インシデント対応(サイバーセキュリティー・インシデント・レスポンスと呼ばれることもあります)は、サイバー脅威、セキュリティー侵害、サイバー攻撃を検知し、対応するための組織のプロセスとテクノロジーを指します。正式なインシデント対応計画により、サイバーセキュリティー・チームは被害を制限または防止できます。
インシデント対応の目標は、サイバー攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。インシデント対応はインシデント管理の技術的部分であり、重大なインシデントにおける経営、人事、法務管理も含まれます。
組織は、さまざまな種類のサイバー攻撃をどのように特定し、封じ込め、解決すべきかを規定する正式なインシデント対応計画(IRP)でインシデント対応プロセスとテクノロジーを定義するのが理想的です。
効果的なインシデント対応計画を立てることで、サイバー・インシデント対応チームはサイバー脅威を検知して封じ込め、影響を受けたシステムを復旧し、収益の損失や規制上の罰金、その他のコストを削減できます。
IBMのデータ侵害のコストに関する調査によると、インシデント対応チームと正式なインシデント対応計画があれば、組織は侵害のコストを平均で約50万米ドル(473,706米ドル)も削減できることがわかりました。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
セキュリティー・インシデントまたはセキュリティー・イベントは、機密性や完全性、可用性あるいは組織の情報システムや機微データを脅かすデジタル的または物理的な侵害です。セキュリティー・インシデントは、ハッカーや権限のないユーザーによる意図的なサイバー攻撃から、正規の権限のあるユーザーによる意図しないITセキュリティー・ポリシー違反まで多岐にわたります。
最も一般的なセキュリティー・インシデントには次のようなものがあります。
ランサムウェアは、被害者のデータやコンピューティング デバイスをロックし、身代金を支払わない限りロック状態を維持する、あるいはさらに悪い状況に陥ると脅す悪意のあるソフトウェア (マルウェア)の一種です。IBMの最新のX-Force Threat Intelligence Indexによると、ネットワーク攻撃の20%でランサムウェアが使用されており、恐喝ベースの攻撃がサイバー犯罪の原動力となっており、データの盗難と漏洩に次ぐ勢いであると報告されています。
フィッシング攻撃とは、受信者を操作して、機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。
攻撃者は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。
IBMのデータ侵害のコストに関する調査によると、フィッシングと認証情報の盗難または侵害の2つが最も蔓延している攻撃ベクトルです。また、フィッシングはソーシャル・エンジニアリングの最も一般的な形態でもあり、デジタル・セキュリティーの脆弱性ではなく、人間の本質をハッキングして、機微な個人や企業のデータやアセットに不正にアクセスする攻撃の一種です。
分散型サービス妨害(DDoS)攻撃では、ハッカーが多数のコンピューターを制御し、それらを使用して標的組織のネットワークやサーバーをボーナストラフィックで圧倒し、それらのリソースを正規のユーザーが使用できなくします。
サプライチェーン攻撃とは、ベンダーを攻撃することで標的組織に侵入するサイバー攻撃です。例えば、サプライヤーのシステムから機密データを盗んだり、ベンダーのサービスを利用してマルウェアを配布したりすることが含まれます。
内部脅威には2つのタイプがあります。悪意のあるインサイダーとは、組織の情報セキュリティーを意図的に侵害する従業員やパートナーまたはその他の権限のあるユーザーのことです。不注意なインサイダー とは、権限のあるユーザーで、脆弱なパスワードを使用したり、機微データを安全でない場所に保管したりするなど、セキュリティーのベスト・プラクティスに従わなかったために意図せずにセキュリティを侵害してしまう人のことです。
これらには、攻撃者がまずシステム内で限られた権限を取得し、それを使用して横方向に移動してより高い権限を取得し、その過程でより機密性の高いデータへのアクセスを取得するといった攻撃が含まれます。
盗まれた認証情報は、攻撃者が最初に侵入したり、権限を強化したりするのに使われます。X-Force 脅威インテリジェンス・インデックスによると、有効なアカウントの悪用は、今日攻撃者がシステムに侵入する最も一般的な方法です。
MITM攻撃では、脅威アクターが通信(多くの場合、ユーザー名やパスワードなどの機密情報を含むEメール)を傍受し、その通信内容を盗んだり改ざんしたりします。攻撃者は盗んだ情報をそのまま使用するか、マルウェアを挿入して対象の受信者に転送します。
組織でのインシデント処理への取り組みは通常、インシデント対応計画に基づいて行われます。多くの場合、この計画は、組織全体の利害関係者から構成されるコンピューター・セキュリティー・インシデント対応チーム(CSIRT)によって作成され、実行されます。
