2023.03.13 04:14:13
情報セキュリティ
インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!
インシデント対応とは、マルウェア感染、DDoS攻撃、フィッシング、不正アクセスといったインシデント(情報セキュリティ事故)が発生した際に行う、被害を最小限にするための一連の対応のことです。
本記事では、インシデント対応の4つのステップ(①検知・分析、②初動対応・封じ込め、③根絶・復旧、④事後対応)についてわかりやすく解説した上で、インシデント対応計画の策定やCSIRTの確立など、準備段階で必要な事項についても紹介します。「インシデント対応のイメージがつかめない」、「対応時の手順がわからない」、「インシデント対応体制が整備できていない」といったお悩みがある方々の参考になれば幸いです。
そもそもインシデントとは?
インシデントの例
インシデント対応とは?
①検知・分析
②初動対応・封じ込め
③根絶・復旧
④事後対応
インシデント対応フロー図
インシデントの検知
インシデントの分析
報告・連絡
封じ込め策の実施
フォレンジック調査の実施
インシデントの根絶
復旧措置
インシデント対応の評価と再発防止策の検討・実施
セキュリティ対策の改善・強化
証拠の保管
インシデント対応計画やインシデント対応マニュアルの策定
インシデント対応計画に含めるべき主な内容
インシデント対応体制(CSIRT等)の整備
インシデント検知・分析ツールやソリューションの導入
オープンソースインテリジェンス(OSINT)の利用
ダークウェブの調査・監視
IPAの資料
JPCERT/CCの資料
最後に
マキナレコードのインシデント対応支援サービス
インシデント対応とは?
そもそもインシデントとは?
インシデント(情報セキュリティインシデント/サイバーインシデント)とは、情報セキュリティリスクやサイバーセキュリティリスクが発現・現実化した事象のことを言います。「情報セキュリティ事故」などと呼ばれる場合も多いです。
インシデントの例
| インシデント例 | 概要 |
| マルウェアやランサムウェアへの感染 | 自社ネットワーク上でマルウェア感染が起きると、情報窃取やファイルの改ざんといった被害につながる恐れがあります。またランサムウェアに感染すると、システムやファイルを暗号化され、身代金を要求される場合があります。 |
| DDoS攻撃 | DDoS攻撃とは、複数のPCを使ってサーバーに大量のデータ(接続リクエストなど)を送りつける攻撃のことを言います。DDoS攻撃を受けると、システムがダウンしてしまう恐れがあります。 |
| フィッシング | 実在の組織(企業や金融機関、政府機関など)を装って送りつけられるフィッシングメールを従業員が開いてしまうと、ユーザー名やパスワードなどの認証情報が盗み取られる場合があります。 |
| 不正アクセス | 権限を持たない人物による、システムやアカウント、データなどへの不正なアクセスのことを指します。情報漏洩やWebサイトの改ざんなどの被害につながる恐れがあります。 |
| インサイダー脅威 | 悪意を持つ従業員が、重要な情報を盗み出すなどの行為に及ぶ可能性があります。また悪意のない従業員であっても、不注意により何らかのインシデントの原因をつくってしまうことがあり得ます。 |
※関連記事:ランサムウェアに感染したら?被害を抑える対策とは?
インシデント対応とは?
