インシデントレスポンスとは？必要性や6つのステップなどを解説

インシデントレスポンスは、インシデントが発生した際の対応です。インシデントは、意図的に引き起こされたトラブルを指し、偶発的に発生してしまった事象を指すアクシデントやハプニングとは区別されます。インシデントの代表例には、マルウェアへの感染や不正アクセスといった外部からのサイバー攻撃が挙げられます。さらに、インシデントが発生した時点で適切に対処することができれば、深刻な被害となる可能性を低減できるでしょう。

インシデントレスポンスが必要とされるのは、製品やサービスから脆弱性を完全に排除することが困難だからです。プログラムの不具合や設計上のミスがなければ、脆弱性を突いた攻撃は回避できますが、完全に脆弱性のない開発は、実際には難しいでしょう。サイバー攻撃の手口は多様化・複雑化しており、セキュリティ対策が間に合わないことが多くあります。特に、セキュリティホールに対する修正パッチが公表される前に攻撃を加えるゼロデイ攻撃は、セキュリティ対策を実施していても防ぎきれない可能性があります。このような環境のため、攻撃を予防する対策と並行して、攻撃を防げなかったときの対策であるインシデントレスポンスを実践する必要性が高まっています。

インシデントレスポンスには6つのステップがあります。インシデントレスポンスの目的は、攻撃を即座に特定して影響を最小限に抑えるだけでなく、根本原因を特定して将来的なリスクを減らすことです。ここでは、準備、特定、封じ込め、根絶、復旧、教訓の6つのステップについて解説します。

1. 準備

インシデントレスポンスの最初のステップは準備です。セキュリティインシデントが起きた場合を想定し、必要な準備を行います。まずは、インシデントに関する情報の収集と自社のリスク分析を行いましょう。想定されるセキュリティインシデントを従業員に周知したり、発生させないよう教育をしたりすることも有効です。続いて、インシデントレスポンスに対する自社の姿勢を明示するポリシーの策定、具体的な方針の決定などを実施します。これらが決まったら、実務担当者のためにマニュアルに反映しましょう。また、インシデント発生時にインシデントレスポンスを担う組織も構築します。組織が不十分であれば、人員の増強も検討する必要があります。

2. 特定

実際にインシデントが発生したら、インシデントの発生原因を特定します。インシデントの発生から、どの程度の期間で特定できるかが、ダメージの大きさに直結する重要な要素です。インシデントレスポンスを担う組織が中心となり、原因をすみやかに特定します。

3. 封じ込め

原因を特定したら、3つ目のステップである封じ込めが必要です。インシデントの原因を特定したら、事前に定めたポリシーやマニュアルに沿って、被害を最小化する手立てを講じましょう。具体的にはサーバのシャットダウンやサービス停止、セキュリティが侵害されたシステムの分離などの対策があります。またこの段階で、インシデントに関する情報収集も実施します。被害の最小化や証拠の保全、封じ込めにかかる時間などを考慮して、適切な封じ込め対策を実施しましょう。

4. 根絶

4つ目のステップは、インシデントの影響の根絶です。確認されたインシデントの情報をもとに、侵入経路や想定される被害範囲を特定します。その上で、検出したマルウェアなどの不正なツールを、すべてのシステムから削除しましょう。また、影響を受けたユーザーアカウントはリセット・無効化して影響を根絶します。

5. 復旧

5つ目のステップは、インシデントからの復旧です。被害を受けたシステムの復旧を迅速に進めていきます。できる限り早く、また確実に復旧させるため、インシデントレスポンスを担当する組織と経営層やIT部門などさまざまな部門と連携をとることが重要です。システムが健全な状態に戻ったかどうか、検証やテストで確認した上で、再公開しましょう。

6. 教訓

インシデントレスポンスの最後のステップは、教訓をまとめることです。インシデントを排除し、復旧が進んだら、再発防止のための対策を実施します。インシデントの情報を詳しく分析し、また類似した脅威にさらされることがないよう、十分に対策を検討しましょう。このとき、マニュアルを見直すことも大切です。インシデントへの対応の際にマニュアルの不備を感じたり、対応に問題があったりした場合は、関係者で議論しマニュアルの内容をブラッシュアップします。
復旧できたからといって、発生したインシデントを記録せずに、過去のものとしてはなりません。ひとつのインシデントを教訓として、インシデントレスポンスの組織を強化していくことが重要です。

インシデントレスポンスを計画的かつ適切に実施するためには、十分な組織の構築が欠かせません。インシデントレスポンスに有効な組織として、注目されているのがCSIRT（Computer Security Incident Response Team）とSOC（Security Operation Center）です。それぞれについて解説します。

CSIRT

インシデントレスポンス強化のための組織がCSIRTです。CSIRTは、セキュリティ上の脅威となるインシデントが発生した際に、インシデントレスポンスを主導する組織です。インシデントレスポンスはもちろん、発生中のインシデントの情報収集も行います。また、脆弱性情報の収集と分析やマニュアル作成・改善も担当します。

SOC

SOCもインシデントレスポンス強化のための組織です。SOCはインシデントの発見を担い、ファイアウォールやアプリケーションなどのログ、ネットワーク機器などを監視し、情報を分析することで、脆弱性を狙う外部からの脅威の存在を見つけ出します。CSIRTがインシデント発生時の対応を重視した組織であるのに対し、SOCはインシデントの検知を専門としています。

クラウド環境を利用する企業にとって、インシデントへの備えは非常に重要です。サイバー攻撃は多様化・複雑化しており、企業は適切にインシデントレスポンスに対応できる組織を準備する必要があるでしょう。

トレンドマイクロでは、インシデントレスポンスの強化に貢献する「Trend Cloud One」を提供しています。「Trend Cloud One」には、エンドポイントやサーバ、ネットワークなどを横断して、脅威を検知し対応するXDR機能が備わっているため、運用面の負担を低減させながら、インシデントレスポンスを向上させることが可能です。ぜひ、「Trend Cloud One」をご活用ください。