企業内で準備が求められる「インシデントレスポンス」とは？概要から対応フローまでを解説

企業の情報システム・セキュリティ担当ならできる限り影響を抑えたい「セキュリティインシデント」ですが、企業がサイバー攻撃の標的となると完全に脅威を防ぐことは難しい場合もあります。
このような中で、「発生したインシデントに対してどのような対策を講じるか」という「インシデントレスポンス」の考え方が浸透してきました。
この記事では「インシデントレスポンス」の概要から、企業のセキュリティ担当が対策する必要のある「インシデント」の具体例、インシデント発生時の対応フローなどを総合的に解説します。

 

「インシデントレスポンス」とは？

「インシデントレスポンス」とは、サイバー攻撃などの脅威に対して対応する手段をまとめたものです。
インシデントレスポンスを企業内に浸透させることで、実際にサイバー攻撃を受けた際の企業への損害を最小限に抑えて、企業ブランドなどに対するイメージ毀損被害などを最小限にすることができます。

 

組織強化に必要な「CSIRT」とは？

「セキュリティインシデントを扱う専門組織」として、企業内の人材を縦断的に集めて構成するのが「CSIRT」です。
組織内でCSIRTを立ち上げることで、以下のメリットが得られます。

(1)インシデント発生窓口の一本化
組織に関連するインシデント発生の連絡窓口を一元化することで、インシデントに関する全ての情報が集まるため、対応しやすくなります。企業内で「インシデントを検知」した方も、「どこに連絡すれば良いか」が分かりやすくなる点も利点です。

(2)インシデント対応ノウハウの集約・蓄積
組織内の全てのインシデントをCSIRTが担当することから、ノウハウを蓄積することが可能です。
「CSIRT」を運用していく時間が長くなるほど、インシデントに対して迅速に対応を行えるようになります。

(3)外部組織との連携
外部への連絡窓口になることで、外部機関と連携してインシデントや対処に関連する情報共有も実現できます。

中小企業で利用したい「SOC」とは？

SOCとは、セキュリティインシデントの「検知」を目的として、施策立案から実行までを網羅する組織です。
組織内のファイアウォールやネットワーク機器、業務アプリケーションのログを取得して、攻撃の兆候を早期段階で見抜くことを目的として活動しています。

 

「インシデント」の具体例

「インシデントレスポンス」と関連する用語について解説してきましたが、具体的にどのような「インシデント」があるのか知らない方も多いのではないでしょうか？
この項目では、企業で対応が必要な「インシデント」の具体例を見ていきましょう。

フィッシングサイト

実際の宅配業者・金融機関・ショッピングサイトなどを装った偽サイトを作成して、アカウントID・パスコード・クレジットカード番号などの個人情報を騙し取る手法です。

 

WEBサイトの改ざん

悪意のある第三者によって、管理者の意図しない変更が勝手になされること。
「コンテンツ内容が正しいものではなくなる」「不正プログラムが埋め込まれる」などの被害が多いです。

 

マルウェアサイト

特定のインターネットサイトにアクセスするだけで、PC/スマートフォンなどの情報機器がマルウェアに感染してしまうものを指します。

 

スキャン

攻撃対象のシステムに存在するセキュリティホール、攻撃対象そのものを探索することを指します。

 

標的型攻撃

特定の企業や組織に対して、金銭を要求したり機密情報を盗んだりといった明確な目的を持ったサイバー攻撃のことを指します。目的を達成するために巧妙な手口で攻撃してくることから、気が付きにくいのが特徴です。

 

DoS攻撃/DDoS攻撃

DoS攻撃は、アクセスが集中することでサーバがパンクすることを利用して、悪意を持ってサーバに大量のデータを送りつけるサイバー攻撃を指します。
このDoS攻撃を複数のIPから一斉に行うことで、さらに大きな負荷を掛ける攻撃方法がDDoS攻撃です。

 

インシデント発生時の具体的対応フローとは

実際に「インシデント」が発生した場合には、どのようなフローで対応を行うべきでしょうか。
必要な4つのフェーズに分けて解説します。

 

【フェーズ1 準備】インシデント対応計画を行う

(1)インシデント対応計画立案
はじめに、インシデント対応計画をしっかりと立案することが求められます。
具体的には、プログラムで想定されるインシデント対応を事前に予測しておき、発生する頻度の高いプログラムに優先度を付けて取り組むなど、計画を行っていくのです。
「どのようなイベントを防ぐべきか」「インシデントに対応しない場合のリスク」などを加味しながら、対策を行う計画を立てていきます。

