Cyber risk resources
How to Create an Incident Response Plan

インシデント対応計画の作成方法

サイバー攻撃は年々大幅に増加しており、今ではかつてないほど複雑になっています。ビジネスを脆弱性から守るためには、特に評判、収益、顧客関係が危機に瀕している危機の際に有効化できるサイバー インシデント対応計画を整備しておくことが重要です。

消防訓練と同じように、インシデント対応は、プレッシャーのかかる状況でも第二の性質となるように、積極的かつ定期的に実践する必要があるビジネス プロセスです。

インシデント対応計画は、攻撃の軽減と回復の指針となるように整備する必要があります。この計画は、系統的でより組織化されたアプローチのために、SANS Institute および NIST が規定したプロセスに従う必要があります。

ただし、すべてのサイバーセキュリティ インシデントの性質と重要性が類似しているわけではないことに注意する必要があります。攻撃の複雑さと被害の規模から厳格な調査が必要な場合もあれば、単にログインの失敗や孤立したケースである場合もあります。

とはいえ、会社は、考えられるイベントとインシデントの種類のリストを、各イベントの詳細な調査がいつ必要になるかについての詳細とともに保持する必要があります。それに応じて、インシデント対応プロセスを変更する必要があります。

サイバーインシデント対応計画はどのように作成しますか?

インシデント対応プロセスの各ステップについて詳しく説明する前に、SANS Institute と NIST によって作成された、インシデント対応を実施する際に考慮しなければならないフェーズを確認してください。

SANS研究所:

  1. 準備
  2. 身元
  3. 封じ込め
  4. 根絶
  5. 回復
  6. 学んだ教訓

NIST:

  1. 準備
  2. 検出と分析
  3. 封じ込め、根絶、回復
  4. 事件後の活動

最初から、SANS Institute と NIST は明らかに類似した要素と秩序を持っています。唯一の違いは、NIST がいくつかの要素を 1 つのステップにまとめたことです。それにもかかわらず、両方のプログラムは、以下に概説する効果的なインシデント対応計画を構築するための重要な考慮事項に関するガイダンスを提供します.

準備

「準備」は、将来のインシデントに備えて IR の取り組みを強化するだけでなく、最初に対応が必要になるリスクを大幅に軽減します。この段階は非常に重要であり、組織が可能な限り準備を整えるために多くの努力を払う必要があります。

考慮すべきいくつかの (網羅的ではない) 質問:

  • セキュリティ インフラストラクチャを構成する要素は何ですか?
  • あなたの対応チームには誰がいますか?
  • 意思決定者は誰ですか?
  • メディア、法務、人事、または IT システムの専門家が必要ですか?
  • 外部当局への報告義務はありますか?もしそうなら、誰がいつ彼らと連絡を取るのですか?
  • 十分な社内スキルを持っていますか、それとも信頼できるパートナーが支援を必要としていますか?
  • 潜在的な刑事または民事訴訟で使用するための証拠を取得できますか?

資産を優先します。これには、重要な資産だけでなく、システム、ネットワーク、サーバー、およびアプリケーションのリストも含まれます。それらの価値を評価し、重要性に基づいてランク付けします。次に、これらのアセットのトラフィック パターンを観察します。標準を決定し、不一致に注意してください。

ネットワーク アクセス、ログイン ガイドライン、強力なパスワードの使用、ファイル共有、電子メールやその他のプラットフォームへのアクセスなど、さまざまな状況で従う適切なポリシーと標準を設定します。

さまざまなタイプのケースとインシデントを管理する方法について戦略を立てます。優先度、重大度、および組織への影響に基づいて、考えられる各イベントをランク付けします。各イベントに関するメモを提供し、解決方法、修正するために実行する手順、および使用するツール (存在する場合) を指定します。

関係するすべての利害関係者の間でコミュニケーション計画を立てます。個々の連絡担当者に責任を割り当て、使用するコミュニケーションの形式、連絡が必要な時期、およびインシデントの種類を割り当てます。法務、人事、および調達チーム (外部パートナーを含む) を含めて協力し、要求をより迅速かつ効率的に進めることを忘れないでください。

すべてのイベントを適切に文書化し、最新情報を提供します。チェックリスト、緊急時に回答する質問、指示、およびその他の重要な情報に関する情報を含めます。定期的なサイバー衛生チェックと更新を実施します。

アクセス制御、ツール、およびトレーニングを提供します。インシデント対応チームが危機を緩和するために必要なすべてのアクションを実行できるように、会社のネットワークとシステムへの特定のアクセス権をインシデント対応チームに付与する必要があります。同様に、適切なサイバー インシデント対応ツールとトレーニングを利用して、インシデント中に発見される問題を修正するための十分な準備が整っている必要があります。

「組織のネットワークは、文字通り何百万もの『イベント』をホストします。秘訣は、許可されていない、またはシステムやビジネスに悪影響を与えるイベントを識別できるようにすることです。」

識別(または検出と分析)