インシデント対応(レスポンス)とは、上記のようなインシデント発生時・発生後に行う、被害を最小限にするための対応のことです。
具体的にどのような措置を講じるのかや、インシデント対応を行うためにどんな準備をしておくべきかについては、以下で詳しく解説していきます。
インシデント対応フロー
インシデント対応は大まかに言うと、以下の4つのステップ(①検知・分析、②初動対応・封じ込め、③根絶・復旧、④事後対応)で構成されます。なお、ここで紹介する対応の流れはあくまで一例であり、措置が前後する場合もあります。
①検知・分析
・セキュリティ機器/システムやSOCチームなどによる異常の検知
・外部から報告を受けて「認知(検知)」するパターンも
・発生事象に応じた組織内外との連携(システム運用の委託先や専門ベンダーを含む)
・インシデントのトリアージ(影響分析・対応優先度の判断)
②初動対応・封じ込め
・内外の関係者への連絡
・システム停止やネットワーク遮断など、被害極小化のための暫定対応(初動対応)の実施
・フォレンジック調査の実施
③根絶・復旧
・恒久対応の実施と、サービスやシステムの復旧
④事後対応
・インシデント対応の評価と改善
・再発防止策の検討/実施
・セキュリティ対策の改善・強化
・証拠の保管
インシデント対応フロー図
以下の対応フロー図は、Eコマースサイトに悪意あるコードが仕込まれていることが発覚した場合の対応例を示したものです。
(英国国家サイバーセキュリティセンターのサイトを参考に作成)
では次に、4つのステップそれぞれについて詳しくみていきましょう。
①インシデントの検知・分析
インシデントの検知
インシデントへの対応は、インシデントの疑いのある事象を検知した時点で開始されます。
インシデントの検知には、主に3通りのパターンがあります。
✔️技術的検知:あらかじめ設置したセキュリティ機器やシステム(アンチウイルス、IDS、SIEM、EDRなど)による異常の検知や、SOCチーム(※)による検知(ログ監視等からC&Cサーバー等との不正な通信を発見)など。
✔️従業員による検知:保守作業の中での異常の発見や、一般社員による不審なEメールの発見、カスタマーサービス担当者による顧客情報窃取の発見、など。
✔️外部からの通報による認知:外部組織(インシデント調査や脅威情報の調査などを行う組織など)や顧客、取引先、政府機関、一般市民等からインシデントに関する通報を受領することで認知(検知)。このような通報に備えて、連絡先窓口の設置が必要。
※SOC(ソック)とは「Security Operation Center」の略で、企業などの組織において、情報システムに対する脅威の監視や分析などを行う役割や専門チームのことです。
インシデントの分析
異常を検知したら、次に分析のフェーズに入ります。この段階では、封じ込めに必要な処置を判断するための技術的分析などを行います。具体的には、以下のような対応を実施します。
・検知した内容を確認し、対処が必要なインシデントなのか誤検知なのかを調べる。
・どのようなインシデントなのかや、影響の度合い・深刻度などについて、わかる範囲で調査する。
・インシデントのトリアージを行う
インシデントのトリアージ
インシデントの種類や深刻度を踏まえ、対応の緊急性・優先度がどのくらいなのかや、どの従業員が対応に関与すべきか、また、外部組織(セキュリティ企業など)の協力が必要かどうかなどを判断することを「トリアージ」と言います。
②インシデント発生時の初動対応・封じ込め
報告・連絡
分析やトリアージを終えたら、その結果を踏まえて各所への連絡を行います。
<社内への連携>
インシデントの種類や深刻度に応じて社内関係者に連絡を行います。例えば、「個人情報が漏洩した恐れがある」など深刻度が高いケースであれば経営層まで連絡する必要がありますが、それほど深刻でないインシデントについてはITチームだけで対処できるかもしれません。
<外部組織への連絡、支援依頼>
自社のリソースだけでは対処しきれないインシデントの場合は、外部の組織(JPCERT、その他のCSIRT、インシデント対応ノウハウを持ったセキュリティ企業など)へ連絡して対策の支援を依頼しなくてはなりません。
<インシデント発生の通知>
顧客や取引先、自社従業員などへインシデントが発生したという事実を通知することも求められます。発生したインシデントの内容によっては、必要な関係者のみに情報公開範囲を限定する、確実な事実(影響範囲)が明らかになってから全社に公表する、などの情報統制を行う必要が出てくるかもしれないため、インシデント発生に関する情報の取り扱いにおいては経営層や広報、場合によっては専門家への相談なども考慮に入れておく必要があります。
封じ込め策の実施
分析結果などを踏まえ、インシデントによる影響を最小限に抑えるための措置や、脅威が別の箇所にまで広がるのを防ぐための措置を講じます。
例えば、以下のような対応を行います。
・システムの停止
・ネットワークの遮断
・システムの隔離
・特定の機能の無効化
・アカウントのリセット
また、上記のような技術的措置に加えて、メディア対応などが必要になる場合も考えられます。
ここで留意しておきたいのが、採用する封じ込め措置(システムの停止等)によってはサービスを停止せざるを得なくなるなど、事業活動への影響が生じる可能性があるという点です。そのため、何らかの措置を講じる前に、その措置による効果・悪影響の両方を検討することが重要になります。また、措置によって証拠が消えてしまわないよう注意することも大切です。
フォレンジック調査の実施
封じ込め策を実施することに加えて、フォレンジック調査を行ってインシデントの原因や影響などを明らかにする必要があります。
フォレンジック調査とは?