(2)インシデント対応チーム設立
計画作成が完了したら、インシデント対応チームを設立します。
インシデントが発生した際に責任を持ってチームが動くために、担当者を決めることが重要です。
また、チームにはビジネス、技術などのさまざまなエキスパートを加えるのが理想となります。
インシデントの影響を受ける全ての部門のエキスパートが加わることで、企業にとって最もリスクが低いインシデント対応が計画できるのです。

 

【フェーズ2 検知•分析】インシデント確認とプライオリティ判別

インシデントの前兆や発生を知らせるアラームが鳴った時に、攻撃範囲・誤認知などを確認するためのインシデント分析を行います。
もし、インシデントの発生を確認した場合には、以降アクションログを記録し続けて、インシデントに関わる内容を詳細に文書化・記録する必要があるのです。
その後、インシデントにプライオリティを付けた後に、関連部署へ通知を行います。
その他にも、インシデントを正確に分析するために、豊富な経験と専門的知識を持つ人材確保も必要です。

 

【フェーズ3 封じ込め･根絶･復旧 】インシデントに対処する

フェーズ3では、事前に計画していたインシデント対応に基づいてインシデントの封じ込みを行います。
インシデントの封じ込めが必要な理由として、被害増加を防いだ上で、システム復旧などの対策を行う必要があるからです。
インシデント対応を計画する場合には、以下5つの指標を軸に策定を行いましょう。

(1)インシデントの種類と重大性

(2)影響を受ける資産の重要度

(3)戦略の実施に必要なリソース

(4)証拠を保存する必要性

(5)ビジネスプロセスに関わるシステムの重要性

 

【フェーズ4 教訓(事後対応)】インシデント対応･対処内容の検証と改善

フェーズ4では、インシデント対応・対処内容の検証と改善を行います。
インシデント発生後には、インシデント対応チーム、関連各所の人員を集めた上で検証を行うことが重要です。
また、規模が大きな攻撃であるほど、組織全体から検証会への参加を促して、多くの意見を得た上で改善策を考えることが求められます。
できる限り協力を行ってもらえそうな方を積極的に巻き込みながら、検証・改善を行うための会議を行いましょう。
検証・改善を繰り返すことで、組織のインシデント対応の質が向上して、新しい人材教育にも繋がります。

 

インシデントレスポンス対応への課題

【フェーズ1 準備】から【フェーズ4 教訓(事後対応)】まで、以下のような多種多様な人材の協力が求められます。

・社内規定/関連部署を認知している人材

・業務システムを熟知およびアナリストとしての知識を持つ人材

・発生したインシデントを網羅的に理解している人材

しかし、現実的には多くの企業で「人手不足」であり、人材は在籍していても別の業務対応があるためインシデントレスポンス計画策定に時間を割けないケースも十分に考えられるのではないでしょうか。

 

インシデントレスポンス導入で検討すべき効率化とは

「人手不足」などの問題を抱えている場合には、ツールを導入することで人材が抱えている作業負荷を軽減させることが求められます。
具体例として以下の作業にツールを導入することで、「手順簡略化」「自動化」「効率化」を実現させることが可能です。

(1)識別フェーズ

・定期的な脆弱性確認

・アンチウイルスソフトを活用して通常業務で発生しないイベントを検知

・インシデントレスポンス運用をアウトソーシングして、SOCベンダーから通知を受ける

 

(2)封じ込めフェーズ

・対象サーバーやPCを遠隔管理する

・脅威の削除を行う

 

(3)根絶フェーズ

・根本原因の追求を行う

・管理画面から一括で前代への感染調査を行う

 

(4)回復フェーズ

・リモートで対処を行う

・安全宣言を出すために必要なデータ取得を自動化する

 

「インシデントレスポンス」の実行に向けて、ツールを導入した効率化も検討しよう！

企業においてサイバー攻撃などの脅威を受けた時に、どのようなアクションを行うかを決めておくことで、被害を最小限に食い止めることが可能です。
多種多様な知識を持った方が参加することで、企業の「インシデントレスポンス」の質は向上していきますが、「人手不足」もあり、人員を確保できない現実問題もあります。自動化ツールを導入することで、人員に掛かる作業負荷を軽減することで「インシデントレスポンス」に参加しやすい体制を構築することが求められるでしょう。