セキュリティインシデントレスポンス の概要

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • セキュリティインシデントレスポンス (SIR) を使用すると、初期分析から封じ込め、除去、復旧までのセキュリティインシデントのライフサイクルを管理できます。セキュリティインシデントレスポンスを使用すると、アナリストが実行するインシデント応答手順を包括的に把握し、分析主導型のダッシュボードとレポートでそれらの手順の傾向とボトルネックを理解できます。

    セキュリティインシデントレスポンス を使用して攻撃を阻止し、セキュリティインシデントレスポンス エクスプローラーでセキュリティアクティビティを確認する SIR プロセスについては、この 9 分間のビデオをご覧ください。

    サードパーティのサイバーセキュリティソリューションとのビルトイン統合と、ServiceNow Store にあるパートナーが開発した統合により、セキュリティの自動化とオーケストレーションが可能になり、効率的で正確なインシデント応答を実現できます。

    調査を保護し、セキュリティインシデントを非公開にするために、セキュリティインシデントレスポンス は、システムへのアクセスを特定のセキュリティ関連のロールと ACL に制限する手段を提供します。明示的に許可しない限り、セキュリティアドミニストレーター以外のユーザーによるアクセスを制限できます。
    注:
    IT システムアドミニストレーター [admin] は、ServiceNow ユーザーの代理操作を行うことができます。ただし、セキュリティインシデントレスポンスのアプリケーションアドミニストレーターロールを持つユーザーの代理操作を行う場合、アドミニストレーターは、そのロールによって付与された機能 (セキュリティインシデントやプロファイル情報など) にはアクセスできません。ナビゲーションバーのモジュールとアプリケーションへのアクセスも制限されます。さらに、セキュリティインシデントレスポンスのアプリケーションアドミニストレーターロールを持つユーザーのパスワードをアドミニストレーターが変更することもできません。

    セキュリティインシデントレスポンスの情報フロー

    セキュリティインシデントレスポンスでは、次に示す統合から調査、解決とレビューまでの情報フローを使用します。

    注:
    これはインタラクティブインフォグラフィックです。画像内のアイコンやステップをクリックすると、該当のプロセスやタスクについて詳しく知ることができます。
    セキュリティインシデントレスポンスの情報フローSIR 統合について、詳細はこの画像をクリックセキュリティインシデントの作成について、詳細はこの画像をクリック脅威インテリジェンスについて、詳細はこの画像をクリックSIR ワークスペースについて、詳細はこの画像をクリックMITRE 攻撃機能について、詳細はこの画像をクリックインシデント後のレビューアクティビティについて、詳細はこの画像をクリック

    ディスカバリー

    セキュリティインシデントは、次の方法で記録または作成されます。
    • セキュリティインシデントフォームから
    • 内部で生成されたイベント、またはアラートルールを介した外部モニタリングまたは脆弱性トラッキングシステムによって作成されたイベントから、または手動
    • 外部モニタリングまたはトラッキングシステムから
    • サービスカタログから

    分析

    セキュリティインシデントフォームには、選択したビュー (デフォルト、非 IT セキュリティ、セキュリティ ITIL など) に応じて、影響を受ける CI および影響を受ける CI グループの脆弱性、インシデント、変更、問題、タスクの任意の組み合わせを表示できます。このシステムは、米国国立標準技術研究所 (NIST) のデータベースまたはその他のサードパーティ製の検出ソフトウェアを相互参照することで、マルウェア、ウイルス、およびその他の脆弱性領域を特定できます。セキュリティインシデントが解決されたら、後で参照できるように、任意のインシデントを使用してセキュリティナレッジベース記事を作成できます。

    ビジネスサービスマップを使用して詳細な分析を実行し、感染している可能性のある他の影響を受けるシステムまたはビジネスサービスを特定します。

    封じ込め、除去、復旧

    脆弱性を監視して分析するときに、タスクを作成して他の部門に割り当てることができます。ビジネスサービスマップを使用して、影響を受けるすべてのシステム、ドキュメント、アクティビティ、SMS メッセージ、ブリッジコールなどに対して、タスク、問題、または変更を作成できます。

    レビュー

    インシデントが解決された後、クローズする前に他のステップを実行できます。インシデントの事後レビューを実行できます。ナレッジベース記事を作成すると、将来の類似のインシデントに役立ちます。重大なインシデントの場合は、インシデント後の解決策のレビューが必要になる場合があります。このレビューは、いくつかの形式で行うことができます。例:
    • 会議を実施してインシデントについて話し合い、応答を収集します。
    • インシデントのカテゴリまたは優先度ごとに設計された解決策レビューの質問のリストを作成して、インシデントを処理したチームに配布します。
    • インシデントマネージャーは、自分でレポートを作成して情報を収集できます。
    以下を含むインシデント解決策レビューレポートを自動的に生成できます。
    1. 実行された処理の概要
    2. タイムライン
    3. 発生したセキュリティインシデントのタイプ
    4. すべての関連するインシデント、変更、問題、タスク、CI グループ
    5. 解決策の詳細
    さらに、自動化されたセキュリティインシデント解決策レビューシステムが利用可能です。このシステムは、セキュリティインシデントに割り当てられたすべてのユーザーの名前を収集し、カスタマイズされたサーベイを送信して、インシデントの処理に関するデータを収集します。このデータは、生成されたセキュリティインシデントレビューレポートで確認でき、これを編集して最終ドラフトを作成できます。同様のデータをナレッジベース記事に追加して、得られた教訓と今後同様の問題を解決するためのステップを含めることができます。

    ストアでアプリを要求する

    ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。

    セキュリティインシデントレスポンスの用語

    セキュリティインシデントレスポンス では次の用語が使用されます。
    用語 定義
    有効 クローズまたはキャンセルステータスでないすべてのセキュリティインシデント。
    アドミンのロックダウン セキュリティインシデントレスポンス へのアクセスをセキュリティ関連のロールと ACL を持つ担当者に制限する機能。
    受信セキュリティ要求 新しい電子バッジの要求など、影響度の低いセキュリティデマンドのために送信された要求。
    インシデントの事後アクティビティの管理 セキュリティインシデントの作成元と処理のレビュー。最終的な成果物は、実行されたすべてのアクションとその理由が記録されたインシデントの事後レポートです。
    応答タスク 脅威に対するアクションを追跡するためにセキュリティインシデントに割り当てられたタスク。
    セキュリティインシデント算出の理解 事前定義された条件が満たされたときにレコード値を更新するために使用される算出。
    セキュリティインシデントツリーマップ ネストされた矩形の形式でセキュリティインシデントデータを階層的に表示するチャートタイプ。
    脅威のルックアップ マルウェアについてファイル、URL、および IP アドレスをスキャンするためにセキュリティインシデントカタログから送信される要求。
    脆弱性スキャン 脆弱性について影響を受けるリソース (サーバー、コンピューター、およびその他の構成アイテム) をスキャンするための、セキュリティインシデントフォームから開始される要求。