We couldn't find a match for given <KEYWORD>, please try again.

インシデント レスポンスとは

インシデント レスポンス(IR)とは、攻撃を迅速に特定し、その影響を最小限に抑え、被害を封じ込め、原因を修正して将来のインシデントのリスクを低減する取り組みです。

インシデント レスポンスの定義

ほぼすべての企業が、インシデント レスポンスのプロセスをなんらかの形で用意しています。ただし、より正式なプロセスを確立しようとしている企業は、想定される次のような質問について検討する必要があります。

  1. インシデントが発生した場合にどのような手順を通じて担当者による対応を開始するのか?
  2. レスポンス プランはどの程度包括的で具体的であるべきか?
  3. 適切な対応を行うのに十分な人員(かつ適切な人員)を確保しているか?
  4. インシデントへの対応から通常運用への復帰までに関して、どのような SLA が許容されるか?

Ponemon Institute の調査によると、以下のようにほとんどの企業がこの中の 1 つ以上の分野で準備不足の状態にあるため、現状には改善の余地があるようです。

77% の企業が一貫して適用される正式な計画を策定していないと回答

57% が対応に時間がかかるようになったと回答

77% がセキュリティ スタッフの雇用と維持に苦心していると回答*


平均では、悪意のある攻撃や犯罪的な攻撃の特定に 214 日かかり、封じ込めと復旧に 77 日かかっています。勢いを増し続ける多数の脅威から組織を確実に保護するためには、より優れたインシデント レスポンス管理が必要であることは明白です。

*IBM の調査:Responding to Cybersecurity Incidents Still a Major Challenge for Businesses

VMware Security の概要

バイデン政権、既知の脆弱性に対するパッチを適用するよう連邦政府機関に指示

インシデント レスポンスの基本

A. 適切なチーム:もっとも効果的なインシデント レスポンスを実現するために、業界のエキスパートは、企業の規模に関係なく、下に述べるような役割で構成されるチームを編成することを推奨しています。当然ながら、技術チームが率先して対応に臨むことになりますが、深刻な攻撃が発生した場合には特に、社内のその他の部署も参加する必要があります。このような役割を担う人員を特定したら、広範囲に影響が及ぶ深刻で大規模な攻撃が発生した場合に果たすべき責任についての教育を実施します。役割には、インシデント レスポンス、セキュリティ分析、IT、脅威調査、法務、人事、企業広報、リスク管理、経営陣、社外のセキュリティ フォレンジック専門家が含まれます。

B. 適切な計画:包括的なインシデント レスポンス プランには、少なくとも次の戦術とプロセスが必要です。

  • どのような種類の脅威にも対応できる体制をチームで整える
  • インシデントが発生したら検知し、その種類と深刻度を特定する
  • 被害を封じ込めて限局化する
  • 影響と関連リスクを判断する
  • 根本原因を見つけて根絶する
  • 攻撃を緩和して解決する
  • 将来の攻撃を防ぐために、攻撃後の計画を分析して修正する

攻撃が進行しているときはコミュニケーションが重要になります。そのため、レスポンス プランの一環として、適切なコミュニケーション フローを確立しておく必要があります。

C. 適切なツール:未知の攻撃が増加するなか、企業は適切なツールによって時間と費用を大幅に節約できる可能性があります。これは、顧客とブランド ロイヤルティを守るうえでも役立ちます。

情報は、あらゆるインシデント レスポンス プランにおいて重要な資産です。そのため、一般的なクラウドベースのエンドポイント セキュリティ ソリューションは、重要なデータへのアクセスを含め、攻撃をもっとも迅速に軽減するためのもっとも包括的なツールを次のように提供します。

