目次
1. インシデントレスポンスとは?
インシデントレスポンス(IR)は、サイバー攻撃やセキュリティインシデント発生時に 検知 → 封じ込め → 根本原因の特定 → 復旧 → 報告 までを体系的に行うプロセスです。
目的は「被害の最小化」と「再発防止の仕組み化」です。
2. 標準フロー(NIST CSF / SANSを参考にしたSOC実務)
ステップ1:検知・通報
- 検知経路:SOCアラート、EDR、ユーザー通報、Threat Intel 情報
- SOCの役割:アラートのトリアージ、インシデント判定(誤検知との切り分け)
ステップ2:初動対応(Containment)
- 即時にやること
- 感染端末のネットワーク隔離(EDRのIsolation機能など)
- アカウントロック、パスワードリセット
- 不審メールの全社隔離
- ポイント:被害拡大を防ぐことが最優先
ステップ3:調査・分析
- 確認する情報
- 侵入経路(フィッシング/脆弱性/不正認証)
- 攻撃の痕跡(IOC:IP, ハッシュ, ドメイン)
- 攻撃手法(MITRE ATT&CKで整理)
- 活用ログ
- SIEM(認証ログ、ネットワーク通信)
- EDR(プロセス実行履歴、ファイル操作)
- メールゲートウェイ(送信元、添付ファイル)
ステップ4:根本原因分析(Root Cause Analysis)
- 攻撃が「ゼロデイ脆弱性利用」か「設定不備」か「認証情報漏洩」かを特定
- 影響範囲(どのユーザー、どのシステムが影響を受けたか)を明確化
ステップ5:復旧(Eradication & Recovery)
- 不正なアカウントやマルウェアの完全除去
- バックアップからの復旧
- システムの再構築(必要に応じて)
- 業務継続のための暫定措置
ステップ6:報告・コミュニケーション
- 内部:IT部門、経営層、CSIRT、法務部門
- 外部:顧客・取引先、規制当局、警察や監督機関(必要に応じて)
ステップ7:事後対応・改善
- 報告書作成(事象の概要、対応内容、影響範囲、再発防止策)
- 検知ルールやプレイブックの改善
- 社員教育や意識向上施策の実施
3. 報告書作成のポイント
報告書は「技術者向け詳細」と「経営層向けサマリー」を分けるのが基本です。
技術者向け詳細報告
- 発生日・検知経路・タイムライン
- IOC(IP, ドメイン, ハッシュ値)
- 攻撃手法(MITRE ATT&CKマッピング)
- 調査ログ・証拠スクリーンショット
経営層向けサマリー
- 何が起きたか(簡潔に)
- 被害の範囲(情報漏えい件数、業務影響)
- 対応済み内容と現在の状況
- 今後の対策(再発防止策、改善計画)
4. 具体例:不審メールから始まったケース
- ユーザーがフィッシングメールを開封 → SOCが検知
- 初動:対象メール隔離、ユーザーPCをEDR隔離
- 調査:PCから外部IPへの通信を確認、IOCを収集
- 根本原因:フィッシングによる認証情報窃取
- 復旧:アカウントリセット、被害範囲のユーザーに注意喚起
- 報告:経営層に「一部アカウントが不正アクセスされたが、情報漏えいはなし」と報告
- 改善:フィッシング訓練、MFA必須化、検知ルール追加
5. まとめ
- 初動対応はスピードと封じ込め重視
- 調査・分析ではログとIOCを整理し、MITRE ATT&CKに基づいて理解
- 報告書は技術的詳細と経営層向けサマリーの二段構成が基本
- 最後に再発防止策をセットで提示することが重要
コメント