インシデント対応とは
インシデント対応(IR)とは、データ侵害に対する準備、データ侵害の検知、封じ込め、およびデータ侵害からリカバリする手順です。
インシデント対応計画とは
インシデント対応計画とは、組織のインシデント対応プログラムの手段、手順、義務を説明するドキュメントです。
インシデント対応計画には、次の詳細が含まれます。
- インシデント対応が組織の広範なミッションをサポートする方法
- インシデント対応に対する組織のアプローチ
- インシデント対応の各フェーズにおける必要なアクション
- IRアクティビティを完了するためのロールと担当者
- インシデント対応チームと組織のその他の部署との通信経路
- IR機能の有効性を把握するための指標
IR計画の価値は、サイバーセキュリティインシデントが終了しても終わりではないことに注意してください。IR計画は、訴訟の成功をサポートし、監査人に示す文書、リスク評価プロセスに取り込む履歴情報を提供し、インシデントプロセス自体を向上させます。
インシデント対応手順とは
米国標準技術局(NIST)によると、IRには次の4つの重要なフェーズがあります。
- 権限:インシデントに対して即座に効果的な対応ができる組織はありません。イベントの防止と対応の両方に対して計画を立てる必要があります。
- 検知と分析:次のIRのフェーズは、インシデントの発生の有無、その重大度とタイプを判断することです。
- 封じ込めと除去:封じ込めフェースの目的は、インシデントによる被害が拡大する前に、その影響を阻止することです。
- インシデント後のリカバリ:関係者全員が参加する対策会議は、重大なインシデントの後には必ず実施する必要があります。また、重大度の低いインシデントの後も、全体的なセキュリティ、特にインシデント処理を向上させる目的のためにも実施することを推奨します。
インシデント対応計画が重要な理由
サイバーインシデントは、単なる技術的な問題ではありません。それらは、ビジネス上の問題でもあります。サイバーインシデントを早く低減できれば、損害も少なくなります。
数週間にわたり話題となった最近の侵害について考えてみましょう。会社は、かなり前から問題を知らされていましたが、対処できていましたか。広報部はインシデントの重大度を軽視し、詳しい調査によりその対応を批判されることになりましたか。影響を受けた個人とのコミュニケーションが不足したため、大きな混乱を招くことになりましたか。会社の幹部は、問題を真剣に受け止めなかった、または株を売却するなどしたことで、インシデントに適切に対処しなかったことを批判されましたか。これらのことは、組織に計画がなかったことを明らかに示しています。
インシデント対応計画は技術的問題だけではないため、IR計画は組織の優先度とその許容可能なリスクのレベルに応じて策定する必要があります。
インシデント対応リーダーは、組織の短期的な運用要件と長期的戦略の目標を理解し、インシデント対応中および対応後の中断やデータ損失を最小限に抑える必要があります。
インシデント対応プロセスを介して取得された情報は、リスク評価プロセスに加え、インシデント対応プロセス自体にフィードバックすることで、将来のインシデントをより適切に処理し、全体的なセキュリティポスチャをさらに強化することもできます。投資家、株主、カスタマー、メディア、裁判官、監査人がインシデントについて質問した場合、インシデント対応計画を用意している企業は、その記録を提示することで、攻撃に対して責任を持って徹底的に行動したことを証明できます。