CSIRTチームには、最高情報セキュリティー責任者(CISO)、セキュリティー・オペレーション・センター(SOC)、セキュリティー・アナリスト、ITスタッフなどが含まれる場合があります。また、経営幹部、法務、人事、規制遵守、リスク管理、場合によってはサービス・プロバイダーのサードパーティー専門家からの代表者が含まれる場合もあります。
データ侵害のコストに関する調査では、「対応準備に投資することで、組織はデータ侵害によるコストのかかる破壊的影響を軽減し、事業の継続をサポートし、顧客やパートナー、その他の重要な利害関係者との関係を維持することができる」と指摘しています。
インシデント対応計画には通常、次のものが含まれます。
インシデント対応ライフサイクル全体におけるCSIRTの各メンバーのロール(役割)と責任を含むインシデント対応プレイブック。
企業全体にインストールされるセキュリティー・ソリューション(ソフトウェア、ハードウェア、その他のテクノロジー)。
障害が発生した場合に、重要なシステムとデータを可能な限り早く復元するための手順を概説した事業継続性計画。
インシデント対応プロセスの各段階で実行すべき具体的な手順と実行者を説明するインシデント対応方法論。
企業の幹部や従業員、顧客、さらには法執行機関にインシデントについて通知するためのコミュニケーション計画。
事後調査や(必要であれば)法的手続きのために、インシデントに関する情報を収集し、文書化するための手順や指示。
CSIRTは、インシデントの種類ごとに異なるインシデント対応計画を策定することができます。多くの組織は、DDoS攻撃、マルウェア、ランサムウェア、フィッシング、内部脅威に関する具体的なインシデント対応計画を策定しています。
組織の環境に合わせたインシデント対応計画を立てることが、攻撃への対応・修正・回復の時間を短縮するために重要です。それらの計画は、定期的に訓練する必要があります。
組織によっては、インシデント対応サービスを提供する外部パートナーによって社内CSIRTを補完します。これらのパートナーは多くの場合、リテーナーに取り組み、インシデント対応計画の準備と実行を含むインシデント管理プロセスのさまざまな側面を支援します。
ほとんどのインシデント対応計画は、米国国立標準技術研究所(NIST) 1やSANS Institute2が開発したモデルに基づいた、同様の一般的なインシデント対応フレームワークに従っています。一般的なインシデント対応手順は次のとおりです。
これはインシデント対応の第一段階であるものの、継続的に行うものでもあります。CSIRTは、業務の中断を最小限に抑えながら、インシデントへの対応、特定、封じ込め、復旧をできるだけ迅速に行うために、可能な限り最善の手順、ツール、手法を選択します。
CSIRTは、定期的なリスク評価を通じて、保護されるべきビジネス環境、潜在的なネットワークの脆弱性、およびネットワークにリスクをもたらすさまざまな種類のセキュリティー・インシデントを特定します。同チームは、組織への潜在的な影響に応じて、各タイプのインシデントに優先順位を付けます。
CSIRTは、いくつかの異なる攻撃戦略を「ウォーゲーム化」し、実際の攻撃時に最も効果的な対応策のテンプレートを作成する場合があります。将来の演習や潜在的な攻撃に対してメトリクス(指標)を確立するために応答時間を追跡する場合があります。完全なリスク評価に基づいて、CSIRTは既存のインシデント対応計画更新や新しい計画の草案作成をすることがあります。
この段階では、セキュリティー・チームのメンバーがネットワークを監視し、不審なアクティビティーや潜在的な脅威がないか確認します。デバイスのログやさまざまなセキュリティー・ツール(ウイルス対策ソフトウェア、ファイアウォール)から収集されたデータ、通知、アラートを分析して、進行中のインシデントを特定します。チームは、実際のインシデントから誤検知をフィルタリングし、実際のアラートを重大度順にトリアージします。
現在、ほとんどの組織は、セキュリティー情報およびイベント管理(SIEM)やエンドポイントの検知と対応(EDR)など、複数のセキュリティー・ソリューションを使用して、セキュリティー・イベントをリアルタイムで監視し、対応作業を自動化しています。(詳細については、「インシデント対応テクノロジー」セクションを参照してください。)
コミュニケーション計画もこの段階で影響を受けます。CSIRTは、直面している脅威や侵害の種類を判断したら、インシデント対応プロセスの次の段階に進む前に、適切な担当者に通知します。
インシデント対応チームは、侵害やその他の悪意のある活動によるネットワークへのさらなる被害を阻止するための措置を講じます。その後、緊急インシデント対応計画が実行に移されます。封じ込め活動には以下の2つのカテゴリーがあります。
短期的な緩和策では、感染したデバイスをオフラインにするなど、影響を受けるシステムの隔離によって現在の脅威の拡大を防ぐことに重点を置いています。
長期的な封じ込め対策は、機微データベースをネットワークの他の部分からセグメント化するなど、より強力なセキュリティー制御を行うことで、影響を受けないシステムを保護することに重点を置いています。
この段階で、CSIRTは影響を受けたシステムと影響を受けていないシステムのバックアップを作成して、さらなるデータ喪失を防ぎ、今後の調査に備えてインシデントの科学的証拠を収集することもあります。
