セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。IBMの調査によると、インシデントの平均被害額は約5億円に上り、検知から封じ込めまでの時間が長いほどコストは増大します。インシデントレスポンス計画を持つ企業は、持たない企業と比較して被害額を約58%削減できるというデータもあります。事前にインシデントレスポンス計画(IRP)を策定し、定期的に訓練しておくことで、被害を最小限に抑えることができます。
残念ながら、多くの組織では「自社が攻撃されることはない」という楽観的なバイアスが存在します。しかしランサムウェアの被害は中小企業にも広がっており、規模に関係なくインシデントレスポンス計画の策定は必須です。
米国国立標準技術研究所(NIST)のSP 800-61は、インシデントレスポンスの国際的な標準フレームワークです。準備、検知と分析、封じ込め・根絶・復旧、事後対応の4フェーズで構成されています。各フェーズは線形に進むのではなく、状況に応じて行き来することもあります。
フェーズ1:準備では、インシデント対応チーム(CSIRT)の編成、役割分担の明確化、連絡網の整備、必要なツールの準備を行います。CSIRTには技術者だけでなく、法務部門、広報部門、経営層のエスカレーション先も含めて体制を構築します。特に個人情報漏洩が発生した場合、個人情報保護委員会への72時間以内の報告が義務付けられているため、法定の報告期限内に適切な機関への通知が必要です。
また、インシデントの分類基準(重大度レベル)を事前に定義しておくことが重要です。例えば、レベル1(低)は単一システムへの影響、レベル2(中)は複数システムへの影響、レベル3(高)は業務停止を伴う影響、レベル4(クリティカル)はデータ漏洩や全社的な影響、といった基準を設けます。各レベルに応じた対応フローとエスカレーション先を定めておきます。
フェーズ2:検知と分析は、インシデントの発見と影響範囲の特定を行うフェーズです。検知ソースとしては、IDS/IPS、SIEM、EDR、ユーザーからの報告、外部からの通報などがあります。SIEMの相関分析ルールを適切に設定し、ノイズの中から真のインシデントを見つけ出す能力が問われます。
アラートを受け取ったら、まず誤検知かどうかを判断します。次に、インシデントの範囲、影響を受けるシステム、侵入経路を特定します。この段階で重要なのは、証拠の保全です。揮発性データ(メモリダンプ、ネットワーク接続情報、プロセスリスト)から優先的に収集し、デジタルフォレンジックに備えます。証拠の取り扱いにはチェーン・オブ・カストディ(証拠の連鎖)を維持し、法的な有効性を確保します。
タイムラインの作成も重要です。何が、いつ、どの順序で起きたかを時系列で整理することで、攻撃の全体像を把握できます。IOC(Indicators of Compromise)を特定し、他のシステムへの横展開の有無を確認します。
フェーズ3では、まず被害の拡大を防ぐための封じ込めを行います。短期的な封じ込め(ネットワークセグメントの分離、侵害されたアカウントの停止、ファイアウォールルールの追加)と長期的な封じ込め(パッチ適用、設定変更、影響を受けたシステムの再構築)を段階的に実施します。
根絶では、マルウェアの除去、不正アカウントの削除、バックドアの除去、脆弱性の修正を行います。攻撃者が残した永続化メカニズム(タスクスケジューラ、レジストリ変更など)を見落とさないよう、徹底的な調査が必要です。
復旧では、クリーンなバックアップからのシステム復元、サービスの段階的な再開、監視の強化を行います。復旧後も一定期間は監視を強化し、再発の兆候がないことを確認します。段階的にサービスを復旧させ、各段階で問題がないことを確認してから次に進みます。
フェーズ4:事後対応は、最も見落とされがちですが最も重要なフェーズです。インシデントの根本原因を特定し、再発防止策を策定・実施します。ポストモーテム(振り返り)はblame-free(責任追及しない)の原則で行い、組織としての改善にフォーカスします。
インシデントレスポンス計画は年に1回以上見直し、テーブルトップ演習(机上訓練)や実地訓練を通じて有効性を検証しましょう。テーブルトップ演習では、架空のシナリオに基づいて関係者が対応を議論し、計画のギャップを特定します。計画があっても訓練していなければ、実際のインシデント発生時に機能しません。訓練の結果を基に計画を更新する継続的改善のサイクルを回すことが、組織のレジリエンスを高める鍵です。
入会申込
ログイン
