インシデントレスポンスとは?
重要性や対応フローについても紹介
インシデントレスポンスは、セキュリティ対策のなかでも重要なポイントです。セキュリティを強化しても、被害の可能性はゼロにはなりません。それでも事前にインシデントレスポンスを準備しておくことで、サイバー攻撃に対する被害を最小限に抑えることが可能です。そのため、企業にとってインシデントレスポンスは不可欠と言っていいでしょう。
ここでは、インシデントレスポンスとは何か、インシデントレスポンスはどのように行うのか、インシデントへの対応フローなどを解説していきます。
インシデントレスポンスとは
インシデントレスポンス(Incident Response)とは、インシデント発生後の事後対応のことです。インシデント対応、インシデント対策とも言います。
どれほどセキュリティに力を入れていても、端末への侵害やサイバー攻撃などの被害を完全に防ぐことは難しいものです。そこで、インシデントが発生することを前提に、事前に対策を準備するという考え方からインシデントレスポンスが生まれました。
インシデントレスポンスがあれば素早く適切な対応ができるため、被害を最小限に抑え、復旧にかかる時間とコストを削減することが可能です。
インシデントとは
インシデント(Incident)とは、重大なトラブルに発展する可能性があるミスや事故のことです。特に情報セキュリティ分野においてこの言葉を使う場合は、システム運用への脅威となる事象のことです。例えば、ウイルス感染、不正アクセス、情報漏えい、リソースの不正使用、サービス妨害、データの破壊などがインシデントに当たります。インシデントは人為的な事象を指して言うことが多く、ある程度の対策が可能です。
なぜインシデントレスポンス対策が重要なのか
端的に言えば、インシデントレスポンスの準備が求められるのは、被害を最小限に抑えることが可能になるためです。そして、この対応はセキュリティ強化にもつながります。インシデントレスポンスがなぜ重要か考えるうえで、特に押さえておきたいのは以下のようなポイントです。
- 完璧な防御は不可能という前提に立っている
インシデントレスポンスが重要な理由は、「発生してからの事後対応」を準備するためです。セキュリティをどれだけ強化しても、脆弱性やサイバー攻撃をなくすことはできません。未知の脆弱性を突かれれば、被害が発生します。内部から攻撃される可能性も否定できません。こうした視点からインシデントレスポンスの準備は、100%はないという前提に立ったセキュリティ対策を補完するものであるとも言えるでしょう。なお、脆弱性をより小さくするためには、サイバーハイジーンという考え方が必要です。以下の2つの記事も参考にしてください。
「担当者必見!脆弱性対策の進め方から具体的な対策方法までを解説!」
「今の時代こそ求められるサイバーハイジーンの必要性を徹底解説!」
- サイバー攻撃への素早い対応が可能になる
あらかじめインシデントレスポンスを準備しておくことで、攻撃があってもすぐに適切な対処を行うことができます。それによって被害を最小限に抑え、対処に必要なコストも削減することが可能です。
- 企業としての信用を守ることにもつながる
インシデントレスポンスにより、情報漏えいといった被害を最小限に抑えることができます。それによって、顧客情報の流出で顧客に損害を与えたり、企業としての信用を失ったりするようなリスクを軽減することが可能です。それは、企業としての信用を守ることにもつながります。
インシデントの種類
インシデントは、システムの改ざんを伴う深刻なものから、弱点探索といったシステム自体には被害の軽いものまで、さまざまです。JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)では、インシデントを7種類のカテゴリに分類しています。
JPCERT/CCは、インシデントに関する情報を収集・分析し、インシデントレスポンスについて技術的に助言や支援を行う組織です。
- フィッシングサイト
金融機関やECサイトなどとそっくりのWebサイトを作成し、間違えてアクセスしてきたユーザーに、ID、パスワード、クレジット番号などの情報を入力させます。
- Webサイトの改ざん
企業のWebサイトを書き換えて誤ったコンテンツを発信したり、マルウェアを埋め込んだりします。サイバー攻撃の踏み台にされることも多いです。
システムに侵入し、システムを改ざんしたりアクセス権限を変更したりするものもあります。
- マルウェアサイト
