インシデントレスポンス
定義
インシデントレスポンスとはセキュリティインシデント(マルウェア感染・情報漏洩・不正アクセスなど)が発生した際に被害を最小化し、迅速に事業を復旧するための対応プロセスです。NIST SP 800-61に基づく「準備→検知・分析→封じ込め→根絶→復旧→事後分析(Lessons Learned)」の6フェーズが業界標準として広く採用されています。IBMのレポートでは平均検出時間(MTTD)194日・封じ込め時間(MTTC)292日であり、早期発見が損害額(平均$4.88M)の大幅な削減につながります。インシデント前にプレイブック(対応手順書)・連絡先リスト(CSIRT・法執行機関・法律顧問・PR担当)・フォレンジクス体制を整備しておく「準備フェーズ」が最も重要な投資です。定期的なインシデント対応訓練(テーブルトップ演習・レッドチーム演習)を行うことで、実際の有事での混乱・判断ミスを大幅に減らせます。
詳細解説
IBMの調査によるとインシデントの平均検出時間(MTTD)は約194日、封じ込めまでの平均時間(MTTC)は292日です。早期検出が損害軽減の鍵であり、SIEMやEDRの整備が検出時間を大幅に短縮します。事前のプレイブック(対応手順書)整備と定期的な演習がインシデント発生時の混乱を防ぎます。
ポイント
- 準備フェーズ:プレイブック・連絡先リスト・バックアップを事前に整備しておく
- 検知・封じ込め:ネットワーク切断・アカウント無効化・スナップショット取得が初動
- 根絶・復旧:マルウェア除去・パッチ適用・バックアップからの復元
- 事後分析:根本原因分析(RCA)とプロセス改善(Lessons Learned)を必ず実施
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリテ…
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検…
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・M…
関連するレッスン
組織を守る実践的な防御策を学ぶ