インシデント発生前の計画:インシデント対応計画に記載すべき5つの項目
インシデント発生前の計画:
なぜなら、それが起きたときには、調べている時間はないからです。
多くのITセキュリティ対策ガイドは、攻撃が始まった後に何をすべきかに焦点を当てています。感染したデバイスを隔離する。インシデント対応企業に連絡する。法務部門に通知する。いずれも適切な助言ですが、誰に連絡すべきか、バックアップがどこにあるのか、そしてどのシステムが事業継続に不可欠なのかを事前に把握していなければ、実際には役に立ちません。
問題は、ランサムウェア事案の最初の数時間が混乱状態にあることです。本来であれば数分で下せるはずの判断も、必要な情報がメールのスレッドや組織の属人的な記憶、あるいは現在アクセスできなくなっているシステムに分散していると、大幅に時間がかかってしまいます。これは技術的な失敗ではありません。文書化の失敗であり、しかも完全に防ぐことが可能です。
以下に示すのはインシデント対応計画そのものではありません。より小規模で、すぐに実践できる内容です。インシデント発生前に、チームが文書化し、いつでもアクセスできる状態にしておくべき5つの重要な情報カテゴリを示します。この一覧を作成するのにそれほど時間はかかりません。しかし、必要なときに用意されていなければ、節約できたはずの時間をはるかに上回る損失につながります。
セキュリティインシデントが発生すると、最初の反応は通常、電話を手に取ることです。問題は、多くのチームが誰に連絡すべきかを常に把握しているわけではないという点です。
エスカレーション文書には、インシデント対応チーム、主要連絡先、DFIRパートナーの連絡先情報を含める必要があります。あわせて、対応開始までの手順、データプライバシーに精通した法務顧問の連絡先、サイバー保険会社の請求窓口および保険証券番号も記載してください。
エスカレーション文書には、インシデント発生時に必要となる主要連絡先および保険契約の詳細を記載する必要があります。具体的には、次の内容を含めるべきです:
インシデント対応チームおよび責任者
社内インシデント対応チームおよびその責任者の連絡先情報
DFIRパートナー
デジタルフォレンジックおよびインシデント対応(DFIR)パートナーの連絡先情報(対応開始までの手順を含む)。
法務顧問
外部の法務顧問の連絡先情報(データプライバシー分野での経験があることを確認してください)。
サイバー保険
サイバー保険会社の請求窓口および保険証券番号。
最後の項目が、最も見落とされがちなポイントです。サイバー保険の契約には通常、特定の通知期限が定められており、それを守らないと、最も余裕のないタイミングで保険請求に支障が生じる可能性があります。インシデント発生前に請求窓口と保険証券番号を把握しておくことは不可欠です。
サイバー保険に関する最後の注意点です。保険証券は安全に保管し、主要なシステムとは分けて管理してください。暗号化を実行する前にネットワーク内に潜伏していた攻撃者は、そこに保存されている文書にアクセスできる可能性があります。保険情報は、彼らが見つけられる場所に置くべきではありません。
すべてが慌ただしく進む中で、電話番号を探している余裕はありません。
攻撃者はまずバックアップを標的にします。これは憶測ではありません。DriveSaversが数多くのランサムウェア事案で一貫して確認してきた傾向です。本番環境のシステムを暗号化する前に、攻撃者はバックアップ基盤を特定して侵害し、被害組織にとって最も直接的な復旧手段を排除しようとします。暗号化が実行される時点で、バックアップはすでに失われている可能性があります。
これは、バックアップ文書化の考え方に反映されるべきポイントです。バックアップが存在することを把握しているだけでは不十分です。インシデント発生時にバックアップの整合性を迅速に評価できる体制が必要であり、そのためには、誰もがプレッシャー下に置かれる前に、評価を支えられるだけの十分なアーキテクチャ文書が整備されていなければなりません。
バックアップの保存場所(オンサイト、オフサイト、クラウド)、バックアップジョブの実行方法とスケジュール、さらに手順ごとの復元手続きを文書化してください。
確認できるまでは、バックアップが侵害されている可能性があると想定してください。
セキュリティインシデント発生時には、すべてを一度に復旧することはできません。何を最優先で復旧させるかの判断は、ほとんど睡眠を取れていない可能性のある担当者によって、強いプレッシャーの中で迅速に下されます。こうした判断は、プレッシャーのない事前の段階で決めておく方がはるかに適切です。
重要データ一覧には、企業が運営を継続できないシステム、日常業務に必要なデータセット、そして復旧の明確な優先順位(必須項目と優先度の低い項目の区別)を記載する必要があります。
企業が実際に依存しているものと、単に重要なものとを正直に区別してください。その冷静な判断は、進行中のインシデントの最中でははるかに難しくなります。まずは必ず復旧すべきデータセットを優先し、優先度の低いものは後回しにしてください。すべてを最初に戻すことはできません。その事実を事前に理解しておくことは、大きな運用上の優位性につながります。
セキュリティインシデントにおける復旧は、単にデータを戻すことではなく、まず適切なデータを優先して復旧することです。
セキュリティインシデントにおける復旧は、単にデータを戻すことではなく、まず適切なデータを優先して復旧することです。
一定規模以上の多くの環境では、バックアップ基盤は複数の拠点にまたがっています。責任に関する文書には、各バックアップ環境の担当者、バックアップ・スナップショット・レプリカへのアクセス認証情報、さらにセカンダリシステムやコピーの所在を明記する必要があります。
同じデータが複数の形態で存在していることを考慮してください。たとえば、プライマリバックアップ、スナップショット、レプリカ、テープやセカンダリクラウド環境に保存されたアーカイブコピーなどです。プライマリバックアップが侵害されている場合、他にどこを探せばよいかを把握していることが、大きな差を生む可能性があります。
包括的な責任マップは、実務上、復旧範囲を示す地図です。インシデント前にそれがどれだけ整備されているかによって、発生時に選べる対応策の幅が大きく変わります。
同じデータが複数の形態で存在していることは少なくありません。どこを探すべきかを把握していることが、復旧の選択肢を広げます。
サイバー攻撃後の業務復旧の成否は、インフラを支える製品やサービスを提供するベンダーに大きく依存します。そのため、インシデント発生前に、各ベンダーのエスカレーション経路およびサポート窓口を文書化しておくことが不可欠です。
ベンダー連絡先一覧には、主要業務を復旧するために必要なベンダー、そのサポート窓口およびエスカレーション経路に加え、バックアップや復号ツールが機能しなかった場合に備えたデータ復旧パートナーも含める必要があります。
この三つ目の項目こそ、多くの組織が完全に見落としている点です。バックアップの失敗や復号ツールの失敗は、まれな例外ではありません。それらは、巧妙に実行されたサイバー攻撃の現実的な結果です。インシデント前に専門的なデータ復旧パートナーを特定し、文書化しておくことで、組織にとって最も厳しい時期にベンダー評価を行う必要がなくなります。また、IRチームが単一の解決策を待つのではなく、並行した復旧経路を進められることも意味します。
これらの関係を事前に文書化しておくことで、復旧開始時にチームが計画を実行でき、計画を探すところから始める必要がなくなります。
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)