Cyber risk resources
How to Build an Effective Incident Response Team

効果的なインシデント対応チームを構築する方法

サイバー セキュリティ インシデントの処理は、特に原因、修復、および影響の程度に関する不確実性により、ストレスがかかる可能性があります。しかし、企業は多くの場合、利用可能なあらゆる情報を使用して攻撃に即座に対応する必要があります。そうしないと、より大きな損失を被るリスクがあります。このストレスは、企業が何をすべきか、誰に電話すればよいかわからない場合に激化し、無力に見え、損失を被りやすくなります。

サイバー緊急事態に備えるために、企業は、迅速かつ確実に行動するための技術的スキルを備えたインシデント対応者のチームに投資する必要があります。インシデント対応チームは、侵入の分析、影響の封じ込め、根本原因の調査、問題の修復など、タイムリーかつ組織的な方法でインシデントの影響を軽減する責任があります。

構造と形態

組織のニーズと優先順位に応じて、インシデント対応チームは、内部と外部の両方の関係者を含むさまざまな構造を取ることができます。また、インシデントの性質によって責任範囲が異なる場合があります。たとえば、組織は独自の専用のセキュリティ オペレーション センター (SOC) を設定できます。これは、継続的な監視とインシデントの処理を担当する IT 担当者とセキュリティ担当者で構成される内部部門です。企業は、インシデントのトリアージ サービスまたは高度なレベルのデジタル フォレンジックと危機管理の専門知識を提供するために、必要に応じてアクティブ化することを約束する外部パートナーを持つこともできます。

カバレッジと可用性を確保するために、多くの組織、特に大規模なグローバル組織は、インシデント対応チームを北米、ヨーロッパ、APAC などの複数の地域に配置し、セキュリティ インシデントが発見されるたびにアクティブなインシデント対応チームを利用できるようにすることを選択しています。このようなグローバルなインシデント対応チームがセットアップされたいくつかの企業で働いた経験から、ローカルでのプレゼンスの強みが非常に貴重であることがわかりました。

ただし、遠く離れた複数のタイム ゾーンで活動するチームは、適切なコミュニケーションとコラボレーションの取り組みを採用する必要があります。インシデントのコラボレーションと引き継ぎのための確立された標準的な運用手順による情報共有と透明性は、複数地域のインシデント対応チームが効果的に機能するために非常に重要です。グローバルに存在しない組織の場合、インシデント対応チームは、必要に応じて 24 時間年中無休で対応できるようにシフト制で作業する場合があります。それ以外の場合は、Blackpanda のような地元を拠点とする専門のインシデント対応企業と提携または契約する方が、多くの場合、費用対効果が高くなります。

役割と責任

構造と形態が異なるため、インシデント対応チームは複数の異なる役割で構成される場合があります。以下は、効果的なインシデント対応チームの主要メンバーとその責任のリストです。サイバー インシデントの性質に応じて、ロールの追加または削減が必要になる場合があります。

  1. すべての活動を効果的に主導および監督し、重要な決定や指示を作成または承認するシニア/エグゼクティブマネジメント;

  2. インシデント マネージャーは、インシデント対応プロセス全体を管理および調整し、必要なタスクを特定して適切に割り当て、重要な情報と証拠が適切に取得、文書化、分析、報告され、必要に応じて適切なチャネルにエスカレートされるようにします。

  3. 必要に応じて、コミュニケーションのタイムリーな普及、メディア関係、規制順守、人事および従業員の調整 (特に内部従業員がインシデントの一部であることが判明した場合)、法的な代理人、およびあらゆる問題に関するガイダンスを含む、それぞれの機能サポートを主導する部門リーダー発生する可能性のある責任問題。

  4. テクニカル リード/リカバリ マネージャー: インシデント マネージャーと緊密に連携し、通常は現場での調査を主導し、技術的なタスク、特に特定段階で侵害された資産の最初の範囲を特定することに重点を置きます。

  5. セキュリティ アナリストおよびリサーチャー: テクニカル リードと緊密に協力してサイバー インシデントを調査し、範囲の特定、被害の封じ込め、根本原因の分析、復旧の支援、インシデント レポートへのすべての詳細の文書化に重点を置きます。また、継続的な監視を行い、脅威インテリジェンスを収集することもあります。

メンバーがインシデント対応チームで果たす役割に関係なく、全員が「インシデント対応の準備」と「教訓」のフェーズに積極的に関与して、チームが組織のポリシー、コミュニケーション計画、ツール、およびツールを確実に理解できるようにすることが不可欠です。利用可能なリソース。

さらに、チームの主要メンバーには、メンバーが不在の場合にインシデント対応チーム全体が常にシームレスかつ効果的に機能するように、補助者または代理人を配置することをお勧めします。

スキルと経験

多くの場合、さまざまなサイバー インシデントにさまざまなレベルのスキルと経験が必要です。インシデント対応チームの特定のスキルには、デジタル フォレンジック機能、マルウェア分析、リバース エンジニアリング、データ分析、および効果的なコミュニケーション、コラボレーション、文書化などのソフト スキルが含まれる場合があります。

効果的なインシデント対応チームを構築するには、必要なスキル セットに関する適切なトレーニングが不可欠です。テーブルトップ演習とレッドチームの攻撃シミュレーションは、潜在的なチームトレーニングに不足しているギャップや重要なスキルを特定するための優れた方法です.また、頻繁なトレーニングにより、チームは最新のリスクとセキュリティの傾向について最新の状態に保たれ、新しい脅威アクターや攻撃戦略と戦うためにチームをしっかりと支えます。

さらに、適切なツール セットをチームに提供することで、パフォーマンスと機能も強化されます。同様に、チームがツールの最適な使用方法を完全に理解できるように、利用可能なツールに関する実践的なトレーニングを提供することを強くお勧めします。組織に適した構造、確立された適切な役割、専門的なスキルとツールのトレーニングが整っていれば、効果的なインシデント対応チームを構築できます。