クラウド IR は従来のインシデント対応とどう違うのか
クラウドでのインシデント対応は、オンプレミス環境とは大きく異なります。 その理由は、クラウド自体が従来のオンプレミスのデータセンターとは異なるためです。 クラウドでは、同社は基盤となるインフラストラクチャを所有しておらず、システムへのリモート アクセスのみが可能です。
これはクラウド IR の仕組みに大きな影響を与えます。 基盤となるインフラストラクチャにアクセスできない場合、インシデント対応者はオンプレミス環境と同じツールや手法の多くを使用できません。 リモート アクセスは、組織がインシデントを調査、封じ込め、修復する方法にも影響を与えます。
クラウドIRの主な課題
企業は、従来のオンプレミス データセンターと同じ目的の多くにクラウド環境を使用します。 ただし、クラウドはこれらの環境とは大きく異なるため、セキュリティに重大な課題が生じます。
クラウドにおけるインシデント対応の違いには次のようなものがあります。
-
- 物理的なアクセスの欠如: 多くの場合、インシデント対応者は、システムへの物理的なアクセスを使用して、インシデントを封じ込めたり、フォレンジック データを収集したりします。 クラウド環境では、インフラストラクチャはクラウド プロバイダーによって所有および管理され、顧客はデータやアプリケーションをホストする物理サーバーにアクセスできません。
- 迅速な開発ライフサイクル:クラウド環境では、プログラマーがソフトウェアを迅速かつ定期的に更新する DevOps 開発プロセスの使用が推奨されます。 これらの更新により、企業がニーズの進化に応じてクラウド インフラストラクチャを立ち上げたり廃止したりする際に、クラウド インフラストラクチャが変更される可能性があります。 これらの急速な変化は、調査するインフラストラクチャが急速に変化し、インシデントに関係した仮想マシンがすでに削除されている可能性があるため、インシデント対応を複雑にします。
- コントロールの欠如:企業にはクラウド環境に対する所有権とコントロールが不足しているため、インシデント対応者は調査に使い慣れたツールやテクニックを使用できない可能性があります。 さらに、クラウド環境におけるシャドー IT のリスクは、IT の知識または監督を持った従業員によってセットアップされたクラウド環境によってインシデントが引き起こされることを意味する可能性があります。
- 対象分野の専門知識:クラウド環境とクラウド IR はオンプレミスとは大きく異なるため、企業はクラウドで IR を効果的に実行するために必要な知識と能力を備えた専門家を見つけるのに苦労する可能性があります。
- 可視性の欠如:クラウド環境は非常に複雑かつ動的であることが多いため、すべての資産とアクティビティに対する完全な可視性を維持することが困難になります。 複数のクラウド プロバイダーやリージョンにわたるリソースの監視と追跡は困難な場合があり、セキュリティ インシデントを見逃す可能性が高くなります。
- データと証拠の収集: VMを使用するため、データと証拠の収集が容易になります。 ただし、その一方で、ログがさまざまな場所で見つかる可能性がある、または見つける必要があるという欠点もあり、特にマルチクラウド環境ではそれが困難です。
Infinity Global ServicesによるクラウドIR
クラウドでのインシデント対応は他の環境とは異なる場合があります。 企業が直面する最も一般的な課題の 1 つは、クラウド内のセキュリティ インシデントの調査と修復に必要な知識と専門知識を備えたインシデント対応担当者を見つけることです。
チェック・ポイントInfinity Global は、プロフェッショナル サービス ポートフォリオの一環として、クラウド インシデント対応サポートを提供しています。 チェック・ポイントが組織のクラウド インフラストラクチャ内で潜在的なセキュリティ インシデントの管理をどのように支援できるかについて詳しく知りたい方は歓迎です。
Feedback