  • Unfiltered Data の取得により、レスポンス チームは、以前に検出された攻撃のパターンや振る舞いだけでなく、エンドポイントの振る舞いに関するインサイトを得られます。これは、攻撃に関する調査を数日から数分に短縮するための鍵であり、未知の攻撃手法が増え続けている今日の状況を考えると特に重要です。
  • データ分析により、現在と過去のあらゆるエンドポイントのアクティビティが可視化されます。適切なデータがあれば、攻撃がどこで始まり、どのような経路をたどったかを特定できるため、より迅速な修正が可能になります。
  • 社外の脅威インテリジェンスは、自社にとっては未知だが他社は経験している脅威を迅速に特定するのに役立ちます。繰り返しになりますが、対象がなんであるかを知っていれば、対応を迅速化できます。
  • Live Response 機能により、リモート エンドポイントを修正できるため、イメージの再展開の必要性を排除できます。

サイバー攻撃に対するレジリエンスを持つ組織に関する第 3 回年次調査

業界の動向:アウトソーシングはインシデント レスポンスの態勢強化の解決策になるか

企業が直面するセキュリティ上の課題に関するほぼすべての調査には、高度なスキルを持つセキュリティ担当者の雇用と維持が難しいことを示す統計があり、上記の Ponemon による調査でも 77% が困難だと回答しています。重要なセキュリティ職の人材は 200 万人近く不足しており、その不足は世界中に急速に広がっています。

適切なセキュリティ担当者の不足はあらゆるインシデント レスポンスに深刻な影響を及ぼす可能性があるため、企業はこのようなセキュリティ機能のアウトソーシングを検討せざるを得ない状況に置かれています。実際、Gartner によれば、セキュリティ アウトソーシング サービスへの支出額は 2018 年に 180 億ドル超に達しており、コンサルティングに次いで 2 番目に大きなセキュリティ支出項目になっています。

適切な人員の採用が容易でない状況を考えれば、これは当然と言えます。マネージド サービスなら、セキュリティ チームが抱えているギャップをすぐに埋めることができるからです。マネージド サービスを利用すれば、アラートの優先順位付け、新たな脅威の発見、調査の迅速化を実現できます。通常、このようなサービスでは高度なスキルを持つ脅威エキスパートが常駐しており、企業の環境を常に監視し、新たな脅威を特定して、企業のチームがもっとも支援を必要としているときに重要なセキュリティ サービスを提供できます。

*Gartner は、2018 年の世界のセキュリティ支出が 2017 年から 8% 増えて 960 億ドルに達すると予測

解決策:適切な人員、計画、ツール、そして適切なベンダー

適切な人員、適切な計画、適切なツールがあったとしても、なにかが抜け落ちる可能性は依然としてあり、そのようなリスクにも対処する必要があります。有効な方法は、クラウドベースのエンドポイント セキュリティ プラットフォームや高度な脅威ハンティング機能を提供できる適切なベンダーと連携することです。

前述のように、マネージド サービスの脅威ハンティングに関するエキスパートは、企業の環境を監視したり、新たな脅威をチームに知らせたりすることができます。このようなエキスパートは次のことに対応できます。

  • アラートの分析、検証、優先順位付けを行い、適切なアクションの遂行を支援する
  • 早期の警告的な兆候や傾向を特定し、確実に対応できるようプロアクティブにアドバイザリを提供する
  • 調査や根本原因の分析を効率化するのに役立つ追加のコンテキストを提供するロードマップを使用して、根本原因を発見する

脅威ハンター チームはエンドポイント環境全体にわたって対応し、脅威のトリアージを行うこともできるため、企業のチームはもっとも重要なアラートに集中できます。また、将来の攻撃に先手を打って対処するためのグローバルな脅威インテリジェンスにアクセスすることもできます。

関連するソリューションおよび製品

VMware Carbon Black EDR

オンプレミスの Endpoint Detection and Response(EDR)

VMware Carbon Black Endpoint

クラウドネイティブなエンドポイント保護プラットフォーム

VMware Workspace ONE

ゼロトラスト セキュリティを実現するデジタルワークスペース プラットフォーム