クラウドインシデント対応

インシデント対応 (IR) は、組織の環境内でサイバーセキュリティ インシデントを管理するプラクティスです。 これには、潜在的なサイバー攻撃やその他のセキュリティインシデントの検出、調査、封じ込め、修復、および回復が含まれます。

組織がクラウド コンピューティングを導入し、データとアプリケーションをクラウド環境に移動する際には、クラウド セキュリティ インシデントを管理する機能も必要になります。 クラウド インシデント対応は、多くの組織が管理に慣れているオンプレミスの企業所有システムとは大きく異なる環境でこれらのインシデントを管理するプロセスです。

評価をダウンロード 詳細はこちら

クラウド IR は従来のインシデント対応とどう違うのか

クラウドでのインシデント対応は、オンプレミス環境とは大きく異なります。 その理由は、クラウド自体が従来のオンプレミスのデータセンターとは異なるためです。 クラウドでは、同社は基盤となるインフラストラクチャを所有しておらず、システムへのリモート アクセスのみが可能です。

これはクラウド IR の仕組みに大きな影響を与えます。 基盤となるインフラストラクチャにアクセスできない場合、インシデント対応者はオンプレミス環境と同じツールや手法の多くを使用できません。 リモート アクセスは、組織がインシデントを調査、封じ込め、修復する方法にも影響を与えます。

クラウドIRのメリット

クラウド IR とオンプレミス IR の違いにより確かに課題が生じますが、クラウド IR には注目に値する利点もあります。

  • 簡素化されたデータ管理:クラウドのインシデント対応者は、他のユーザーと同じクラウドの柔軟性とスケーラビリティを活用できます。 インシデント対応者は、後の調査のために重要なデータのバックアップを簡単に作成でき、仮想マシン (VM) のスナップショットを利用して、後の分析のためにシステム状態を保存できます。
  • 迅速な対応:クラウド環境は、VM や仮想ネットワークなどの仮想化に依存しています。 これにより、インシデント対応者は、仮想マシンを既知の正常な状態にロールバックすることで、インシデントを封じ込めたり、修復したりすることが迅速かつ簡単になります。

クラウドIRの主な課題

企業は、従来のオンプレミス データセンターと同じ目的の多くにクラウド環境を使用します。 ただし、クラウドはこれらの環境とは大きく異なるため、セキュリティに重大な課題が生じます。

クラウドにおけるインシデント対応の違いには次のようなものがあります。

    • 物理的なアクセスの欠如: 多くの場合、インシデント対応者は、システムへの物理的なアクセスを使用して、インシデントを封じ込めたり、フォレンジック データを収集したりします。 クラウド環境では、インフラストラクチャはクラウド プロバイダーによって所有および管理され、顧客はデータやアプリケーションをホストする物理サーバーにアクセスできません。
    • 迅速な開発ライフサイクル:クラウド環境では、プログラマーがソフトウェアを迅速かつ定期的に更新する DevOps 開発プロセスの使用が推奨されます。 これらの更新により、企業がニーズの進化に応じてクラウド インフラストラクチャを立ち上げたり廃止したりする際に、クラウド インフラストラクチャが変更される可能性があります。 これらの急速な変化は、調査するインフラストラクチャが急速に変化し、インシデントに関係した仮想マシンがすでに削除されている可能性があるため、インシデント対応を複雑にします。
    • コントロールの欠如:企業にはクラウド環境に対する所有権とコントロールが不足しているため、インシデント対応者は調査に使い慣れたツールやテクニックを使用できない可能性があります。 さらに、クラウド環境におけるシャドー IT のリスクは、IT の知識または監督を持った従業員によってセットアップされたクラウド環境によってインシデントが引き起こされることを意味する可能性があります。
    • 対象分野の専門知識:クラウド環境とクラウド IR はオンプレミスとは大きく異なるため、企業はクラウドで IR を効果的に実行するために必要な知識と能力を備えた専門家を見つけるのに苦労する可能性があります。
  • 可視性の欠如:クラウド環境は非常に複雑かつ動的であることが多いため、すべての資産とアクティビティに対する完全な可視性を維持することが困難になります。 複数のクラウド プロバイダーやリージョンにわたるリソースの監視と追跡は困難な場合があり、セキュリティ インシデントを見逃す可能性が高くなります。
  • データと証拠の収集: VMを使用するため、データと証拠の収集が容易になります。 ただし、その一方で、ログがさまざまな場所で見つかる可能性がある、または見つける必要があるという欠点もあり、特にマルチクラウド環境ではそれが困難です。

クラウド IR のベスト プラクティス

クラウドの IR は従来の環境とは異なります。 クラウドでのインシデント対応チーム (IRT) の有効性を高めるためのベスト プラクティスには、次のようなものがあります。

  • 積極的に行動する:クラウド環境で定期的なリスク評価とセキュリティ監査を実行します。 これにより、IRT は脆弱性を特定し、攻撃者によって悪用される前にこれらのセキュリティ ギャップを閉じることができます。
  • 自動化の活用:自動監視を使用して、クラウド環境のセキュリティ構成の誤りを検出して修正します。 これにより、IRTはセキュリティインシデントになる前に問題を迅速に発見して修正できます。
  • ツールの選択:従来のインシデント対応ツールはクラウドでは機能しない可能性があります。 クラウド環境で動作するツールを選択し、それらの効果的な使用方法について IRT メンバーをトレーニングします。
  • クラウド上でトレーニングする:クラウド環境はオンプレミスのデータセンターとは異なります。 これらの違いと、クラウド環境でデータを効果的に収集してインシデントを修復する方法について IRT メンバーをトレーニングします。

Infinity Global ServicesによるクラウドIR

クラウドでのインシデント対応は他の環境とは異なる場合があります。 企業が直面する最も一般的な課題の 1 つは、クラウド内のセキュリティ インシデントの調査と修復に必要な知識と専門知識を備えたインシデント対応担当者を見つけることです。

チェック・ポイントInfinity Global は、プロフェッショナル サービス ポートフォリオの一環として、クラウド インシデント対応サポートを提供しています。 チェック・ポイントが組織のクラウド インフラストラクチャ内で潜在的なセキュリティ インシデントの管理をどのように支援できるかについて詳しく知りたい方は歓迎です。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK