インシデント対応の重要性

セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題です。準備なしに対応すると:

  • 復旧時間が2〜5倍長くなる
  • 証拠が消失して原因究明ができない
  • 法的リスク・規制違反が発生する
  • 再発防止策が不明確になる

IBMの調査では、インシデント対応計画(IRP)を持つ組織は、持たない組織と比べてデータ侵害のコストが平均$2.66M低いとされています。

NIST SP 800-61 の6フェーズ

NIST(米国国立標準技術研究所)のSP 800-61は、インシデント対応の世界標準ガイドラインです。

NIST SP 800-61 インシデント対応の6フェーズ(循環プロセス)

フェーズ1: 準備(Preparation)

インシデントが発生するに行う準備です。

必須の準備事項:

  • インシデント対応計画(IRP)の策定: 役割・手順・連絡先を文書化
  • CSIRT/SOCチームの編成: 誰が何を担当するかを決定
  • ツールの準備: フォレンジクスツール、ログ基盤、コミュニケーション手段
  • 訓練(Tabletop Exercise): シナリオベースの演習を定期実施
タブレットップ演習

机上演習(Tabletop Exercise)はシナリオを読み上げながら「あなたは次に何をしますか?」と問いかけ、チームの対応能力を確認する演習です。実際にシステムを操作せずに実施できるため、低コストで効果的な準備方法です。

フェーズ2: 検知と分析(Detection & Analysis)

インシデントの分類

重大度基準対応時間
Critical重要システムの完全停止・大規模データ漏えい即時(15分以内)
High部分的なサービス影響・活発な侵害活動1時間以内
Medium限定的な影響・疑わしいアクティビティ4時間以内
Low最小限の影響・潜在的な脅威翌営業日

初動調査のチェックリスト

  • 影響を受けているシステムとデータを特定
  • 攻撃の種類を仮説立て(ランサムウェア/フィッシング/内部不正等)
  • タイムラインの再構築開始
  • 証拠の揮発性を考慮した収集順序(メモリ → ログ → ディスクイメージ)

フェーズ3: 封じ込め(Containment)

攻撃の拡大を防ぎながら、証拠を保全します。

短期封じ込め(即時):

  • 感染ホストのネットワーク隔離
  • 侵害されたアカウントの無効化
  • 悪意のあるIPアドレスのブロック

長期封じ込め(中期):

  • パッチ未適用のシステムへの一時的な制限
  • 代替システムへの切り替え
  • 監視強化
証拠保全の優先度

封じ込め作業でシステムを再起動・シャットダウンする前に、メモリのフォレンジクスイメージを取得してください。電源を切るとRAM上の重要な証拠(暗号化鍵・ネットワーク接続・実行中プロセス)が失われます。

フェーズ4: 根絶(Eradication)

攻撃者の足がかりをすべて除去します。

  • マルウェア・バックドアの完全除去
  • 侵害されたアカウントのパスワードリセット
  • 悪意のあるコードが含まれるソフトウェアのアンインストール
  • 脆弱性のパッチ適用
  • 設定ミスの修正

フェーズ5: 復旧(Recovery)

正常運用に戻すフェーズです。段階的に実施します。

  1. クリーンなバックアップからの復元(復元前にバックアップの完全性を検証)
  2. 監視強化した状態での部分的な再稼働
  3. 異常がないことを確認してから完全再稼働

フェーズ6: 事後分析(Post-Incident Activity)

**ポストモーテム(事後振り返り)**で学びを次回に活かします。

効果的なポストモーテムの構成
項目内容
インシデントの概要何が、いつ、どのように発生したか
タイムライン検知・対応・復旧の時系列
根本原因分析(RCA)「なぜ」を5回繰り返して真因を特定
良かった点機能したプロセス・ツール・チームの行動
改善点うまくいかなかった点と具体的な改善策
アクションアイテム担当者・期限付きの具体的な改善タスク
非難なきポストモーテム(Blameless Postmortem)

Googleなどのテック企業が採用する「非難なきポストモーテム」では、個人の失敗ではなくシステム・プロセスの改善にフォーカスします。心理的安全性が確保されると、正確な情報共有と真の改善につながります。

理解度チェック

インシデント対応において「封じ込め(Containment)」フェーズの前に最優先で行うべきことはどれですか?