インシデント対応(サイバーセキュリティー・インシデント対応とも呼ばれる)とは、サイバー脅威、セキュリティー違反、サイバー攻撃を検知して対応するための組織のプロセスとテクノロジーのことです。 インシデント対応の目的は、サイバー攻撃を未然に防ぎ、発生したサイバー攻撃によるコスト増加や業務の混乱を最小限に抑えることです。
組織が正式なインシデント対応計画(IRP)でインシデント対応プロセスとテクノロジーを定義し、さまざまな種類のサイバー攻撃を特定、封じ込め、解決する方法を正確に規定すること理想的です。 効果的なインシデント対応計画を策定できると、サイバーセキュリティー・チームはサイバー脅威を検知して封じ込め、影響を受けたシステムをより迅速にリストアし、それらの脅威に関する収益の損失、規制上の罰金、その他のコストを削減できます。 IBMの「2022年データ侵害のコストに関する調査」によると、インシデント対応チームや定期的に検査されるインシデント対応計画を持つ組織は、インシデント対応チームやIRPを持たない組織に比べて、データ侵害にかかる平均コストが266万ドル下回っています。
セキュリティー・インシデント(またはセキュリティー・イベント)とは、機密性、整合性、可用性、または組織の情報システムや機密データを脅かす、デジタルまたは物理的な侵害のことです。 セキュリティー・インシデントには、ハッカーや不正なユーザーによる意図的なサイバー攻撃から、正当な許可ユーザーによる意図しないセキュリティー・ポリシーの違反まで、さまざまなものがあります。
最も一般的なセキュリティー・インシデントとしては、以下のようなものがあります。
ランサムウェア。 ランサムウェアは、悪意のあるソフトウェア(マルウェア)の一種であり、被害者のデータやコンピューティング・デバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックしたままかそれ以上悪い状態にすると脅迫するものです。 IBMの「2022年データ侵害のコストに関する調査」レポートによると、ランサムウェア攻撃は2021年から2022年にかけて41パーセント増加しました。
フィッシングとソーシャル・エンジニアリング。 フィッシング攻撃は、デジタルまたは音声のメッセージで受信者を操作し、機密情報の共有、悪意のあるソフトウェアのダウンロード、不適切な相手への金銭や資産の転送、またはその他の有害な行動を受信者に取らせようとするものです。 詐欺師は、信頼できる組織や個人(場合によっては、受信者が個人的に知っている人物)から送信されたように見えたり、聞こえたりするフィッシング・メッセージを作成します。
IBMの「2022年データ侵害のコストに関する調査」レポートによると、フィッシングはデータ漏洩被害の原因として2番目に多く、最もコストがかかるものです。 フィッシングは、最も一般的な形態のソーシャル・エンジニアリングでもあり、デジタル・セキュリティーの脆弱性ではなく人間の性質を利用して個人や企業の機密データや資産に不正にアクセスする攻撃の一種です。
DDoS攻撃。 分散型サービス妨害(DDoS)攻撃では、ハッカーが多数のコンピュータのリモート制御を取得して、標的組織のネットワークまたはサーバをトラフィックで過負荷状態にして、正当なユーザーがそのリソースを利用できないようにします。
サプライチェーン攻撃。 サプライチェーン攻撃は、サプライヤーのシステムから機密データを盗んだり、ベンダーのサービスを使用してマルウェアを配布したりするなどベンダーを攻撃することで標的組織に侵入するサイバー攻撃です。 2021年7月、サイバー犯罪者はKaseyaのVSAプラットフォーム (ibm.com外部へのリンク)の欠陥を利用して正当なソフトウェア更新を装ってランサムウェアを顧客に拡散しました。 IBMの「2021年サイバー・レジリエンスを備えた組織の調査」によると、サプライチェーン攻撃の頻度が増しているにも関わらず、この特殊なサイバー脅威に対するインシデント対応計画を準備している組織はわずか32%です。
インサイダーの脅威。 インサイダーの脅威には2種類あります。 悪意のあるインサイダーは、組織の情報セキュリティーを意図的に侵害する従業員、パートナー、またはその他の許可ユーザーです。 不注意なインサイダーは意図せずにセキュリティーを侵害する許可ユーザーです。セキュリティーのベスト・プラクティスに従わずに、脆弱なパスワードを使用したり、機密データを安全でない場所に保存したりします。