組織のネットワークは、文字通り何百万ものイベントをホストします。これらには、システムへのログオン、ソフトウェアの更新、確立されたネットワーク接続が含まれます。これらのイベントの 99.9% 以上は、通常、環境の正常な動作です。

その秘訣は、許可されていない、またはシステムやビジネスに悪影響を与えるイベントを特定できるようにすることです。これらは「インシデント」と呼ばれ、インシデントは調査する必要があります。

インシデントを未然に防ぐためには、3 つの基本的な手順が不可欠です。まず、定期的かつ厳格な監視を遵守する必要があります。これは、異常や潜在的なセキュリティ リスクを検出して報告するのに役立ちます。セキュリティ イベントの監視には、ログ ファイル、エラー メッセージ、侵入検知システム、およびファイアウォールの定期的な確認が含まれます。

攻撃開始時の主な目的は、侵害の根本原因を特定することです。インシデントに関するすべての必要な詳細を収集します。誰が、何を、いつ、どこで、どのように発生したかを調べます。ユーザー アカウント、システム管理者、ネットワーク管理者、SIEM、ログなど、さまざまなエントリ ポイントとインジケーターからチェックします。

インシデント チケットを送信して、適切な当局にインシデントを警告し、報告します。提供されたインシデント タイプに基づいてインシデントを分類します。イベントの範囲、特にシステムへの損傷 (ある場合) を分析して記録します。

封じ込め

これは、SANS インスティテュートと NIST が最も異なるインシデント対応処理プロセスのステップですが、両方の重要な焦点は、損傷を封じ込め、すべての脅威を根絶し、システムをオンラインに戻すことです。

損害を封じ込めることの一部は、インシデントがさらにエスカレートしないようにすることです。これには、感染したアカウント、サーバー、またはネットワークを他の環境から隔離することが含まれます。ファイルとシステムのバックアップ。損傷した材料を一時的に修復します。これらとは別に、すべての証拠を破壊から安全に保つことが重要です。

多くの利害関係者が影響を受ける可能性があるため、封じ込めの管理は難しい場合があることに注意してください。そのため、意思決定者は、この段階で重要な選択を行うための情報と権限を与えられる必要があります。通常の運用を継続するリスクと、脅威を軽減するために必要なアクションとのバランスを考慮する必要があります。

根絶

識別と封じ込めに続いて、インシデントの根本原因と、攻撃者を混乱させて環境から排除する最善の方法を判断するのに十分な情報が必要です。優先事項は、悪意のある活動やコンテンツを含むすべての脅威を無力化して削除することです。その後の攻撃から保護するために、システムのハード ドライブを完全に再イメージ化することを検討してください。

回復

影響を受けるシステムまたはプラットフォームは、インシデント後に適切な動作順序に復元する必要があります。接続されているシステムまたは関連するシステムを調べて、侵害の兆候がなく正常に動作していることを確認します。

セキュリティの専門家は、混乱を最小限に抑え、効率を最大化するために、これらの取り組みをビジネスおよび運用チームと調整する必要があります。最後に、回復には、将来の脅威に対抗するためのより高度な監視および検出技術を確立する必要があります。

サイバー インシデント対応の教訓 (またはインシデント後の活動)

インシデント処理プロセスの最後のステップには、インシデントの準備、管理、対処方法から、インシデント全体の評価が含まれます。 Blackpanda では、サイバー インシデント対応レポートを通じて、この段階でクライアントをサポートします。多くの企業は残念ながらこのプロセスを省略していますが、プロセス全体での成功と失敗を認識することは絶対に不可欠です。これにより、ビジネスに直接適用できる優れたサイバー インシデント対応のケース スタディが得られ、将来のインシデント対応計画に役立つからです。

体系的な反省は、維持すべきものとともに、将来に向けて改善すべき領域を浮き彫りにします。この最後のステップはトレーニングとして機能し、そこから現在のインシデント対応計画と、すでに遭遇したインシデントのリストを更新するために使用できます。

組織と利害関係者は、このインシデントから何を学びましたか?事件は未然に防げたのでしょうか。正しく処理されましたか?将来、そのようなインシデントを検出して管理するための適切な人員とリソースがありますか?

必要に応じて、取締役会、株主、報告機関向けのブリーフィングを準備し、常に覚えておいてください。

すべてをまとめる

サイバー攻撃は、ビジネスの存続期間中に確実に発生するようになりました。組織が進化するサイバー脅威に対して適切な回復力を構築できる唯一の方法は、準備です。

効果的なインシデント対応計画とは、NIST および SANS フレームワークに基づいたものです。侵害前および侵害後のサイバーセキュリティの重要なステップには、準備、識別、封じ込め、根絶、回復、および侵害後の学習が含まれます。

アジア随一のデジタル フォレンジックおよびインシデント レスポンス プロバイダーとして、Blackpanda は、特定のビジネスや業界に合わせたインシデント レスポンス プランの構築をサポートし、アジア地域における脅威への取り組みに重点を置いています。