フォレンジック調査とは、インシデント発生後に行われる、コンピューターやネットワーク、モバイルデバイス等を対象とした調査のことを言います。
具体的には以下のような手順でインシデントについて調べます。
1, 情報媒体を保全する(フォレンジックの対象となるハードディスクなどの媒体全体を複製)
2, 複製したデジタルデータに対して情報の抽出、解析を行う
3, コンピューターやネットワークに何が行われたのかを浮かび上がらせ、行為や事象を再現する
4, 再現された内容をもとにインシデントの原因や過程、影響範囲などを明らかにする
③インシデントの根絶・復旧
インシデントの根絶
この段階では、ネットワークやシステムから脅威を完全に取り除くための措置を講じます。
<具体的な対応の例>
・インシデント原因や被害状況の詳細な調査
・インシデントの原因となった箇所の修復と、正しく修復されていることの確認
・個人情報漏の場合は定められた期日内に、個人情報保護委員会への報告が必要となるほか、所轄官庁、警察などへの連絡・通報
なお、「根絶」のプロセスから次の「復旧」のプロセスに移る前に、脅威の根絶が本当に完了しているのかどうかを確かめておくことが重要です。
復旧措置
この段階では、ネットワークやシステムを通常時の状態に戻します。
<具体的な対応の例>
・修復を終えたシステムの再開、ネットワークへの再接続など
・システムの再構成
・データの復旧
・取引先や顧客への報告
・プレスリリース(Webサイト等へインシデントの経緯や復旧した旨などを公表)
④インシデント発生後の事後対応
インシデント対応の評価と再発防止策の検討・実施
インシデント対応を一通り終えた後には、すべての関係者が参加する反省会などを行ってインシデント対応を振り返ることが大切です。これによって得られた教訓を踏まえ、新たな脅威にも対応できるよう技術を向上させることや、インシデント対応計画を見直して改善することを目指します。
また、今後再び似たような問題が発生することのないよう、再発防止策を検討し、実施することも重要です。
セキュリティ対策の改善・強化
インシデント対応中に収集されたデータ(インシデント対応にかかった時間や労力、原因、金銭的損失の見積額など)は、自社のセキュリティの弱点を把握したり、脅威の動向や変化を理解したりするための手がかりになります。これをもとに、組織全体のセキュリティ対策を改善・強化することが大切です。
証拠の保管
攻撃者を告訴する場合などに備え、インシデントに関連するすべての証拠を一定期間保管しておく必要があります。証拠の保管期間や保管方法については、あらかじめルールやポリシーを定めておくのが理想的です。
インシデント対応を行うために必要な準備
インシデント発生時に上記のような対応をスムーズに行うためには、事前にインシデント対応計画を立てたり、対応体制を整えたりしておく必要があります。
インシデント対応計画やインシデント対応マニュアルの策定
インシデント対応計画やそれに基づく対応マニュアル(手順書)を事前に策定しておくのはどんな企業にとっても必要不可欠です。これは、対応計画の有無によって、実際のインシデント発生時の対応を迅速かつ適切に行えるかどうかが左右されることになるためです。
例えば「封じ込め」の段階では、措置によってはサービスを停止せざるを得なくなるなど事業活動に影響が及ぶ可能性があるため、意思決定が非常に重要です。しかし、封じ込め戦略や手順、意思決定者への連絡フローなどがあらかじめある程度決まっていれば、この意思決定を行いやすくなります。
