Incident Response Steps: A Step-By-Step Plan

インシデント対応は 、組織のシステム内のセキュリティインシデントを管理するプロセスです。 セキュリティインシデントはさまざまですが、セキュリティインシデントを特定、修復、および回復するための一定のプロセスを持つことで、組織への影響を抑えることができます。

Incident Response Service サンプルレポートをダウンロード

インシデント対応の軽減手順

米国国立標準技術研究所 (NIST) は 、セキュリティ インシデントを管理するための 4 つのステップのプロセスを定義しています。

#1.インシデント対応の準備

インシデントが発生したときに組織が準備ができていることを確認するためには、準備が不可欠です。 準備段階の主な要素には、次のようなものがあります。

  • インシデント対応計画: 企業はさまざまなサイバー脅威(インサイダー脅威など)に直面しており、それらに対処するためのプロセスを用意する必要があります。 たとえば、効果的なインシデント対応計画には、ランサムウェア、分散型サービス妨害攻撃 (DDoS)、データ侵害、その他のサイバー攻撃を管理するための戦略を含める必要があります。
  • インシデント対応チーム (IRT) の育成: IRTは、特定されたインシデントを管理する責任があり、迅速な対応を取れる必要があります。 事前にチームを定義することで、メンバーは迅速に行動でき、インシデントが発生する前に対応者をトレーニングする機会が得られます。
  • 役割と責任の定義: インシデント対応フレームワークには、迅速な意思決定と行動が必要です。 役割と責任は事前に定義しておき、全員が自分の役割と重要な決定について誰に連絡すればよいかを理解できるようにする必要があります。
  • コミュニケーションチャネルの確立: IRTは、インシデントへの迅速な対応を確保するために、常にアクセス可能である必要があります。 さらに、組織は、上級管理職、法務、法執行機関、規制当局など、内部および外部の主要な利害関係者に連絡するためのチャネルを確立する必要があります。
  • 実施 リスク評価: インシデントを未然に防ぐことは、事後的にインシデントを管理するよりも常に優れています。 定期的なリスク評価により、攻撃者に悪用される前に組織が埋めることができるセキュリティギャップを浮き彫りにすることができます。

#2. 初期識別と評価

IRT がインシデントへの対処を開始する前に、問題が存在することを知る必要があります。 インシデントの特定と評価に向けた重要なステップには、次のようなものがあります。

  • 認識 侵害の兆候 (IoC): IoCは、疑わしいネットワークトラフィックやコンピューター上のマルウェアの存在など、サイバーインシデントが発生した兆候です。 継続的な監視により、潜在的なセキュリティインシデントを示すこれらのIoCを特定できます。
  • セキュリティイベントの検出と分析: IoC の識別とインシデント検出は、イベント監視によって有効になります。 アナリストは、セキュリティ情報およびイベント管理 (SIEM) や同様のソリューションを使用して、セキュリティ インシデントを示す異常や傾向を特定できます。
  • インシデントの種類の判別: 企業はさまざまなセキュリティインシデントを経験する可能性があります。 インシデントの種類と範囲を決定することは、インシデントの優先順位付けと正しい対応にとって重要です。
  • 影響とリスクに基づくインシデントの優先順位付け: 組織は、複数の サイバー攻撃を同時に受ける可能性があります。 優先順位付けは、軽微なインシデントへの対応のために会社が重大なインシデントの管理を見落としたり、遅延させたりしないようにするために不可欠です。

#3.封じ込め、緩和、復旧

インシデントが特定された後、サイバーセキュリティの脅威を封じ込め、それを軽減することは、被害を制限するために不可欠です。

このフェーズの主な活動には、次のようなものがあります。

  • 短期的な封じ込め戦略: 短期的には、IRTは侵入の拡大を迅速に阻止するための措置を講じる必要があります。 これには、重要なシステムやサービスの停止など、長期的に維持できない、より破壊的な封じ込め戦略が含まれる場合があります。
  • 長期的な封じ込め戦略: 組織は、長期的には、より的を絞った封じ込め戦略が必要になる可能性があります。 この戦略は、インシデントの種類と影響を受けるシステムのセットに基づいている必要があり、IRTは事前に短期および長期の封じ込め計画を作成する必要があります。
  • 侵害されたシステムの調査と修復: 影響を受けたシステムが分離された後、IRT は侵害されたシステムの調査と修復を開始できます。 これには、対象を絞った修復を可能にし、あらゆる法的措置をサポートするためのデータと証拠の収集が含まれます。
  • 影響を受けたシステムとサービスの復元: インシデントが修復されたら、影響を受けたシステムを通常の状態に戻すことができます。 このプロセス全体を通じて、IRTはシステムを監視し、テストして、侵入の完全な根絶と完全な回復を確認する必要があります。

#4.イベント後の活動

インシデント対応が完了すると、IRT は次のようなラップアップ アクティビティを実行できます。

  • インシデントの文書化: インシデントを完全に文書化することは、将来のインシデントで同様の問題を回避し、規制コンプライアンスを維持するための鍵です。 インシデント対応者は、IRプロセス中にメモを取り、完了後に正式なドキュメントを作成する必要があります。
  • ふりかえりの実行: IRT は、通常、セキュリティ インシデントの後に振り返りを実施します。 これにより、インシデント対応プロセスの問題点を特定し、将来修正することができます。
  • 根本原因への対処: 調査中、IRT はインシデントの発生を可能にした最初の脆弱性を特定する必要があります。 組織は、パッチや更新プログラムを適用するか、セキュリティ制御を強化するためのその他の措置を講じることで、この問題に対処できます。

チェック・ポイントによるインシデント対応サービス

あなたの組織でセキュリティ・インシデントが発生している場合は、 チェック・ポイント ThreatCloud インシデント・レスポンス がお役に立ちます。 インシデント対応ホットラインからお問い合わせください。

チェック・ポイントは、企業が潜在的なインシデントに備え、防止に取り組むのにも役立ちます。 詳細については、根本原因分析および侵害評価サービスのサンプル レポートをご覧ください

スタート

チェック・ポイントのインシデント対応

Security Consulting

Incident Response Solution Brief

関連トピック

Cloud Incident Response

MDR セキュリティ

ランサムウェアの回復

インシデント レスポンス

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK