セキュリティインシデント応答 (SIR) とは?

セキュリティインシデントレスポンスとは、サイバー攻撃の特定、優先順位付け、封じ込めを行い、攻撃の解決策と影響を管理するための戦略的アプローチです。

 Security デモ
ホーム Security Operations (SecOps) - エンタープライズセキュリティ - ServiceNow セキュリティインシデント応答 (SIR) とは? :ServiceNow
セキュリティインシデントレスポンスについて知っておくべきこと
SIR が対処するセキュリティインシデントの種類 セキュリティインシデントレスポンスが重要である理由 セキュリティインシデントレスポンスに関与する役割 セキュリティインシデントレスポンス計画とは? セキュリティインシデントレスポンス計画のステップ ServiceNow によるセキュリティインシデントレスポンスの自動化

サイバー攻撃は、開始当初はごく小規模ですが、雪だるま式に拡大します。 残念ながら、脅威が拡大する前の段階から十分にこれらを抑制するための適切なリソースやプロセスを導入している企業は、極わずかです。 サイバー攻撃が小規模なインシデントから雪だるま式に大規模なビジネスリスクへと拡大すると、壊滅的な影響が生じる恐れがあります。 ある調査では、企業が侵害を検出するまでに平均で 128 日かかるということが明らかになっています。 これは 4 か月に相当し、この間に攻撃者は対象としている企業のデータを盗み、システムに被害を与え、事業運営能力を損なわせることが可能です。

「セキュリティインシデント応答」(SIR) は、このようなネットワーク侵入がビジネスに影響を及ぼす前に、企業が対応できるようにすることを目的としています。 SIR はさまざまな種類のサイバー攻撃やセキュリティインシデントに対処できる構造であり、セキュリティオペレーションセンター (SOC) とインシデント応答チームは、SIR により確立された実証済みの拡張可能なワークフローと手順を使用して、ビジネスへの影響を最小限に抑え、復旧時間を短縮することができます。

 
すべて展開 すべて折りたたむ SIR が対処するセキュリティインシデントの種類

セキュリティインシデント応答は、より一般的な「インシデント応答」イニシアチブのサブカテゴリであり、セキュリティに関連しない問題にも対応します。 SIR は特に、企業のデジタルシステムに対する悪意のある攻撃に対処することを目的としています。 これには次のセキュリティインシデントカテゴリが含まれます (ただしこれらに限定されません)。

コンピューターシステム侵害

コンピューターシステム侵害は「データ侵害」、「IT セキュリティ侵害」とも呼ばれます。不正な攻撃者が企業のコンピューターデータ、ソフトウェアアプリケーション、ネットワーク、デバイスにアクセスできるようになった時点で発生します。

システム、ソフトウェア、データの不正な変更

組織のネットワークにアクセスできる社内外の攻撃者は、さまざまなツール、アプリケーション、データ、その他の機密性の高いシステムの改ざんを試みます。

機密性の高いデータが保存されている機器の紛失または盗難

暗号化されていないハードウェアは、不正な人物の手に渡ると深刻な脅威となる可能性があります。 ビジネスデバイスの紛失または盗難が発生した場合に備え、企業はセキュリティリスクに対処するための計画を策定しておく必要があります。

DoS (サービス拒否) 攻撃

目的がデータを盗み出すことではなく、混乱を引き起こすことであるサイバー攻撃があります。 DoS 攻撃は攻撃対象のネットワークに大量のトラフィックを送信することで、キャパシティを過負荷状態にして強制的にシャットダウンさせます。

IT リソースの本来の用途の妨害

サイバー犯罪者が企業のシステムにアクセスし、IT リソースやツールの乗っ取りを試みます。多くの場合、これはランサムウェア攻撃の踏み台とされます。

ユーザーアカウントの侵害

攻撃者がアクセスを獲得する最も簡単な方法は、承認されているユーザーアカウントを乗っ取ることです。 侵害されたアカウントの検出はとりわけ困難です。
自動化がサイバーセキュリティの課題に応える IT セキュリティの自動化、オーケストレーション、コラボレーショによって極めて深刻なサイバー脅威から組織を守る方法をご紹介します。 ダウンロード セキュリティインシデントレスポンスが重要である理由