インシデント対応計画
前述のとおり、組織のインシデント対応の取り組みはインシデント対応計画に基づいて行われます。 通常、この計画を作成および実行するのはコンピューター・セキュリティー・インシデント対応チーム(CSIRT)です。このチームは、最高情報セキュリティー責任者(CISO)、セキュリティー・オペレーション・センター(SOC)、ITスタッフ、さらに経営陣、法務、人事、法令順守とリスク管理の各担当者など、組織全体の関係者で構成されています。
インシデント対応計画には、通常は以下のものが含まれます
インシデントのタイプによって独自の対応が必要となるため、CSIRTがタイプごとに異なるインシデント対応計画を作成することは珍しくありません。
IBMの「2021年サイバー・レジリエンスを備えた組織の調査」によると、ほとんどの組織がDDoS攻撃、マルウェアやランサムウェア、フィッシングに関する具体的なインシデント対応計画を用意しており、半数近くの組織がインサイダーの脅威に関する計画を用意しています。一部の組織では、インシデント対応サービスを提供する外部パートナーを活用して社内のCSIRTを補完しています。 このようなパートナーは、多くの場合リテーナーを担当し、インシデント管理プロセスの準備と実行を含め、インシデント管理プロセスのさまざまな側面を支援しています。
インシデント対応プロセス
ほとんどのIRPは同一のインシデント対応の汎用フレームワークにも従っています。このフレームワークはSANS Institute、米国標準技術研究所(NIST)、Cybersecurity and Infrastructure Agency(CISA)によって作成されたインシデント対応モデルに基づくものです。
準備。 このインシデント対応の最初のフェーズは継続的であり、業務中断を最小限に抑えつつ可能な限り迅速にインシデントの特定、封じ込め、復旧に対応できるように、CSIRTが常に最善の手順とツールを備えられるようにするものです。
CSIRTは、定期的なリスク評価によってネットワークの脆弱性を特定し、ネットワークにリスクをもたらす様々なタイプのセキュリティー・インシデントを定義し、組織に与える潜在的な影響に応じて各タイプに優先順位を付けます。 このリスク評価に基づいて、CSIRTは既存のインシデント対応計画を更新するか、新しいインシデント対応計画を策定することができます。
検知と分析。 このフェーズでは、セキュリティー・チームのメンバーが、不審なアクティビティーや潜在的な脅威がないか、ネットワークをモニターします。 デバイス・ログやネットワークにインストールされている各種セキュリティー・ツール(アンチウイルス・ソフトウェアやファイアウォール)から収集されたデータ、通知、アラートを分析し、誤検知をフィルター処理して、実際のアラートを重大度の高い順にトリアージします。
現在、ほとんどの企業では、セキュリティー・チームがSIEM(Security Information and Event Management)やEDR(Endpoint Detection and Response)などの1つ以上のセキュリティー・ソリューションを使用して、リアルタイムでセキュリティー・イベントをモニターおよび分析し、インシデントの検知と対応のプロセスを自動化しています。 (詳しくは下記の「インシデント対応テクノロジー」をご覧ください。)
コミュニケーション・プランも、このフェーズ中に実行されます。 CSIRTでは、対処している脅威や違反の種類を特定すると、インシデント対応プロセスの次の段階に進む前に、該当する担当者に知らせます。
封じ込め。 インシデント対応チームは、ネットワークに対する侵害がさらに拡大しないように対策を講じます。 封じ込めアクテビティーは、次の2つのカテゴリーに分けられます。
この段階で、CSIRTは、影響を受けたシステムと影響を受けていないシステムのバックアップを作成して、さらなるデータ損失を防ぎ、将来の調査のためにインシデントの法的証拠を収集することもできます。
根絶。 脅威を封じ込めた後、チームは完全な修復とシステムから脅威を完全に取り除く作業に移ります。 この作業には、マルウェアの破壊、無許可のユーザーや不正なユーザーのネットワークからの追い出しなど、脅威そのものを積極的に根絶し、影響を受けたシステムと影響を受けていないシステムの両方を参照して侵害の痕跡が残されていないか確認する作業が含まれます。
