購入者ガイド: SOAR ベンダーを評価するための 11 の重要な質問。.

サイバーセキュリティインシデント対応計画の自動化

ユーザーアバター
ケイティ・バイコウスキー
5 1分間の読書

サイバーセキュリティインシデント対応ワークフローを計画し実行するということは、事前に知ることのできない事実について確実性を確保することを意味します。この課題を踏まえ、セキュリティ管理者は、インシデント対応ワークフローの一部またはすべてを自動化することが効果的であると考えています。 セキュリティの自動化とオーケストレーション SAO(自動化)ソリューションは多くのメリットをもたらします。自動化は不確実性を軽減し、対応プロセスの効率性を高めます。この記事では、自動化を実現するために必要な要素について解説します。.

インシデント対応計画にセイウチを含めないでください

2010 年のディープウォーター ホライズン石油掘削リグの悲劇に対する事故対応計画には、これらの計画が必ずしも機能しない理由について多くのことを明らかにする興味深い詳細が含まれていました。. 600ページの計画 メキシコ湾に生息する「アシカ、アザラシ、ラッコ(そして)セイウチ」の保護を求めている。これらの動物はいずれもメキシコ湾を故郷としていないが、この計画にこれらの動物が含まれているのは、北極圏の石油掘削装置向けに作成された文書から引用された文章だからだ。.

熱帯気候の中でセイウチの救助に人を派遣するよりも滑稽なのは、600ページに及ぶ静的な対応計画が実際の緊急事態に役立つと考えることだけです。どんなに優れた計画であっても、スタッフの離職や関連技術の変化によって、時間の経過とともに役に立たなくなる可能性があります。インシデント対応計画とインシデント対応ワークフローを策定する際には、これらのセイウチのことを念頭に置き、重要なことに集中し続けるようにしてください。.

一般的なインシデント対応計画

インシデント対応ワークフロー - ワークフロー

図1 – 基本的なインシデント対応ワークフロー。(出典:NIST – コンピュータセキュリティインシデント対応ガイド – 特別出版物 800-61)

組織ごとに独自のインシデント対応手順がありますが、ほとんどのインシデント対応計画は、以下のパターンに従っています。 米国国立標準技術研究所(NIST)コンピュータセキュリティ取扱ガイド.

図に示すように、NIST インシデント対応ワークフローには 4 つの重要な要素があります。

  1. 準備
  2. 検出と分析
  3. 封じ込め、根絶、回復
  4. 事後活動。.

しかし、これら 4 つのシンプルなボックスの中には、数十人や組織を結びつける何百ものステップが含まれている可能性があり、組織によって大きく異なります。.

インシデント対応のハイライト

特定の種類の政府機関および企業に必須である NIST の推奨事項には、通常、次の要素が含まれます。

  • 準備 - 経験豊富なセキュリティ管理者は、インシデント対応計画の最善策は、実際に使用する必要がない計画であることを知っています。NISTはインシデントの予防に重点を置くことを推奨しています。脅威を予測し、効果的な対策で軽減することが重要です。しかし、今日の脅威環境ではインシデントの発生はほぼ確実であるため、インシデント対応ワークフローはしっかりとした準備によって強化されます。深刻なインシデントが発生するだけでもストレスは大きくなります。真に予期せぬ事態に不意を突かれないようにすることが、何よりも重要です。.

経験豊富なセキュリティ管理者が知っているように、最善のインシデント対応計画とは、実際に使用する必要がない計画です。.

  • 検出と分析 – このインシデント対応ステップでは、インシデントが発生したことを検証し、発生した事象とその深刻度を判断し、通知手順を整備します。サイバーセキュリティチームは、誤検知に悩まされています。優れたインシデント対応計画は、インシデントの兆候を即座に認識し、セキュリティ管理者が観察されているイベントが実際にインシデントに該当するかどうかを判断するのに役立ちます。ワークフローには、攻撃ベクトルの特定、インシデントの深刻度の優先順位付け、修復策の実施、主要な関係者へのタイムリーなコミュニケーションといった手順を含める必要があります。また、インシデントに関する文書化もプロセスに含める必要があります。.
  • 封じ込め、根絶、そして回復 – インシデント対応ワークフローでは、脅威の封じ込めについて必ず文書化します。このステップでは、環境から脅威を排除し、影響を受けたシステムを復旧し、証拠を収集・処理し、攻撃者を特定します。.
  • 事後活動 – インシデント発生後、多くのチームは得られた教訓について話し合います。これは、将来の防御策やインシデント対応の改善に役立つ可能性があるためです。多くの場合、監査人、弁護士、テクノロジーベンダー、政府機関、保険会社、その他の関係者のために、インシデント発生中に収集されたすべての証拠を保管することが重要です。.
  • 調整 - インシデント対応は単独で行う活動ではありません。組織の規模や範囲、そしてインシデント自体の状況に応じて、インシデント対応計画には、上級管理職や法務顧問などの社内関係者、あるいは法執行機関やメディアなどの社外の第三者とのコミュニケーションが含まれる場合があります。これらのコミュニケーションの取り扱い方によって、インシデントのビジネスへの影響は大きくも小さくもなります。例えば、データ侵害の不備な開示は、ブランドイメージの毀損や顧客サービスコストの増加につながる可能性があります。さらに悪いことに、情報共有が不十分な場合、法的責任を問われる可能性があります。.