脅威が封じ込められた後、チームは完全な修復に移り、システムから脅威を完全に除去します。これには、マルウェアの削除や、権限のないユーザーまたは不正ユーザーのネットワークからの排除などが含まれます。また、チームは影響を受けたシステムと影響を受けていないシステムの両方を確認し、侵害の痕跡が残らないようにします。
インシデント対応チームは、脅威が完全に根絶されたと確信したら、影響を受けたシステムを通常の運用に戻します。この修正には、パッチの展開、バックアップからのシステムの再構築、システムやデバイスのオンライン復帰が含まれる場合があります。攻撃とその解決の記録は、分析とシステム改善のために保持されます。
インシデント対応プロセスの各段階を通じて、CSIRTは侵害の証拠を収集し、脅威を封じ込めて根絶するために必要な手順を文書化します。この段階で、CSIRTはインシデントをより深く理解し、「得られた教訓」を収集します。CSIRTは、攻撃の根本原因を判断し、ネットワークへの侵入に成功した方法を特定し、今後この種のインシデントが再び発生しないように脆弱性を解決しようとします。
CSIRTは、うまくいった点も確認し、将来の攻撃に対するインシデント対応の取り組みを強化するために、システムやツール、プロセスを改善する機会を探します。侵害の状況に応じて、法執行機関も事後調査に関与する場合もあります。
インシデント対応計画では、セキュリティー・インシデントが発生した場合にCSIRTがとるべき手順の説明に加えて、通常、インシデント対応チームが収集などの主要なワークフローを実装または自動化するために導入すべきセキュリティー・ソリューションの概要を示します。セキュリティー・データを関連付け、リアルタイムでインシデントを検知し、進行中の攻撃に対応します。
最も一般的に使用されるインシデント対応テクノロジーには、次のようなものがあります。
EDRは、アンチウイルス・ソフトウェアや他の従来のエンドポイント・セキュリティー・ツールを突破するサイバー脅威から組織のユーザー、エンドポイント・デバイス、IT資産を自動的に保護するソフトウェアです。
EDRは、ネットワーク上のすべてのエンドポイントから継続的にデータを収集します。このデータをリアルタイムで分析して、既知または疑わしいサイバー脅威の証拠を探索し、自動的に対応することで、特定した脅威による被害を防止または最小限に抑えることができます。
SIEM は、さまざまな内部セキュリティー・ツール(例:ファイアウォール、脆弱性スキャナー、脅威インテリジェンス・フィードなど)やネットワーク上のデバイスからセキュリティー・イベント・データを集約し、相関させます。
SIEMは、セキュリティー・ツールが生成する膨大な量の通知から実際の脅威の指標を区別することで、インシデント対応チームが「アラート疲労」と戦ううえで役立ちます。
SOARを使用すると、セキュリティー・チームは、セキュリティー・インシデントに対応してプレイブック(さまざまなセキュリティー・オペレーションやセキュリティー・ツールを調整する形式化されたワークフロー)を定義できるようになります。SOARプラットフォームは、これらのワークフローの一部(可能な部分)を自動化することもできます。
XDRは、ハイブリッドIT環境全体でセキュリティー・ツールやコントロール・ポイント、データおよびテレメトリー・ソース、そして分析を統合するサイバーセキュリティー・テクノロジーです。XDRは、脅威の防止・検知・対応のための単一の中心的なエンタープライズ・システムを構築します。XDRは、セキュリティー・ツール間のサイロを排除し、サイバー・キル・チェーン全体にわたって対応を自動化することで、過剰に拡張されたセキュリティー・チームとSOCは少ないリソースでより多くの成果を上げるのに役立ちます。
データ窃盗犯やハッカーがAIを利用して攻撃を強化しているのと同様に、人工知能(AI)は組織がサイバー脅威に対してより強力な防御を構築するのにも役立ちます。
追加のAI保護を使用することで、コストを大幅に節約できます。IBMのデータ侵害のコストに関する調査によると、AI搭載のセキュリティー・ソリューションを使用している組織は、侵害コストを最大220万米ドル削減することができます。
エンタープライズ・グレードのAI搭載セキュリティー・システムは、以下のような方法でインシデント対応能力を向上させることができます。
AI搭載システムは、膨大な量のデータを監視して疑わしいトラフィック・パターンやユーザーの行動を迅速に検索することで、脅威の検知と軽減を加速できます。
AI搭載システムなら、サイバーセキュリティー・チームにリアルタイムのインサイトが提供され、インシデントのトリアージを自動化し、サイバー脅威に対する防御を調整、さらには攻撃にさらされているシステムを隔離することで、より積極的なインシデント対応プロセスをサポートできます。
AI搭載のリスク分析により、インシデントの概要を作成して、アラート調査を迅速に行い、障害の根本原因を見つけることができます。このようなインシデントの概要は、今後発生する可能性が最も高い脅威を予測するうえで役立つため、インシデント対応チームはインシデント対応計画をそれらの脅威に対処するためのより強力な計画へと微調整することができます。