インシデント対応の方針や基本的な戦略などをまとめた対応計画を策定することに加えて、想定されるインシデントの種類に応じてそれぞれの対応手順をマニュアルとしてまとめておくことも有効です。
インシデント対応計画に含めるべき主な内容
・自社にとっての「インシデント」の定義
・主要な連絡先(社内外)および連絡フロー
・サービス停止など重要な意思決定のプロセスや基準(責任者と連絡がつかない場合も想定しておく)
・基本的な対応フロー
・インシデントの影響度や深刻度の判定基準、カテゴリ分類基準
・外部報告・公表のルール、など
インシデント対応体制(CSIRT等)の整備
インシデント対応の準備段階では、有事に備えて体制作りをしておくことも重要です。対応プロセスの中でどの社員がどの措置を担当するのかや、誰が意思決定を行うのか、また社内外との連絡手段はどうするのかといった事項があらかじめ決まっていないと、迅速な処置が行えずに被害が拡大することもあり得ます。
また、インシデント対応を中心的に担うチーム(CSIRTなど)を事前に確立しておくことも有効です。CSIRT(シーサート)とは「Computer Security Incident Response Team」の略で、コンピューターセキュリティに関連する問題を専門に扱うインシデント対応チーム/組織のことを言います。CSIRTはインシデント対応の舵取り役に加え、社内外の関係者・当局などとの連絡窓口の役割も務めるのが一般的です。
CSIRTについて詳しくは、こちらの記事をご覧ください:CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説
インシデント検知・分析ツールやソリューションの導入
自社のネットワーク/システム上での異常な動作や疑わしい挙動を早期に検知し、インシデントの発生を防いだり、インシデントが発生してしまったとしても被害を最小限に抑えたりする上で役立つのが、検知・分析を自動的に行うツールやソリューションです。
インシデントの検知や分析に使われる主なツール・ソリューションには、以下のようなものがあります。
・ウイルス対策ソフト(アンチウイルスソフト):コンピューターをウイルス(マルウェア等)から防御するためのソフトウェア。
・IDS(Intrusion Detection System):ネットワークへの不正な侵入を自動で検知するためのソフトウェア。「侵入検知システム」とも呼ばれる。
・IPS(Intrusion Prevention System):IDSのすべての機能に加え、インシデントと考えられる事象を阻止することを試みる機能を備えたソフトウェア。「侵入防止システム」とも呼ばれる。
・SIEM(Security Information and Event Management):サーバーやネットワーク機器などの組織の資産からログを収集し、一元管理することができるセキュリティ製品。
・EDR(Endpoint Detection and Response):PCやスマートフォンなどのエンドポイント端末を監視し、脅威を検知した場合には迅速な対応を行って被害を防いでくれるソフトウェア。
EDRについて詳しくは、こちらの記事をご覧ください:EDRは必要?アンチウイルスやEPPとの違い、運用コストは?
