企業へのサイバー攻撃は年々増加傾向にあります。そのため、適切なインシデント対応が必要とされており、注目を集めています。その際、インシデント対応は適切な手順で行うことが大切です。この記事は、インシデント対応の意味や必要性、手順などについて解説します。適切なインシデント対応にお役立てください。
インシデント対応の重要性とは?
インシデント対応とは、サイバー攻撃に対する、検知、封じ込め、復旧などの対処を行うこと、またその為の事前準備(予防策)も含めた体系的な取り組みを意味します。セキュリティインシデントが発生した場合の対策を整える、とも言い換えられるでしょう。
インシデント対応をしっかりと行うことで、企業のあらゆるリスクを回避することが可能です。また、インシデント対応はインシデントレスポンス (IR)などと呼ばれることもあります。
以下の見出しではインシデント対応が必要な理由を詳しく解説していきます。
被害を最小化させるために必要
インシデント対応は、サイバー攻撃などの被害を最小化させるために必要とされています。昨今、サイバー攻撃は高度化・巧妙化が進んでいる傾向にあり、被害を100%防ぐことは不可能に近いとも言われています。そこで、想定されるサイバー攻撃に対するインシデント対応を用意しておくことで、初動対策をスムーズに行えるのです。
サイバー攻撃などの被害は初動対策で適切な対応を取れるかが肝心になります。そのため、サイバー攻撃による被害を最小限に食い止めるためには、インシデント対応が必要になるのです。
企業の利益を保護するために必要
インシデント対応は、企業の利益を保護するためにも必要です。なぜなら、インシデント対応は、サイバー攻撃に迅速かつ効果的に対処することに役立ち、組織の情報保護や収益の保護にも役立つ重要な取り組みだからです。
さらに、インシデント対応を行うことは企業の利益を保護するだけではなく、損失を回避することにも繋がります。たとえば、サイバー攻撃を受けてしまった際に適切な対応を行えなかった場合、従業員への悪影響や株主からの訴訟、規制当局からの罰則を受けやすくなるなどのデメリットが想定されるでしょう。
また、保険会社によってはインシデント対応に基づく対処を行わなかった場合、保険請求が下りないこともあります。
インシデント対応の現状
組織のインシデント対応の現状を把握することも大切なことです。先にも紹介してきたとおり、インシデント対応の必要性や重要性は明らかだと言えるでしょう。それにも関わらず、多くの組織はインシデントが起きた際の対応を事前に準備・計画していない、もしくは不十分であるという実情があります。
また、「サイバーレジリエント組織に関する第3回年次調査」によると、回答者の77%がインシデント対応計画がないことを認めています。この結果からも、まだまだ組織においてインシデント対応が浸透していない現状が明らかです。
インシデント対応に必要な4つのフェーズ
ここからは、インシデント対応に必要な4つのフェーズについてそれぞれ解説します。
【フェーズ1 準備】インシデント対応計画を行う
まずは【フェーズ1 準備】について、インシデント対応計画の内容を詳しく解説します。
インシデント対応計画を立てる
最初にインシデント対応計画をしっかりと立案することが大切です。具体的には、プログラムで想定されるインシデント対応を事前に計画します。たとえば、発生する頻度の多いプログラムから優先度を高めて取り組むなど、インシデント対応を計画していきます。
どのようなイベントを防がなければならないのか、インシデント対応しなかった場合のリスクなども打ち合わせた上で、ゴールから逆算した計画を立てていきましょう。
インシデント対応チームの設立
インシデント対応計画を作成したら、次はインシデント対応チームを設立します。インシデントが発生した際に責任を持った対処を行うためには、担当者を決めることが重要です。一緒に最終決定者も選定しておくと、なお良いでしょう。特に複雑なインシデントが発生した際、責任を持って事象に対する判断を下せるインシデント対応専門チームであることも重要です。
