【前編】"備えあれば憂いなし"を体現する"インシデントレディネス"のススメ
はじめに
企業のシステム環境をセキュアな状態に保つために欠かせないセキュリティ運用。多くの企業が複数のソリューションを導入し、検知アラートの調査分析や端末隔離などの一次的な対処、復旧から恒久対策までを、自社のリソースもしくは外部のサービスを利用して実施していることでしょう。
こういったセキュリティ運用には一筋縄では解決できない多くの課題がつきものですが、一番大きく根本的な課題は、セキュリティを強化すればするほど業務が増え、課題が増えていってしまうというところにあります。
今回は、この根本課題に対するアプローチとして「インシデントレディネス」という考え方をご紹介させていただきますので、ご参考にしていただけますと幸いです。
インシデントレディネスとは
インシデントレディネス(Incident Readiness)とは、万が一インシデントが発生してしまった際に迅速に対応するために、入念な準備が重要であるという考えです。
具体的には、インシデント対応時のフローや判断基準の明確化、社内システムおよび資産の洗い出し、関係各部署との事前調整など、組織体制や運用フローなども含めて準備をしておくといったことが挙げられます。
入念な準備によってインシデント対応が迅速化することで、被害の発生や拡大を最小限に食い止めることに繋がることはもちろんですが、対応フローや基準が明確化されることによって潜在的な課題を発見したり、セキュリティ運用全体が可視化されたりすることでPDCAを回すための情報が揃う、属人化が改善されるなど、副次的な効果が得られるメリットもあります。
もし、目の前のインシデント対応を捌くだけで手いっぱいになり、見直しや改善まで手が回らない、求められるスキルが高く簡単には人的リソースを増やせない、もしくは特定の脅威の根本対策をしなければならないが何からすべきか分からないなどの状況に陥っている場合は、インシデントレディネスの推進が必要と言えるでしょう。
わずか2時間で被害拡大!早急なインシデントレスポンスが求められる背景
インシデントレディネスという考え方が重要となってきた背景としては、いくつかの環境変化が挙げられます。脅威の高度化による被害(≒ビジネスインパクト)の甚大化、攻撃の展開スピードの高速化、ビジネスのデジタル化による保護対象領域の拡大等はその代表例です。
中でも攻撃スピードについてCrowdStrike社の統計情報によると、侵入後わずか2時間で他の周辺機器への横展開が行われることが示されています。これは2時間以内に検出や封じ込めができなければ、侵入者はシステムの奥深くに入り込み隠れることができてしまうということにつながります。別の統計では、このようなシステム内部に侵入した攻撃者が発見されるまでに、約80日間要するというものがあります。こういった統計から初動対応がいかに重要であるかをご理解いただけるかと思います。
こういった背景を踏まえるとインシデントが発生してからあれこれ対応し始めるのでは遅すぎると言わざるを得ません。事前に入念な準備を行っておき、万一のインシデント発生時にも最短時間で対処できる状態を整えておくことが、何よりも重要になります。
インシデント対応の実態と望ましい姿
企業様のセキュリティ運用の実態を把握するために、いくつかの企業様にヒアリングさせていただいたところ、インシデント発生時には「ユーザへのヒアリング」や「ネットワークケーブルの抜線などの作業を依頼する」「アラート情報をもとに手動で脅威情報を自社システムに登録する」などの対応をされていました。
これらは運用の中で必要な対応ではありますが、セキュリティ運用部門・担当者以外の対応を待つ時間が発生し、定型的な手作業によって一定の時間がかかるなど、インシデントが起きてから実施するのが望ましくないリアクティブな対応と言えます。
これからは、ヒアリングや作業依頼といったコミュニケーション、定型作業を極力減らすために、システムレベルですぐに確認できるようにする、自動的にシステム登録できるようにするなど、プロアクティブに運用を高度化しながら対応していくことが重要です。
このような対応は一例にすぎませんが、インシデント対応を日々見直しながら準備を進めていける状態が、インシデントレディネスが目指す姿となります。
いかがでしたか?後編では、インシデントレディネスによる運用の高度化と効果や、インシデントレディネスを推進するためのソリューションについて解説します。
後編はこちら
※本記事は2021年5月に開催した「Macnica Security Forum 2021」の講演内容を元に執筆しています。
その他の講演内容はこちら▼
【後編】"備えあれば憂いなし"を体現する"インシデントレディネス"のススメ