近年のサイバー攻撃対策として普及している「インシデントレスポンス」は、セキュリティ事故が発生することを前提とし、早期復旧と被害の最小化を目的とした方法です。インシデントレスポンスの考え方、注目される背景、具体的な取り組み手順を詳しく解説します。
目次
インシデントレスポンスとは?
インシデントレスポンスとは、情報システム運用におけるセキュリティ上の問題が発生した場合の対応を指します。外部からのサイバー攻撃や、内部関係者による情報持ち出しなどのセキュリティインシデントに対峙する考え方として注目されています。インシデント対応の流れを見ながら、インシデントレスポンスの役割や重要性について解説します。
インシデント対応のプロセス
セキュリティインデントが発生した場合の対応手順は、「検知」、「トリアージ」、「インシデントレスポンス」のプロセスに整理できます。検知とは、システムの監視ログや問い合わせを受ける、もしくは能動的にインシデントを発見する取り組みによりインシデント発生を知るためのプロセスのことです。次のトリアージでは、検知したインシデントの対応優先度を決定します。トリアージとはもともと災害医療の用語で、大規模災害などで大勢の患者が発生した場合に治療優先度を決めるという考え方です。サイバーセキュリティの分野でも同様に、重要で最初に扱うべきインシデントを選別するという意味で用います。
最後のインシデントレスポンスは、実際のインシデント対応にあたるプロセスです。状況の把握・分析、対応計画の策定、対応・抑制の措置、企業内外関係者との調整などの作業を、インシデント解決まで繰り返し実施します。また、さらなる情報収集を行ったり、被害の拡大を防ぐための注意喚起をしたりという作業が含まれることもあります。
インシデントレスポンスはインシデント発生後の対応
インシデントレスポンスは、すでに発生したインシデントに対して、いかに適切に対応・管理するのかという体系的なアプローチです。インシデント発生後の対応にあたっては、情報システム部門はもちろん、重要な経営判断を行う経営層、法的リスクを検討する法務、顧客・取引先・マスコミなどの対外対応を行う広報など、さまざまな部門関係者と連携をしながら対策を進めます。
インシデントはランサムウェアや標的型攻撃のような外部からのサイバー攻撃だけでなく、内部関係者による情報流出や情報持ち出し、自然災害によるデータ消失やシステム障害などさまざまな種類があります。発生したあらゆるインシデントの被害を最小化し、迅速に復旧させることがインシデントレスポンスの役割です。
インシデントレスポンスが注目される背景
どんなに強固なセキュリティ対策を実施していても、外部からのサイバー攻撃、特に情報公開や修正パッチがリリースされる前のセキュリティホールを狙う「ゼロデイ攻撃」を防ぐことは極めて困難です。
ほかにも、内部関係者や自然災害に起因するインシデントもあり、インシデントの発生を予想したり、発生の可能性をゼロにしたりすることはできません。そのため、近年ではインシデント発生を前提とし、いかに早期解決に向けて円滑に対応できるかという「インシデントレスポンス」の重要度が増しています。
インシデントがおよぼす社会的な影響度や重要度にもよりますが、適切なインシデントレスポンスが実行できれば、逆に顧客や取引先からの信頼を得られる可能性もあります。インシデントは起こりうるものという前提で、組織としてインシデント発生を真摯に受け止め、誠実な姿勢で迅速にインシデントレスポンスを実行することが重要です。
また、単にインシデントに対応するのではなく、対応を最適化して、いかにビジネスを継続させるのかを考える「レジリエンス」の発想も注目されています。
サイバーレジリンスについては、「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」
で詳しく解説しています。ぜひご一読ください。
効果的なインシデントレスポンスのための6つの手順
情報セキュリティ分野に特化した教育専門機関では、インシデントレスポンスは
「準備、特定、封じ込め、根絶、復旧、教訓」という6つのステップで構成されることが重要としています。
| 準備 | インシデントレスポンスの基本方針・対策基準・実施手順の策定、リスクマネジメントの実施など。インシデントへの対応能力の確立と、システムやネットワークを安全な状態に保つことでインシデントを予防する。 |
| 特定 | 万が一セキュリティインシデントが発生した場合に、各種ツールや監視ログから情報を集め、分析することでインシデントの兆候や前兆を正確に把握する。インシデント発生が確認できた場合はログの記録や内容の文書化、優先順位づけや関係者への通知を行う。 |
| 封じ込め | インシデントの原因を詳細に調査したうえで、被害の拡大を防ぐためにシステムやネットワークなどを一時的に停止する。 |
| 根絶 | 悪用されたすべての脆弱性を修正する(悪意のコードの削除、攻撃に使われたアカウントを無効にするなど)。インシデント内容によっては根絶を行わない、復旧手順のなかであわせて根絶を実施する場合もある。 |
| 復旧 | 元の状態に復元するための手順。具体的にはバックアップからのシステムのリストア、システム再構築、侵害されたファイルの置き換え、パッチのインストール、パスワードの変更、ネットワーク境界のセキュリティ強化など。 |
| 教訓 | インシデントの内容を記録するとともに、反省会を実施し、得られた教訓をもとに今後のセキュリティ方針を決定する。 |
これら6つのステップは「インシデント対応ライフサイクル」と呼ばれます。高度なセキュリティ体制を維持するためには、継続的にこれらの手順を回し続けることが重要です。
インシデントレスポンスの強化には平時の備えが重要
いざインシデントが発生してからあれこれと対策するのではなく、平時からインシデント発生を想定し万全の備えを構築することが重要です。インシデントレスポンスを強化するための方法のひとつにCSIRT(Computer Security Incident Response Team)、SOC(Security Operation Center)などの、インシデント対応の専門チームを構築し、組織のリスク管理能力を高める方法があります。
経済産業省が公開する「サイバーセキュリティ経営ガイドライン」でも「インシデント発生に備えた体制構築」を挙げています。何も起こらない平時のときこそ、有事の際に迅速な対応をとるための組織的な対策が不可欠です。
ほかにも、インシデント発生を機に発動するコンティンジェンシープランや事業継続計画(BCP)を整備する、サイバーセキュリティに関する情報共有活動に積極的に参画・情報収集するといった活動も有効です。
インシデントレスポンスを強化してセキュリティ対策を万全に!
ITへの依存度が高まる現代社会において、セキュリティインシデント発生時にビジネスが受ける影響は計り知れません。対策として、セキュリティインシデントを防ぐサイバーセキュリティももちろん必要ですが、インシデント発生を前提としたインシデントレスポンスの考え方が重要です。各企業には、インシデントレスポンスにより被害を極小化するとともに、ビジネスの復旧・継続に貢献できる十分な能力と体制構築が求められています。
人気資料ランキング
人気記事ランキング
新着記事
