企業の多くがセキュリティインシデント対応に“自信なし” 押さえておくべき重要事項とは

ガートナーが提唱するインシデント対応、「早く探し出し」「早く閉じ込め」「早く元に戻す」の意味とは。

» 2023年07月21日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ガートナージャパン(以下、ガートナ―)は2023年7月20日、企業のインシデントやレスポンスの強化に向けた重要事項を発表した。

インシデントやレスポンスの強化に向けて企業が押さえておくべき重要事項を発表(出典:ガートナーのWebサイト)

「早く探し出し、早く閉じ込め、早く元に戻す」がインシデント対応の鍵

 ガートナーは2023年2月、従業員300人以上の国内企業を対象に調査を実施した。同調査によると、回答した企業の56%がコンピュータセキュリティインシデント対応チーム(CSIRT)を設けていたが、67%が「迅速な対応に自信がない」と回答した。ランサムウェア攻撃などの脅威が事業継続の懸念になっている現状に対し、ガートナーは重要事項として「早く探し出し、早く閉じ込め、早く元に戻す」ことが大切だとした。

 それぞれの説明は以下の通りだ。

早く探し出す

 個々の事象を対処するだけでなく、個々の事象をつなぎ合わせてその文脈を捉え、全体のから得られる予見に対して積極的に対応する。

早く閉じ込める

 インシデントやレスポンスにおいて、重要なのはセキュリティ脅威を自社のシステムから早く「隔離」することであり、経営者にはシステムを一時停止する決断が求められる。原因が不明である場合はより早く脅威を隔離する必要がある。

早く元に戻す

 外部のセキュリティオペレーションセンター(SOC)サービスは検知フェーズに力を入れており、復旧フェーズがカバーされていないことがある。最近は復旧フェーズでアドバイスを行うサービスも登場しており、こうしたサービスの活用を検討することも重要だ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