雪だるま式効果のように、セキュリティインシデントが対処されず収拾がつかない状態になると、ほとんどの場合でその状況は「悪化」していきます。 このようなインシデントは、ユーザー資格情報の紛失や企業データと顧客データの侵害から、費用がかかり評判を損なうダウンタイムの発生、システム全体の停止までさまざまです。 セキュリティインシデント応答では、セキュリティインシデントが悪化する前に検出して優先順位付けするための適切なリソース、ツール、プロセスが SOC チームに提供されます。

SIR は、ベストプラクティス、自動化された共同ワークフロー、脅威応答の各フェーズに対応した段階的な脅威緩和計画を確立することによって、可能な限り早急に侵入を阻止し、その侵害を封じ込めて排除した後で迅速に復旧するための、実証済みで拡張可能な応答戦略を企業に提供することを目的としています。

セキュリティインシデント応答は、データ侵害の可能性がある事象から迅速に復旧できるようにする他に、企業が規制コンプライアンス基準 (医療サービスや金融サービスなどの業界内で法律により義務付けられている基準など) に準拠できるようにします。 最後に、SIR は、侵害が発生してしまうと恒久的な被害を受ける可能性があるブランドの評判を保護します。
セキュリティインシデントレスポンスに関与する役割

セキュリティインシデント応答には企業内のすべてのレベル (IT、リスク、HR、法務など) のタスクが含まれていることがありますが、その責任のほとんどはインシデント応答チームが担います。 インシデント応答チームは通常、以下の役割で構成されています。

インシデント応答マネージャー

インシデント応答マネージャーは、インシデント応答を主導して、対策を監督し、脅威の優先順位付けを行って、応答チームと社内のその他の組織との連絡役となります。 セキュリティインシデント応答計画の効果が発揮されるには、マネジメントからのサポートが不可欠です。このために、インシデント応答マネージャーは計画を実行する前に、経営幹部からの承認を確保しておく必要があります。

セキュリティアナリスト

セキュリティアナリストは、インシデント発生中の「実働部隊」と言えます。 セキュリティアナリストは、誤検知の可能性があるインシデントの中から実際のインシデントを特定し、インシデントの発生時刻、場所、詳細を確認して、侵入者が残した形跡を突き止め保持するためのトレーニングを受ける必要があります。

脅威リサーチャー

脅威リサーチャーは、侵害の重大度と範囲の定義を試みます。 企業のシステムから抜き取られた可能性がある機密情報をインターネット上で検索します。 また、過去のインシデントのデータベースを構築して、企業の脅威インテリジェンスを強化する支援も行います。

これらの各職位は、セキュリティインシデントへの対応とインシデントからの復旧において重要な役割を果たします。 このような業務の一部を外部委託する企業もありますが、チームを社内で編成する場合でも、外部に委託する場合でも、インシデント応答チームは企業がセキュリティインシデント応答計画に正しく沿っているようにするために不可欠な存在です。
セキュリティインシデントレスポンス計画とは?

セキュリティインシデント応答が効果的であるためには、対象のセキュリティインシデントが発生するよりもかなり前の段階で、インシデント応答を完全に準備し、実施できる状態にしておく必要があります。 「セキュリティインシデント応答計画」(SIRP) は、企業のセキュリティインシデント応答の各段階で実施する必要がある対策の詳細を明確に記述した正式な一連の文書です。 SIRP はまた、企業全体におけるセキュリティ応答の役割と責務を概説し、これらの役割が、確立されている応答プロトコルに従って伝達し、やり取りする方法を示している必要があります。

SIRP は、攻撃の早期の時点という最も重要な時期に迅速に導入するものであるため、用語や記述が明確であいまいさがなく、理解しやすいものでなければなりません。 大抵の場合、SIRP では一連の「インシデント応答 Playbooks」が含まれているか、これらの Playbook が参照されています。
セキュリティインシデントレスポンス計画のステップ

SIRP は突き詰めて言えば応答チームが従うべき一連の指示です。SIRP によって応答チームは迅速かつ正確に脅威を特定し、効果的に対応して、セキュリティインシデントの影響を低減できます。

企業が応答戦略をどれほど迅速に導入できるかが重要であるため、ほとんどの SIRP は次の 6 つの主な段階からなる実証済みの形式に従っています。

1.準備

インシデント応答の最初のフェーズは、IT、SOC、応答チームのその他のメンバーが、発生する脅威に対処できるように準備することを目的としています。 SIRP で恐らく最も重要なこのステージでは、従業員の応答トレーニングを検討し、適切な資金と承認を確保して、文書化の標準を確立する必要があります。 多くの企業では、関係者全員がその責務を理解できるように疑似訓練を行います。

