インシデント対応とは
インシデント対応(IR)とは、データ侵害に対する準備、データ侵害の検知、封じ込め、およびデータ侵害からリカバリする手順です。
インシデント対応計画とは
インシデント対応計画とは、組織のインシデント対応プログラムの手段、手順、義務を説明するドキュメントです。
インシデント対応計画には、次の詳細が含まれます。
- インシデント対応が組織の広範なミッションをサポートする方法
- インシデント対応に対する組織のアプローチ
- インシデント対応の各フェーズにおける必要なアクション
- IRアクティビティを完了するためのロールと担当者
- インシデント対応チームと組織のその他の部署との通信経路
- IR機能の有効性を把握するための指標
IR計画の価値は、サイバーセキュリティインシデントが終了しても終わりではないことに注意してください。IR計画は、訴訟の成功をサポートし、監査人に示す文書、リスク評価プロセスに取り込む履歴情報を提供し、インシデントプロセス自体を向上させます。
インシデント対応手順とは
米国標準技術局(NIST)によると、IRには次の4つの重要なフェーズがあります。
- 権限:インシデントに対して即座に効果的な対応ができる組織はありません。イベントの防止と対応の両方に対して計画を立てる必要があります。
- 検知と分析:次のIRのフェーズは、インシデントの発生の有無、その重大度とタイプを判断することです。
- 封じ込めと除去:封じ込めフェースの目的は、インシデントによる被害が拡大する前に、その影響を阻止することです。
- インシデント後のリカバリ:関係者全員が参加する対策会議は、重大なインシデントの後には必ず実施する必要があります。また、重大度の低いインシデントの後も、全体的なセキュリティ、特にインシデント処理を向上させる目的のためにも実施することを推奨します。
詳細
CrowdStrikeがインシデント対応プロセスの各手順をチームがフォローできるアクションアイテムに分類する方法を確認してください。インシデント対応手順の詳細
インシデント対応計画が重要な理由
サイバーインシデントは、単なる技術的な問題ではありません。それらは、ビジネス上の問題でもあります。サイバーインシデントを早く低減できれば、損害も少なくなります。
数週間にわたり話題となった最近の侵害について考えてみましょう。会社は、かなり前から問題を知らされていましたが、対処できていましたか。広報部はインシデントの重大度を軽視し、詳しい調査によりその対応を批判されることになりましたか。影響を受けた個人とのコミュニケーションが不足したため、大きな混乱を招くことになりましたか。会社の幹部は、問題を真剣に受け止めなかった、または株を売却するなどしたことで、インシデントに適切に対処しなかったことを批判されましたか。これらのことは、組織に計画がなかったことを明らかに示しています。
インシデント対応計画は技術的問題だけではないため、IR計画は組織の優先度とその許容可能なリスクのレベルに応じて策定する必要があります。
インシデント対応リーダーは、組織の短期的な運用要件と長期的戦略の目標を理解し、インシデント対応中および対応後の中断やデータ損失を最小限に抑える必要があります。
インシデント対応プロセスを介して取得された情報は、リスク評価プロセスに加え、インシデント対応プロセス自体にフィードバックすることで、将来のインシデントをより適切に処理し、全体的なセキュリティポスチャをさらに強化することもできます。投資家、株主、カスタマー、メディア、裁判官、監査人がインシデントについて質問した場合、インシデント対応計画を用意している企業は、その記録を提示することで、攻撃に対して責任を持って徹底的に行動したことを証明できます。
最前線レポート
毎年、当社のサービスチームは新たな数多くの攻撃者と戦っています。サイバーフロントラインレポートをダウンロードして、当社の専門家が推奨する分析と実用的な手順を確認してください。
今すぐダウンロード
今すぐダウンロードほとんどの組織が計画を策定していません
インシデント対応計画が必要なことは明らかですが、驚くべきことに、大多数の組織は、計画を策定していないか、不十分な計画を用意しています。
Ponemonの調査によると、77%の回答者が組織全体に一貫して適用される正式なインシデント対応計画を用意していないと答えており、ほぼ半数の組織がインシデント対応計画は非公式であるか、存在していないと答えています。IR計画を用意している組織のうち、わずか 32%が、そのイニシアチブを「万全である」と説明しています。
これらの数字で懸念されることは、特に57%の組織が組織内のサイバーインシデントを解決する時間が長くなっていると回答し、65%の組織が対処している攻撃の重大度が高まっていると回答していることです。
これらの2つの回答は、密接に関連しています。サイバーセキュリティでは、スピードが損害を抑えるために重要な要因になります。攻撃者が標的のネットワーク内に長くとどまるほど、その攻撃者はより多くの情報を盗み、より多くの損害を与えることができます。IR計画では、担当者が実施するべき手順を理解し、対処するためのツールと権限を持つことで、攻撃者の時間を制限できます。
詳細
インシデント対応の最も困難な課題とは。 このブログ投稿をお読みください。「担当者の告白:インシデント対応調査で最も困難なこと」 ブログを読む
インシデント対応計画のテンプレートと例
以下にいくつかのIR計画のテンプレートの例を示します。インシデント対応計画がどのようになるのか理解を深めることができます。
- Berkeley Securityのインシデント対応計画のテンプレート
- California Department of TechnologyのIR計画の例
- Carnegie Melonのコンピューターセキュリティインシデント対応計画
- ミシガン州のIR計画のテンプレート
詳細
クラウドインシデント対応に関する投稿を読んで、従来のインシデント対応計画と、クラウドでのインシデント対応に重点を置いたインシデント対応計画の違いをご確認ください。クラウドでのインシデント対応(IR)について読む
クラウドストライクのインシデント対応サービス
多くの組織では、効果的な計画を自社で策定または実施する社内スキルが不足しています。幸いにも専門チームが配備されている場合、その組織は自動検知システムが出力する大量の誤検知に振り回されるか、既存のタスクの処理に忙殺され最新の脅威を把握できない可能性があります。
クラウドストライクは、インシデント対応のリーダーであることに誇りを持っており、無秩序なイベントになる可能性のある出来事を制御し、安定性と秩序をもたらします。クラウドストライクは、チームの構造と能力に対応するIR計画を策定するために、組織と緊密に連携します。
このガイダンスを通じて、当社は、プロセスを標準化し合理化することで、企業がそのインシデント対応業務を改善できるように支援します。また、組織の既存の計画と機能を分析し、そのチームと連携して標準運用手順「プレイブック」を策定し、インシデント対応時の対応策をガイドします。最後に、当社のサービスチームは、侵入テスト、レッドチーム対ブルーチーム演習、攻撃者エミュレーションシナリオなどのプレイブックのバトルテストの実施をサポートします。
クラウドストライクがどのようにしてインシデントをより迅速かつ効果的に対応するのかをご覧ください。
