サイバー攻撃が発生！ 「いつ、誰が、何を、どのように対応すべきか」を事前に整理せよ 「プレイブック」のすすめ：ニューノーマル時代のセキュリティ（2/2 ページ）

[辻大輔（PwCコンサルティング合同会社），ITmedia]

Step1．自社で起こり得るインシデントの把握

　初めに、自社で発生し得るインシデントシナリオと当該インシデントの影響を受ける情報やデバイスを漏れなく特定することが重要だ。

　特に、クラウドやリモートワーク環境、特権アカウントを利用するネットワークや端末に関わるインシデントシナリオは重点的に分析いただきたい。

Step2．インシデントの発生を把握する仕組み（起点）の整理

　次に、インシデントシナリオの開始、つまり攻撃の予兆を検知する仕組みの検討だ。

　Step1において、インシデントシナリオが把握できたとしても、開始点となるインシデントを把握する仕組みがなければ、その後の対処に移ることはできない。

　特に開始点は、利用者やステークホルダからの報告なども考えられるが、発生したインシデントを確実に把握するために、セキュリティ製品やセキュリティ監視機能などのアラートメッセージと関連付けたい。

Step3．検知後のアクションと必要な情報の整理

　最後に、インシデントシナリオに基づく、プレイブック内のアクション整理だ。

　例えば、調査を行う場合はその手法だけでなく、どのような期待値、異常値が考えられるのかを整理し、次のアクション、またその次のアクションと、それぞれの手順を有機的にひも付けて一連の流れを構成させることが重要だ。

　またプレイブックでは、対処する要員の数も考慮しながら、システム調査などのメインストリームに並行して、当事者への聞き取りや関係者への報告などのアクションを実施し、それぞれの合流地点を整理することも重要だ。

　プレイブックは、レッドチーム演習に代表されるセキュリティ診断や、実際のインシデントに対処した際の経験や知見などに基づいてアップデートを行うことが必要だ。プレイブックの実用性・実効性を高めることで、インシデントに対する回復力が高まるだろう。

著者紹介：辻大輔（つじ・だいすけ）

PwCコンサルティング合同会社　テクノロジーコンサルティング デジタルトラスト ディレクター

情報セキュリティ事業会社を経てPwCに参画。金融、製造など、多岐にわたる業界に対してサイバーセキュリティに関するアドバイザリーを実施。サイバーセキュリティに関わるリスク評価や対策立案、その後のインシデント管理態勢の構築について豊富な経験を有している。