復旧。 インシデント対応チームは、脅威が完全に根絶されたと確信すると、影響を受けたシステムを通常の運用に戻して復旧します。 この作業には、パッチの導入、バックアップからのシステムの再構築、修復されたシステムとデバイスのオンライン再接続などが含まれます。
インシデント後の調査。 CSIRTはインシデント対応プロセスのすべてのフェーズを通じて、違反の証拠を集め、脅威を封じ込めて根絶するための手順を文書化します。 この段階では、CSIRTはその情報を調査してインシデントに対する理解を深めます。 そしてCSIRTは、今後この種のインシデントが発生しないように、攻撃の根本原因を突き止め、ネットワークへの侵入に成功した方法を特定し、脆弱性を解決します。
また、CSIRTでは、何が効果的だったのかを調査し、今後の攻撃に対するインシデント対応の取り組みを強化するためにシステム、ツール、プロセスを改善する機会を探します。 侵害の状況によっては、法執行機関がインシデント後の調査に関与する場合があります。
前述のセキュリティー・インシデントが発生した場合にCSIRTが実行する手順の説明に加えて、一般にインシデント対応計画ではセキュリティー・ソリューションの概要を示します。これらのソリューションはセキュリティー・データの収集と関連付け、リアルタイムでのインシデントの検知、進行中の攻撃への対応など、主要なインシデント対応ワークフローを実行または自動化するために、インシデント対応チームが構築すべきものです。
よく使用されるインシデント対応のテクノロジーには、以下のようなものがあります。
IBM Securityが提供するインシデント対応保持のためのサブスクリプションに登録して、データ・ブリーチへの対応を向上させるために組織で必要なセキュリティー保護を入手してください。 当社のIRコンサルタントのエリート・チームにお任せいただければ、信頼できるパートナーがインシデント対応にかかる時間を削減し、影響を最小限に抑え、サイバーセキュリティー・インシデントが疑われる前に復旧できるようサポートいたします。
脅威を検知するだけでは、セキュリティーの実現は道半ばです。 また、増大し続けるアラート、複数のツール、スタッフの不足に対してスマートなインシデント対応が必要です。 自動化やプロセスの標準化、そしてお持ちのセキュリティー・ツールとIBMの統合で、インシデント対応を加速させます。
ノートPCやデスクトップPCの台数の増加やリモート・ワーカーの増加は、先端の知識を持ったサイバー犯罪者にとって組織に侵入する機会が増えることとなりました。 サイバー犯罪者たちは、このような侵入口から気付かれないで深く入り込むことがあります。 IBMは、脅威インテリジェンスとプロアクティブな脅威ハンティングによる、すぐに使用可能な24時間365日対応の脅威防止、検知、および迅速な対応能力を提供し、最新の脅威を識別して修復します。
リモートワーク増加の傾向とエンドポイントの相互接続の増加は、悪意のあるアクティビティーの増加につながっています。 マルウェアやランサムウェアの脅威を自動的にブロックして隔離できる最新のAI駆動型のEDRを活用して、アナリストの負荷を軽減します。
IBMの上級セキュリティー設計者やコンサルタントと、バーチャルまたは対面による設計構想セッションを無料で3時間行い、サイバーセキュリティーに関するお客様の状況を把握し、対策の優先順位を決定することができます。
IBMの上級セキュリティー設計者やコンサルタントと、バーチャルまたは対面による設計構想セッションを無料で3時間行い、サイバーセキュリティーに関するお客様の状況を把握し、対策の優先順位を決定することができます。
インシデント対応の課題に対処する堅牢な戦略の構築
ランサムウェアは、身代金が支払われるまで被害者のデバイスとデータを人質にするマルウェアです。
インサイダーの脅威は、許可ユーザーが故意または偶然に機密データまたはネットワーク資産を公開する場合に発生します。
毎年、サイバーセキュリティーの専門家と修復担当者のIBM社内チームが、数十億ものデータポイントのマイニングを行い、現時点で最も緊急性の高いセキュリティーの統計と傾向を公開しています。
データ侵害のコストに関するレポートでは、財政的影響や、組織のデータ侵害の回避に役立つセキュリティー対策、侵害が発生した場合のコストの軽減に役立つ対策について詳しく紹介しています。