サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 技術や仕組み IR(インシデントレスポンス)とは

IR(インシデントレスポンス)とは

IR(インシデントレスポンス)とは
目次
  • IR(インシデントレスポンス)とは
  • インシデントハンドリング
  • インシデントレスポンスを組織的に強化する
  • おわりに

IR(インシデントレスポンス)とは

インシデントレスポンスとは、その名の通り、「サイバー攻撃などのセキュリティインシデントが発生した際に対応(レスポンス)する為の手段」を指します。インシデントへの対応を迅速かつ適切に実施する事で、企業の損害を最小限に抑える事を目的としています。

近年、標的型サイバー攻撃の手口は巧妙化・高度化の一途を辿っており、被害を完全に防ぐことは不可能とも言われています。そうした中で、予め侵入などのインシデントの発生を想定し、インシデント検知や初動対応を迅速に行う仕組みを作る事(インシデントハンドリング)が、被害の最小化に重要となってきます。

インシデントハンドリング

インシデントハンドリングとは、「インシデントの発生から解決までの処理を行う活動」を指します。インシデントハンドリングは大きく分けて以下の4つのフェーズに分かれています。

  • ・検知/連絡受付
  • ・優先順位付け(トリアージ)
  • ・対応(インシデントレスポンス)
  • ・報告/情報公開、事件後の対応

・検知/連絡受付

インシデントが発生した場合に各種ツールからインシデントに関連するイベントを集めてインシデントの検出・特定を迅速に実施します。他にも、システムログなどから普段の業務ではありえない不正な通信などの発見や、通報からインシデントの発生を知り得る可能性があります。

・優先順位付け(トリアージ)

検知したインシデントが対応すべきものとは限らない場合や、複数のインシデントが同時に発生する可能性もあります。このような場合は優先的に対応すべきインシデントを判断することが重要です。このインシデント対応の優先順位付けをトリアージと呼びます。

・対応(インシデントレスポンス)

トリアージにより、対応すべきと判断したインシデントに対応します。具体的な対応内容として以下が挙げられます。

  1)証拠保全(フォレンジック):各種ログやディスク、メモリ情報を保全する
  2)分析:保全した情報を分析する
  3)封じ込め:ネットワークの遮断など被害拡大を防止する
  4)根絶:インシデントの要因を根絶する
  5)復旧:システムを通常の状態に復元する

・報告/情報公開、事件後の対応

発生したインシデントの内容や、対応状況を振り返り、同様のインシデントの発生防止や、より適切なインシデント対応に向けた再発防止策の検討を行います。また必要に応じて、メディアや一般向けのプレスリリースなど対外的な報告を行います。

インシデントレスポンスを組織的に強化する

こうしたインシデントに迅速・適切に対応する為に、組織内の情報セキュリティ問題を専門に扱う、CSIRT(Computer Security Incident Response Team)SOC(Security Operation Center)が注目されています。

・CSIRT

インシデント発生時にインシデントレスポンスを主体的に担う専門チーム。インシデントマネジメントを全般的に担当し、インシデントレスポンスだけではなく、事前の情報収集やインシデントハンドリングマニュアルの作成などを担います。

・SOC

ファイアウォールなどのネットワーク機器や、アプリケーションなどのログを監視・分析するとともに、インシデントの発見を担う組織。巧妙化するインシデントの兆候を見抜くためには、高いセキュリティスキルが求められる。そのような背景から「セキュリティ監視サービス」をはじめ、SOCをアウトソーシングサービスとして展開する事業者も増えており、セキュリティ人材を確保することが難しい中小企業などで利用されはじめています。

関連リンク 「SOC」と「MSS」をすっきり理解しよう

おわりに

サイバー攻撃の多様化、巧妙化により、企業のセキュリティ担当者が対応すべき範囲はますます拡大しています。インシデントレスポンスを確実にしていくためには、常にメンバーや組織内で知識を共有し、方針を定めておくことが必要です。また、情報システムやネットワークの監視を社内で対応する事が難しい場合はSOCなどの外部サービスを利用することも考えられます。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 櫻林 賢治

前職では大手電機メーカーのグループ会社にて、主にWebアプリケーションのシステム開発業務に従事。
2016年より3年間、独立行政法人 情報処理推進機構(IPA)に派遣され、標的型サイバー攻撃の被害に遭われた企業・団体に対する、 インシデント初動対応の支援業務に従事する。
IPAでの業務経験により、サイバーセキュリティの業界に関心を持ち、2020年4月より、 株式会社SHIFT SECURITYに入社。同社ではクラウド環境の脆弱性診断、監視業務に従事。

\ 記事をシェアする /

サービスに関する
お問い合わせ