サイバーインテリジェンスの活用
インシデント対応には、以下のような形でサイバーインテリジェンスを活用することが可能です。
オープンソースインテリジェンス(OSINT)の利用
オープンソースインテリジェンス(OSINT)とは、インターネットをはじめとする誰もが自由に利用できる情報源(オープンソース)から得られた情報をもとにしたインテリジェンスのことです。OSINTは、インシデントの予防やトリアージなどに役立てることができます。具体的には、以下のような活用方法が考えられます。
・異常な活動、特にスキャニングなどについての情報収集
・インシデント対応や侵入検知に関する公開メーリングリストの検索
・インシデントのトリアージ時や分析時に参考になるような情報の収集(ブログ記事やオープンソースのサンドボックスなど)
OSINTについて詳しくは、こちらの記事をご覧ください:OSINTとは? 活用方法、ツール、注意すべき点
なお弊社では、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」を取り扱っております。Silobreakerの詳細についてはページ下部をご覧ください。
ダークウェブの調査・監視
インシデントによって自社の情報が漏洩したり盗まれたりした場合は、ダークウェブ特化型のインテリジェンスツールを利用してダークウェブを監視することによって、不正利用を事前に防いだり被害状況を把握したりできる可能性があります。具体的には、以下のような活用方法が考えられます。
・漏洩した情報がダークウェブ上のマーケットプレイスやハッキングフォーラムなどで売りに出されていないかを調査・監視。
・自社の情報が売りに出されていた場合、第三者の手に渡る前にダウンロード。
ダークウェブについて詳しくは、こちらの記事をご覧ください:ダークウェブとは?何が行われている?仕組みから最新動向まで
なお弊社では、ダークウェブのモニタリングに特化したインテリジェンス収集・分析ツール「Flashpoint」を取り扱っております。Flashpointの詳細についてはページ下部をご覧ください。
インシデント対応に関する公開資料
IPA(独立行政法人 情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、インシデント対応に役立てることのできる資料をいくつか公開しています。
IPAの資料
・「コンピュータセキュリティインシデント対応ガイド」(米国国立標準技術研究所/NISTが発行した資料の翻訳版)
・「プラクティス・ナビ」の指示7「インシデント発生時の緊急対応体制の整備」
JPCERT/CCの資料
最後に
インシデント対応においては、事前に対応計画を策定しておくことや、対応体制を用意しておくことなど、インシデントが発生する前の準備が非常に重要になります。
ただ、たとえ入念に準備していたとしても、実際にインシデントが発生した際には動揺して冷静な判断がしづらくなり、「何から対応すれば良いのかわからない」という状況に陥ることも考えられます。そのため、いざという時に相談に乗ってくれるような外部のセキュリティ企業をあらかじめ見つけておくのがおすすめです。
マキナレコードのインシデント対応支援サービス
弊社マキナレコードでも、インシデント対応を支援するサービスを提供しています。初動対応から事後対応まで、豊富な知識を持つセキュリティ専門家が支援いたします。また、インテリジェンスツールを利用したダークウェブ調査のご支援も可能です。
具体的な支援内容
初動対応・事後対応の支援
調査方針や手法についてのレビューの実施や、過去のインシデント事例の調査などを行います。また、インシデント対応に関するアドバイス(初動対応の手順・優先順位、外部発信・顧客対応に関するアドバイスなど)も提供いたします。さらに、インシデント対応終了後には、再発防止策検討・実施の支援も行います。
フォレンジック調査
弊社パートナー企業Cycraftのツールを使用してフォレンジック調査を実施し、AIとアナリストが分析を行ってインシデントの原因を究明します。フォレンジック調査後の対応方針についてもアドバイスいたします。
弊社のフォレンジックサービスについては、こちらのページ(マキナレコード公式サイト)をご覧ください。
ダークウェブ調査・流出情報のダウンロード支援
インシデントに関連する情報がディープ・アンド・ダークウェブ(DDW)に投稿されていないかどうかを監視する業務の支援を行います。DDW上で見つかった情報のダウンロードもサポートいたします。
インテリジェンスツールのご紹介
SILOBREAKER
サーフェスウェブの情報を自動収集し、ダッシュボード上に可視化するツールです。自社を装うフィッシングサイトや、ペーストサイトの漏洩認証情報などを監視することができます。
製品の詳細についてはこちらのページ(マキナレコード公式サイト)をご覧ください。
Flashpoint
ディープ・アンド・ダークウェブ(DWW)やチャットサービスをはじめとする「不法コミュニティ(Illicit Community)」のモニタリングに特化した検索・分析ツールです。情報の漏洩の監視や、DWWトレンド(アクター情報や脆弱性情報など)の把握に役立てることができます。
製品の詳細についてはこちらのページ(マキナレコード公式サイト)をご覧ください。
-e1660089457611.jpg)
筆者プロフィール
山口あさ子
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。