疑わしいセッションの終了とプロセスの強制終了
  • 設定したUSBデバイスをブロック
  • 設定した禁止イベントを行ったユーザーをブロック

Ekranは、NIST、NISPOM(国家産業保全プログラム運用マニュアル/アメリカ)、HIPAA、PCI DSSが課す最も重要なITコンプライアンス要件に対応するための支援を行っています。

さらに、詳細なアクティビティレポートを取得し、監査データをフォレンジック形式でエクスポートすることができます。

まとめ

インシデント対応計画を持つことは、どのような規模の組織や企業にとっても非常に重要です。

すぐに使えるインシデント対応計画のテンプレートもありますが、特定の要件を反映したカスタマイズされたインシデント対応計画を構築し、自社の内部調査に従って独自の内部脅威対応計画を構築する方が自社へのメリットは大きいものになります。

このプロセスを少しでも容易にするために、組織は、NISTが提供するような一般的なセキュリティ標準や一般的なガイドラインを参照することができます。

NISTの基準に従ってインシデント対応計画を構築する場合、組織は、NISTのインシデント対応プロセスの4つの主要なフェーズをカバーする必要があります。

  • 準備段階
  • 検知・分析
  • 封じ込め、根絶、復旧
  • インシデント発生後の対策

これらの各フェーズにおいて、特定の攻撃経路や特定のセキュリティ問題を処理するための一連のツールや手順を規定する必要があります。

Ekranはリアルタイムのアラートや操作時の画面記録等、プロアクティブで豊富なインシデント対応機能を提供しています。インシデント対応ツール利用することでどのようなメリットが得られるかを確認されたい場合は、以下の製品ページをご覧いただき、30日間無料のトライアルをご利用ください。

以上で今回の記事を終わります。

* 本ブログ記事は、Ekran社のブログ「Incident Response Planning Guidelines for 2022」を意訳したものです。

トライアルのお申し込み
Ekranの概要ページ
お問い合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. Syslogサーバー構築手順~インストールから初期設定まで~WinSyslogの使い方

製品カテゴリー

NetFlow ntop sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワーク監視 ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや 証跡管理

JTC IT用語集
TOP