2.識別

侵害はさまざまな領域から発生する可能性があるため、潜在的な脅威がセキュリティインシデントとして確定される状況へと悪化する前に、脅威を特定して検証する手順を応答チームが利用できることが重要です。 特定段階では、事象が発生した時点、どのように検出されたか、影響を及ぼす可能性がある領域、現行の運用に対する影響の程度、侵入口が判明しているかどうか、といった点を確認できる必要があります。

3.封じ込め

脅威が完全に検証されたら、次の段階はシステム内への脅威の拡大を防止することです。 封じ込めは重要なステップであり、根絶段階へ直接移るために省略することがあってはなりません。マルウェアを削除するだけでは、今後の同様の攻撃に対してネットワークを強化するために使用できる証拠を収集する機会が失われます。 侵害されたシステムの接続を切断して隔離し、可能であればバックアップシステムを展開して、事業運営に損害が発生することを防ぎます。 すべてのシステムにパッチを適用し、リモートアクセスプロトコルを見直し、すべての管理アカウントでログイン資格情報を変更します。

4.根絶

脅威の封じ込めが完了し、すべての関連データが収集されたら、マルウェアをシステムから安全に除去できます。 すべてのマルウェアを排除することが重要です。攻撃の痕跡を残す不完全な一掃では、データへの不正なアクセスが可能になってしまい、将来マルウェアが再度入り込む可能性があります。

5.見直しと改善

脅威の緩和はもちろんのこと、セキュリティインシデントの影響がビジネスに及ぶことがないようにシステムを強化することも大切です。 インシデントに正しく対処したら、応答チームのメンバーやその他のステークホルダーと話し合い、この経験から得られた教訓を文書にまとめます。 このような教訓を適用することで、将来のインシデントに備えてシステムを準備し、優先順位付けと応答の両方を最適化できます。
ServiceNow Security Operations の価格設定 ServiceNow SecOps の料金見積もりについてお問い合わせください。既存のセキュリティツールをつないで、脆弱性の優先順位付けと修復を行って、セキュリティインシデントに迅速に対応できるようになります。 見積もりを依頼 ServiceNow によるセキュリティインシデントレスポンスの自動化

セキュリティの脅威が発生する頻度、その複雑さ、巧妙さの高まりに伴い、「セキュリティインシデント応答」は「競争上の差別化要因」から「重要なセキュリティ基準」になりました。 しかし、1 分 1 秒を争う状況になった時、発生するあらゆるセキュリティインシデントを完全に調査し、検証して、対応するための機能を持っていないということにセキュリティチームは気づかされます。 そのソリューションを ServiceNow が提供します。

ServiceNow セキュリティインシデントレスポンスは、高度な自動化機能を適用し、セキュリティ運用データ、インサイト、レポートをシングルプラットフォームに一元化することで、IT セキュリティ調査、応答、復旧の標準的なアプローチを大きく変革します。自動優先順位付け機能、トリアージ、データ分析、その他の重要な応答タスクで応答チームを支援し、チームをスケールアップします。さらに、リアルタイムのインサイト、詳細なプレイブック、ネットワークの完全な可視化によってより一層セキュリティ体制が強化されます。

ServiceNow でのセキュリティインシデント応答アプローチの最適化の詳細をご覧になり、サイバー攻撃が発生する前に阻止してください。
SecOps の開始 脅威をより迅速に特定し、優先順位を付けて対応します。 SecOps の詳細を見る お問い合わせ
リソース 記事 ServiceNow とは Security Operations (SecOps) とは? サイバーセキュリティとは? アナリストレポート IDC Infobite:セキュリティ、リスク、コンプライアンス データシート セキュリティインシデントレスポンス Security Operations Security Operations 用パフォーマンスアナリティクス 電子書籍 自動化によるセキュリティの強化 サイバー脅威を簡単に抑制 SecOps + AIOps でサイバーの脅威を阻止 ホワイトペーパー Security Operations の最新化 A Prudent Approach to Major Security Incidents (入念なアプローチによる重大なセキュリティインシデントの防御) セキュリティの脅威に迅速に対処するためのユースケース