ITインシデント対応計画の構築

鍵はこじ開けられる時が来ます。今日ではないかもしれませんが、もうすぐです。実際、今まさに起こっているかもしれません…ただ、あなたはまだその証拠を見ていないだけです。このシナリオは、世界最高峰のサイバーセキュリティチームを相手に展開されています。これはあなたやあなたのセキュリティチームを批判するものではありませんが、調査によると、セキュリティインシデントはますます頻繁に発生しています。その時が来たら、あなたはどうしますか？

これは、国家情報長官室、運輸保安局（TSA）などの政府安全保障担当者による最近のパネルディスカッションで議論されたテーマでした。彼らは、エスカレートする世界的な脅威環境への対処において得られた知見と教訓を共有しました。.

連邦政府のサイバーセキュリティチームがインシデントに備える方法

パネルディスカッションでは、トラブルが発生する前に明確なITインシデント対応計画を策定しておくことが不可欠であると議論されました。もちろん、計画の良し悪しは人それぞれです。ほぼすべてのIT組織が、 いくつかの 一種のインシデント対応計画です。しかし、国家主導のサイバー戦争から米国を守るためには、より強固な計画が求められます。.

効果的なITインシデント対応計画の策定

効果的なITインシデント対応計画を作成するには何が必要でしょうか？それは単なる机上の演習をはるかに超えるものです。実践的な訓練が必要です。国家情報長官室傘下のインテリジェンス・コミュニティ・コーディネーション・センターは、チームでサイバー「ウォーゲーム」を実施しています。実際のサイバー攻撃をシミュレーションし、事前に練られた対応策をリハーサルすることで、反応時間とスキルをテストします。.

もちろん、誰もがこのレベルのインシデント対応計画に必要な時間とリソースを持っているわけではありませんが、その原則は普遍的です。パネリストによると、効果的なインシデント対応に最も重要な2つの要素は、スピードとオーケストレーションです。セキュリティインシデントに先手を打つには、対応チームが迅速かつ効率的に行動し、連携して対応を行う必要があります。これは、対応ワークフローとシステムの自動化とオーケストレーションによってのみ実現可能です。.

スピードとオーケストレーションは、効果的な対応計画の 2 つの重要な要素です。.

インシデント対応におけるスピードは、認識が鍵となります。アラートに気づき（そして正しく解釈し）、それに対応するまでの時間は、結果に決定的な違いをもたらす可能性があります。.

例えばTSAでは、セキュリティオペレーションセンター（SOC）が国土安全保障省内の各チームと常に連絡を取り合っています。TSAのCISOであるポール・モリス氏は、「何か起きれば、私たちはかなり早くそれを把握できる」と述べています。彼のSOCは、システムをスキャンして TSAシステムで新たに特定された脅威を5分以内に発見する.

あらゆるIT対応計画の重要なタスクは、人材、プロセス、セキュリティシステムの調整です。これは、専門家の支援を受けて行うのが最適です。 セキュリティ自動化 そして オーケストレーション （SAO）ツール。SwimlaneのようなSAOソリューションは、ITインシデント対応タスクを自動化します。.

セキュリティ自動化およびオーケストレーションソリューションが効果的なITインシデント対応を実現する方法

A セキュリティの自動化とオーケストレーション このソリューションは、システム間のオーケストレーションを必要とする対応計画の各ステップを迅速に実行するように構成できます。例えば、セキュリティチームはSAOソリューションに特定の種類のアラートへの対応方法を「教える」ことができます。SAOはスピードとオーケストレーションを融合させます。.

セキュリティインシデントおよびイベント管理（SIEM）ツールが、ファイアウォールやネットワークアプライアンス上の不審なログアクティビティを相関分析し、アラートを送信するとします。SAOソリューションは、SIEMアラートを自動的に受信し、対応するように設定できます。アラート情報は脅威インテリジェンスプラットフォームに送信され、評価を受けると同時に、JIRAケース管理チケットが開かれます。そして、適切な担当者にリアルタイムで自動的に通知されます。.

セキュリティの自動化とオーケストレーションは、IT インシデント対応計画のチーム メンバーに取って代わるものではなく、他の高度なタスクのためにメンバーの時間を解放します。.

しかし、パネリストが指摘したように、オーケストレーションによってインシデント対応ワークフローから人員が排除されるわけではありません。むしろ、セキュリティの自動化とオーケストレーションによって、チームメンバーはより高度な専門知識と分析力を必要とするより高度なタスクに集中できるようになります。SAOソリューションは、対応計画の実行手順をチームに常に知らせてくれます。Swimlaneを使用すると、セキュリティアナリストは単一のインターフェースで複数のインシデントケース管理情報フィードにアクセスできるため、状況把握と意思決定の効率を最大限に高めることができます。.

SwimlaneのSAOソリューションは、最も要求の厳しいITインシデント対応計画の要件にも適応できます。導入、使用、管理、拡張が容易なため、セキュリティ運用チームは既存のセキュリティソリューションの機能を容易に活用できます。一般的なセキュリティおよびプロジェクト追跡ツールとの統合があらかじめ構築されているだけでなく、SecOpsチームは一般的なスクリプト言語とRESTful APIを使用して独自の統合を迅速に開発することもできます。.

SOARの実際の使用事例電子書籍

Swimlane SOARソリューションをセキュリティ運用にどのように活用できるかについて詳しく知りたいですか？ セキュリティオーケストレーション、自動化、対応に関する8つの実践的なユースケースを解説した電子書籍をダウンロードして、その方法をご確認ください。.

今すぐダウンロード