サイバー攻撃が発生! 「いつ、誰が、何を、どのように対応すべきか」を事前に整理せよ 「プレイブック」のすすめ:ニューノーマル時代のセキュリティ(2/2 ページ)
日本企業でも「インシデントの発生を前提に対策する」という考え方は広がりをみせているが、まだ根付いていないように感じる。インシデントからの回復を強化する「プレイブック」について解説する。
Step1.自社で起こり得るインシデントの把握
初めに、自社で発生し得るインシデントシナリオと当該インシデントの影響を受ける情報やデバイスを漏れなく特定することが重要だ。
特に、クラウドやリモートワーク環境、特権アカウントを利用するネットワークや端末に関わるインシデントシナリオは重点的に分析いただきたい。
Step2.インシデントの発生を把握する仕組み(起点)の整理
次に、インシデントシナリオの開始、つまり攻撃の予兆を検知する仕組みの検討だ。
Step1において、インシデントシナリオが把握できたとしても、開始点となるインシデントを把握する仕組みがなければ、その後の対処に移ることはできない。
特に開始点は、利用者やステークホルダからの報告なども考えられるが、発生したインシデントを確実に把握するために、セキュリティ製品やセキュリティ監視機能などのアラートメッセージと関連付けたい。
Step3.検知後のアクションと必要な情報の整理
最後に、インシデントシナリオに基づく、プレイブック内のアクション整理だ。
例えば、調査を行う場合はその手法だけでなく、どのような期待値、異常値が考えられるのかを整理し、次のアクション、またその次のアクションと、それぞれの手順を有機的にひも付けて一連の流れを構成させることが重要だ。
またプレイブックでは、対処する要員の数も考慮しながら、システム調査などのメインストリームに並行して、当事者への聞き取りや関係者への報告などのアクションを実施し、それぞれの合流地点を整理することも重要だ。
プレイブックは、レッドチーム演習に代表されるセキュリティ診断や、実際のインシデントに対処した際の経験や知見などに基づいてアップデートを行うことが必要だ。プレイブックの実用性・実効性を高めることで、インシデントに対する回復力が高まるだろう。
関連記事
- VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。 - カプコンも襲撃「ランサムウェア」、この数年で“手口に異変” どう対策?
11月、ゲーム大手のカプコンが「ランサムウェア」の被害を受けました。ランサムウェア自体は昔から存在していました。しかしこの数年、ランサムウェアは少しずつやり方を変え、ターゲットを変え、今や多くの企業の脅威となっています。 - 「社員の座席に駆けつけて対応」はムリ! リモートワーク環境で、サイバー攻撃被害を抑える事前準備
リモートワーク時のVPN接続口を狙った攻撃、二重恐喝ランサムウェアによる攻撃など……コロナ禍でサイバー攻撃の様相も変化。リモートワーク環境での対応について解説する。 - 結局、どう使う? サイバー攻撃の「脅威情報」を有効活用、正しく対策
近年、サイバー攻撃対策として注目を集めるスレットインテリジェンス(脅威インテリジェンス)。「有用だと聞いてサービスを契約したが、有効な使い方が分からない」という声を聞くこともある。どう使えばよいのか。
Copyright © ITmedia, Inc. All Rights Reserved.