また、チームにはビジネス、技術などさまざまエキスパートを加えるのが理想です。インシデントによって影響を受ける全ての部門のエキスパートが加わることで、企業にとって最もリスクが少ないインシデント対応を計画できます。
【フェーズ2 検知・分析】インシデントの確認とプライオリティの判別
フェーズ2では、インシデントの前兆や発生を知らせるアラートが起きた場合に、攻撃範囲や誤認知などを確認するためのインシデントの分析を行います。仮にインシデントの発生を確認した場合は、以降のアクションのログを記録し続け、インシデントに関わる内容を文書化・記録しておく必要が発生します。
そのため、インシデントにプライオリティ(優先順位)を付けた後、関連各所への通知を行いましょう。またインシデントを正確に分析するためには、豊富な経験と専門的な知識が欠かせません。インシデントの発生を確認するのは最終的に人になりますので、経験豊富な人材の確保も必要です。
【フェーズ3 封じ込め・根絶・復旧】インシデントに対処する
フェーズ3では、事前に計画していたインシデント対応に基づいてインシデントの封じ込みを行います。なぜインシデントの封じ込みが必要なのかというと、被害の増加を防いだ上で、システムの復旧やさらなる対策を行う必要があるためです。インシデント対応を計画する際には、以下の5つの指標を基に策定することが重要です。
- インシデントの種類と重大性
- 影響を受ける資産の重要度
- 戦略の実施に必要なリソース
- 証拠を保存する必要性
- ビジネスプロセスに関わるシステムの重要性
上記の指標はしっかりと文章化しておき、攻撃に備えることが大切です。
【フェーズ4 教訓(事後の対応)】インシデント対応や対処内容に関する検証と改善
フェーズ4では、インシデント対応や対処内容に関する検証と改善を行います。インシデント発生後は、インシデント対応チーム、関係各所の人員を集めて検証を行うことが重要です。また、大規模攻撃ほど、組織全体から検証会への参加を募り、多くの意見から改善策を考えるのが効果的です。
そのため、協力してもらえそうな人を積極的に誘って、検証と改善を行うための会議を行いましょう。これらの検証と改善を繰り返すことで、組織が教訓を得ることができ、新しい人材の教育にも役立ちます。
増加するインシデントに対応するため必要とされる自動化ソリューション
ここからは、増加するインシデントに対応するため必要とされる自動化ソリューションを解説します。
限られた人員で求められるパフォーマンスを行えるようになる
増加するインシデントに対応するためには、限られた人員で求められるパフォーマンスを行えるようになることが重要です。なぜなら、インシデント対応の必要性は感じているものの、対策を打てていない企業の中には人的コストをかけられないから、という理由も多いからです。特に、セキュリティ部門は専門的な知識も要するため、人材不足に悩む企業が多い傾向にあります。
そこで、自動化ソリューションとプレイブックを用いることで、低リスクのアラートであれば知識の薄いスタッフでも対処可能になります。また、高度な知識を持つスタッフが深刻なアラートに集中して対応できるメリットもあるでしょう。
自動化ソリューションの具体例
たとえば、フェーズ2(検知・分析)においては自動検出できるツールを導入する、フェーズ3(封じ込め・根絶・復旧)においては管理画面から全体への感染調査を一括で行う、各ネットワーク機器のログを横断的に検索するといった自動化が可能です。限られた人員や時間の中でもより効率的に作業を行い、パフォーマンスを高めましょう。
まとめ
年々、企業に対するサイバー攻撃は増加しており、インシデント対応の重要性が増してきています。効果的なインシデント対応を行うためには、適切な手順とポイントを抑えることが大切です。本記事で紹介した内容を、ぜひ意識してインシデント対応に取り組んでみてください。
SBテクノロジー株式会社ではセキュリティ対策支援として機器・サービスの導入だけでなく、監視・運用・脅威の分析・封じ込めまでを一貫して提供しています。セキュリティ対策のエキスパート人材が質の高いインシデント対応を行います。