NIST のドキュメントでは、インシデント対応は単独の活動ではないことが明確にされています。.

セキュリティ自動化とオーケストレーション(SAO)とインシデント対応計画

サイバーセキュリティインシデントはリスクと複雑さを併せ持ちます。この二つの要素が同時に起こることは、決して良い結果をもたらすものではありません。チームは、インシデントの性質が当初は完全には理解されていない場合でも、迅速かつ効果的に対応する必要があります。計画の有無に関わらず、脅威が初めて検知された時点では、どの関係者に通知する必要があるのか、どのようなリソースが必要なのかなどが分からない場合があります。.

解決策の一つは、プロセスのできるだけ多くのステップを自動化することです。これにより、チームメンバーは重要な事項に集中でき、メール通知の送信や脅威の評価といった日常的なステップは自動的に実行されます。これが、 セキュリティ自動化 そして オーケストレーション (SAO)。Swimlane のような SAO ソリューションは、時間のかかる手動のアナリスト タスクを機械のスピードによる意思決定に置き換えます。.

Swimlane のような SOA ソリューションは、脅威やイベントへの対応から時間のかかる手動のアナリストタスクを排除します。.

SAOは、包括的なデータ収集、標準化、分析と組み合わせることで、セキュリティチームが高度な インシデント対応計画. インシデント対応ワークフローへの影響は次のようになります。

  • 準備 - SAOは、準備段階で作成された計画を、実行可能な自動化されたワークフローへと変換することを可能にします。SAOソリューションは、準備段階で生成された知識を蓄積するため、スタッフの離職や作業内容の忘れといった影響を受けにくくなります。例えば、計画にインシデント発生時に特定の関係者に通知することが含まれている場合、そのタスクは自動的に実行されます。チームは、誰に通知すべきかを判断するために、一度も読んだことのないPDFファイルを開く必要がなくなります。.
  • 検出と分析 – SAOは、検知と分析の重要なステップを効率化します。例えば、SAOソリューションは複数のソースからコンテキストアラートデータを収集し、分析してアナリストに適切な行動を推奨します。また、JIRAでのチケット作成、主要な関係者へのメール送信、脅威の隔離、脅威データベースの更新など、適切な予防措置を自動的に実行することもできます。.
  • 封じ込め、根絶、そして回復 – インシデント対応においてはチームの生産性が重要であり、インシデント対応手順は実際のインシデント発生時の人員状況と必ずしも一致しない場合があります。しかし、SAOソリューションは、サイバーセキュリティチームの効率的な業務遂行を支援し、インシデント対応と脅威検知にかかる時間を短縮します。生産性向上の要因の一つは、チームメンバーが単一のインスタンスを通してインシデントを監視し、必要に応じて対応策を講じることができることです。.
  • チームの反応プロセスの組み込み SAOソリューションは、セキュリティチームの優秀なメンバーの詳細な業務プロセスを模倣できます。彼らの対応プロセス(例:何が重要で何が重要でないのか、誰に電話すべきか、誰にメールを送信すべきか、何をすべきかなど)が自動化されたワークフローに組み込まれているため、ツールは知識とベストプラクティスを蓄積します。SAOは、業務の遂行方法を「記憶」することで、避けられないスタッフの離職による知識の損失を軽減します。.
  • 事後活動 – SAOソリューションは、その性質上、実行したインシデント対応タスクのログを作成します。これにより、インシデントをより包括的に把握できるようになり、解決後のインシデントレビューにかかる時間を節約できます。.
  • 調整 - SAOソリューションは、インシデント対応ワークフローにおいて発生する人、組織、システム間の連携を調整します。これにより、チームメンバーは通知に煩わされることなく重要な意思決定に集中できるようになります。システムが代わりに処理してくれるからです。.

スイムレーンがどのように役立つか

スイムレーンは セキュリティの自動化とオーケストレーション 導入、使用、管理、拡張が容易なSwimlane。セキュリティ運用チームは、Swimlaneを使用することで、既存のセキュリティソリューションの機能を活用し、アナリストに提示する情報を充実させることができます。.

Swimlane SAOソリューションについて詳しく知りたいですか?電子書籍をダウンロードしてください。 インシデント対応の自動化.

タグ

インシデント対応

2020年8月5日
SANSの調査でパンデミックの影響を受けた採用計画が明らかに
続きを読む
2025 年 11 月 7 日
サイバーセキュリティインシデント対応計画の作成方法
続きを読む
2018年1月31日
NISTサイバーセキュリティフレームワークとセキュリティ自動化およびオーケストレーション(SAO)によるインシデント対応の改善
続きを読む

ライブデモをリクエストする