マルウェアを公開・配布しているWebサイトや、閲覧するとマルウェアに感染するWebサイトのことです。ターゲットがアクセスしそうなWebサイトを作成し、マルウェアに感染させる事例もたくさんあります。
- スキャン
サイバー攻撃の対象となるシステムにアクセスし、その端末やセキュリティホールを探索することです。
なりすまし、踏み台、サーバープログラムの不正中継など、さまざまなサイバー攻撃のもとになり、ブルートフォース攻撃(総当たり攻撃)などさまざまな手法が使われます。
- DoS攻撃・DDoS攻撃
攻撃対象のシステムやサーバーに大量のデータを送信し、サーバーに負荷をかけるサイバー攻撃です。サービスが一時停止することでそのサービスを使っているユーザーからクレームを受けたり、損害賠償請求を受けたりします。また、サーバーが従量課金制のクラウドサービスを利用している場合、利用料金面での被害も甚大です。
- 制御システム関連インシデント
工場やプラントなど、インターネット経由でシステムを制御している設備に関連するインシデントです。このような設備がサイバー攻撃を受けると、大規模な被害につながるリスクがあります。
- 標的型攻撃
特定の企業やシステムを標的にし、集中的にサイバー攻撃を行う手法です。メールによるフィッシングやDoS/DDoS攻撃など、さまざまな手法があります。
インシデントハンドリングの対応フロー
インシデントが発生してから解決するまでの一連の流れがインシデントハンドリングです。インシデントレスポンスをもとにしたインシデントハンドリングのフローとして、JPCERT/CCでは、4段階のステップを提示しています。
- 検知・連絡受付
- トリアージ
- インシデントレスポンス(対応)
- 報告・情報公開
実際には、インシデント発生前にインシデントレスポンスの準備が必要です。
準備
インシデントハンドリングには含まれませんが、最も重要な段階です。インシデントレスポンスのポリシーと対応策、報告先など必要事項を決定します。また、対応マニュアルや連絡先一覧などのドキュメント作成も必要です。
検知・連絡受付
インシデントを認識する段階です。インシデントの発生を社内で見つけるのが「検知」に当たります。
ユーザーの問い合わせやクレームなど外部からの通報で認識するのが「連絡受付」です。サービス全体がダウンしていては連絡を受けることができないので、複数の窓口や冗長化によるリスクヘッジが必要です。
トリアージ
そもそも対応が必要なインシデントか、どのインシデントから対応するか、などを判断します。
対応が必要であれば次の「インシデントレスポンス」の段階に移りましょう。不要であれば、インシデントの報告者や関係者に連絡するといったように、適切に情報を公開します。
インシデントレスポンス(対応)
サーバー停止、ネットワーク切断、バックアップからの復元など、必要な対応を行います。社内で対応可能な場合も多いですが、場合によっては外部専門機関の協力が必要です。対応後には、原因分析や再発防止策の策定を行います。
実際にインシデントに対応するときには、多くの場合、EDRやEPPなどサイバーセキュリティを利用することになるでしょう。
EDRについて詳しくは、「EDRとは何か?仕組みや従来型ウイルス対策との違いを分かりやすく解説」をご参照ください。
報告・情報公開
インシデントへの対応が終了したら、必要な情報を公開します。インシデントの報告者や関係者への連絡、監督官庁への報告、メディアへのプレスリリースなどです。
まとめ:インシデントレスポンスはインシデント発生前の準備が重要
インシデントレスポンスは、インシデントの被害を抑えるためのものです。しかし、インシデントが発生してから準備するのでは意味がありません。あらかじめ効果的な対策を用意しておくことで、インシデント発生後にすぐに対処できるのです。
つまり、インシデントレスポンスで最も重要なのはインシデント発生前、対策を考えている段階です。これは平時のセキュリティ、つまりサイバーハイジーンのひとつと言えます。
ただし、インシデントやセキュリティについての知識や情報がなければ、効果的なインシデント対策を策定することは難しいでしょう。その場合は、専門家のサポートを導入するのがおすすめです。
タニウムの統合エンドポイント管理により、社内すべてのエンドポイントを効率的に管理し、サイバーハイジーン実現できます。さらに、トータルにセキュリティを実現する統合エンドポイントセキュリティと併用することで、高いレベルのサイバーハイジーンとサイバーセキュリティ対策を容易に実現可能です。
