初めに、自社で発生し得るインシデントシナリオと当該インシデントの影響を受ける情報やデバイスを漏れなく特定することが重要だ。
特に、クラウドやリモートワーク環境、特権アカウントを利用するネットワークや端末に関わるインシデントシナリオは重点的に分析いただきたい。
次に、インシデントシナリオの開始、つまり攻撃の予兆を検知する仕組みの検討だ。
Step1において、インシデントシナリオが把握できたとしても、開始点となるインシデントを把握する仕組みがなければ、その後の対処に移ることはできない。
特に開始点は、利用者やステークホルダからの報告なども考えられるが、発生したインシデントを確実に把握するために、セキュリティ製品やセキュリティ監視機能などのアラートメッセージと関連付けたい。
最後に、インシデントシナリオに基づく、プレイブック内のアクション整理だ。
例えば、調査を行う場合はその手法だけでなく、どのような期待値、異常値が考えられるのかを整理し、次のアクション、またその次のアクションと、それぞれの手順を有機的にひも付けて一連の流れを構成させることが重要だ。
またプレイブックでは、対処する要員の数も考慮しながら、システム調査などのメインストリームに並行して、当事者への聞き取りや関係者への報告などのアクションを実施し、それぞれの合流地点を整理することも重要だ。
プレイブックは、レッドチーム演習に代表されるセキュリティ診断や、実際のインシデントに対処した際の経験や知見などに基づいてアップデートを行うことが必要だ。プレイブックの実用性・実効性を高めることで、インシデントに対する回復力が高まるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアクセスランキング