インシデント管理：完全ガイド

インシデント対応とは、組織でサイバー攻撃やセキュリティ侵害が発生したときに即座に実行する、戦略的で体系化された一連の措置を指します。インシデント対応の最終目標は、将来のインシデント発生のリスクを低減することです。そのため、インシデント対応計画では以下の点を目標にします。

• 攻撃やインシデントを迅速に特定する
• 攻撃やインシデントの影響を軽減する
• 被害を最小限に抑える
• 根本原因を解消する

組織のデジタル資産をサイバーセキュリティインシデントから守り、悪影響を最小限に抑えるための、計画から、準備、検出、封じ込め、復旧、修復までの作業がインシデント対応に含まれます。

インシデント対応とは、組織でサイバー攻撃やセキュリティ侵害が発生したときに即座に実行する、戦略的で体系化された一連の措置を指します。インシデント対応の最終目標は、将来のインシデント発生のリスクを低減することです。そのため、インシデント対応計画では以下の点を目標にします。

• 攻撃やインシデントを迅速に特定する
• 攻撃やインシデントの影響を軽減する
• 被害を最小限に抑える
• 根本原因を解消する

組織のデジタル資産をサイバーセキュリティインシデントから守り、悪影響を最小限に抑えるための、計画から、準備、検出、封じ込め、復旧、修復までの作業がインシデント対応に含まれます。

セキュリティインシデントとは

サイバーセキュリティの領域では、さまざまなインシデントが組織のネットワークに脅威をもたらします。これらの脅威は、外部の人間が組織のネットワークに侵入する「不正アクセス」につながる可能性があります。その方法、目的、考え得る影響は一様ではないため、常に警戒を怠らず、強固なセキュリティ対策を実施することが求められます。

組織のデジタル資産を守り、ネットワークのセキュリティと完全性を維持するには、セキュリティインシデントのタイプを理解し、それぞれ適切な対策を講じることが不可欠です。そして、インシデントの影響を軽減するには、強固なセキュリティ対策を実施し、定期的にリスク評価を行って、必要に応じてインシデント対応計画を見直すことが重要です。

一般的なサイバーセキュリティインシデントやセキュリティ侵害には以下のタイプがあります。

システムやデータへの不正アクセス

不正アクセスは、個人またはグループが組織のシステムに侵入したり、許可なくデータにアクセスしたりするインシデントを指します。具体的には、さまざまな手口で防御をかいくぐる「ハッキング」や、考え得るパスワードの組み合わせすべてを試して認証を突破しようとする「ブルートフォース攻撃」、巧みな方法でユーザーをだまして機密情報を引き出す「ソーシャルエンジニアリング」などがあります。

権限のエスカレーション攻撃

権限のエスカレーションは、攻撃者がまず、権限が限られるシステムに不正アクセスし、その後、脆弱性を突くか盗んだ認証情報を使って、上位の権限を獲得するインシデントです。これにより、重要なリソースやデータへの不正アクセスが可能になるため、組織のセキュリティに重大なリスクをもたらします。

内部脅威 

内部脅威は、現従業員、元従業員、請負業者など、組織内でアクセス権を持つ関係者が、その権限を悪質な目的に使用するインシデントを指します。悪質な目的には、機密情報の窃取、意図的なシステム破壊、深刻な結果をもたらす妨害行為への関与などがあります。

フィッシング攻撃

フィッシング攻撃は、攻撃者が正規の送信元を装って偽のメールやメッセージを送り、受信者を巧妙にだまそうとするインシデントです。

主な目的は、受信者に機密情報を漏えいさせることや、悪質な添付ファイルまたはリンクを介してマルウェアを拡散することです。

マルウェア攻撃

マルウェア攻撃は、攻撃者がウイルスやトロイの木馬などの悪質なソフトウェアを使って、組織のシステムやデータを侵害するインシデントです。

マルウェアの種類は幅広く、その目的も、システムへの不正アクセスから組織の業務の中断までさまざまです。たとえばランサムウェアは、データを暗号化し、その複号と引き換えに身代金を要求するマルウェアです。

DoS攻撃

DoS攻撃は、攻撃者がシステムやネットワークに大量のパケットを送りつけて正常なアクセスを妨げるインシデントです。

運用やサービスの妨害が目的で、組織に混乱や金銭的損害をもたらします。

中間者攻撃(MitM)

MitM攻撃は、攻撃者が二者間の通信に秘かに割り込み、通信を改ざんするインシデントを指します。

攻撃者の目的は、機密情報の窃取や、通信に悪質なコンテンツを挿入してデータの機密性や完全性を侵害することなどです。

APT (Advanced Persistent Threat)

APTは、組織のシステムやデータへのアクセス権を獲得することを狙った高度な標的型攻撃を指します。これらの攻撃の多くは、機密情報を盗んだりネットワーク内に長期間潜伏したりするために巧妙に仕組まれているため、検出や封じ込めが特に困難です。

ランサムウェア

ランサムウェアは、標的のファイルを暗号化したりコンピューターシステムをロックしてアクセス不能にしたりして、その解放と引き換えに身代金を要求するタイプのマルウェアです。身代金の支払いには一般的に、ビットコインなど、匿名性が高くサイバー犯罪者に有利な仮想通貨が使われます。ランサムウェア攻撃は重大なサイバーセキュリティ脅威であり、個人、ビジネス、組織に壊滅的な被害をもたらす可能性があります。

(関連記事：ランサムウェア、マルウェアによるサイバー脅威)

SANSが提唱するインシデント対応計画の6ステップ

サイバーセキュリティの分野で有名な組織であるSANS Instituteは、サイバーセキュリティインシデントに対応するための体系的なアプローチとして、6つのステップで構成される包括的なインシデント対応ライフサイクルを提唱しています。これらのステップは、インシデントが発生するたびに繰り返すことで、組織のインシデント対応能力と全体的なセキュリティ態勢を継続的に高め、将来の脅威への備えを強化できるように設計されています。

各ステップの詳細は以下のとおりです。

ステップ1. 準備

準備ステップでは、既存のセキュリティ対策、ポリシー、手順を精査して、その有効性を評価します。一般的には、リスク評価を実施して、脆弱性を洗い出すとともに、重要な資産に優先順位を付けます。

リスク評価の結果は、コミュニケーション計画や、インシデント対応チームのメンバーの役割と責任の割り当てなど、インシデント対応計画の策定や改良に役立てます。

このステップの目的は、組織のインシデント対応の態勢を強化し、優先度の高い資産を確実に保護することです。

ステップ2. インシデントの検出

このステップでは、セキュリティチームが、準備ステップで定めたツールと手順を使って、組織のネットワークやシステム内で不審な挙動や悪質なアクティビティを探します。

インシデントが見つかったら、対応チームが以下の点を確認します。

• 攻撃のタイプ
• 攻撃元
• 攻撃者の目的

このステップでは、詳細分析と、法的措置が必要になった場合のために、インシデントに関する証拠の確保と保全も行います。また、コミュニケーション計画を開始し、ステークホルダー、関係当局、法律顧問、ユーザーにインシデント情報を提供します。

ステップ3. 攻撃者と攻撃活動の封じ込め

インシデントが確認されたら、攻撃による被害をできるだけ抑えることを目標に、封じ込めのステップに移ります。攻撃をすばやく封じ込めれば、攻撃を最小限に抑えて被害の拡大を防ぐことができます。

封じ込めは通常、2段階で行います。

• 短期的な対策として、現在発生している脅威を食い止める
• 長期的な対策として、影響を受けていないシステムにアクセス制御を追加する

たとえば、侵害を受けたネットワーク領域を分離したり、感染したサーバーをネットワークから切り離すと同時にトラフィックを代替システムに転送したりします。

ステップ4. 攻撃者の排除と再侵入の阻止

このステップでは、インシデント対応チームが攻撃範囲を包括的に理解し、影響を受けたすべてのシステムとリソースを特定します。重点を置くのは、ネットワークから攻撃者を排除し、侵害を受けたシステムからマルウェアを除去することです。このステップは、攻撃のすべての痕跡が消えるまで続きます。

インシデントの重大度によっては、復旧ステップで一部のシステムをネットワークから切り離し、パッチが適用されたクリーンなバージョンに交換することもあります。

ステップ5. インシデントからの復旧(システムのリストアを含む)

復旧ステップでは、インシデント対応チームが、更新したシステムまたは代替のシステムをネットワークに接続して稼動させます。目標は、システムを正常の運用状態に戻すことです。データを一切失うことなくデータとシステムを復旧するのが理想ですが、場合によっては、最後に実行されたクリーンバックアップからリカバリする必要があります。

さらに、攻撃者が再侵入したり脆弱性がまた悪用されたりしないように監視態勢を整備します。

ステップ6. 教訓とフィードバックのまとめと次回の準備ステップへの適用

最終ステップでは、インシデント対応プロセスの包括的なレビューを行います。何がうまくいき、何がうまくいかなかったかをチームで話し合い、改善領域を洗い出します。

そこで学んだ教訓は、フィードバックや提案とともに文書化して、次回の準備ステップに反映します。未完成のドキュメントがある場合は、ここで完成させます。このステップは、インシデント対応能力を継続的に改善するために不可欠です。

NISTが提唱するインシデント対応の4フェーズ

SANSの6ステップと同様に、NISTの4フェーズもインシデント対応でよく使われるアプローチです。NISTのインシデント対応サイクルは4つの主要なフェーズで構成され、それぞれのフェーズに、インシデント対応プロセスにおける特定の目標と役割が定められています。

フェーズ1. 準備

準備フェーズでは、組織がサイバーセキュリティインシデントに効果的に対応するための態勢を整えることに重点を置きます。そのために、インシデント対応ポリシーを設定し、対応チームを編成して、コミュニケーション計画を作成するとともに、インシデントのリスクを軽減するための予防策を実施します。

このフェーズでは、リスク環境の評価、システムとネットワークに関するセキュリティのベストプラクティスの適用、ネットワーク境界の保護、マルウェア対策ツールの導入、ユーザーのトレーニングなどを行います。同時に、インシデント対応チームが必要に応じてすばやく集結し、担当する作業を調整できる環境を整備します。

フェーズ2. 検出と分析

このフェーズでは、組織が直面している脅威のタイプを特定し、それがインシデントにつながるかどうかを判断します。そのために、潜在的なインシデントの兆候を検出、分析します。

検出と分析では、予兆(インシデントがこれから起こる兆候)と痕跡(インシデントが発生している、または発生した可能性を示す証拠)を探します。異常の特定には、ログ分析、監視、システムクロックの同期などの手法を用います。最後に、インシデントを文書化し、優先順位を付けます。この情報はインシデント対応を効果的に進めるのに有用です。

フェーズ3. 封じ込め、除去、復旧

インシデント対応の実作業の大部分はこのフェーズで行います。1番の目標は、脅威を封じ込めて除去し、影響を受けたシステムを復旧して正常な運用状態に戻すことです。

まず、攻撃のタイプと考え得る損害に基づいて封じ込めの戦略を立てます。ここでは以下の作業を行います。

• 脅威の隔離
• 攻撃対象のホストの特定
• 証拠の収集
• 攻撃者の行動の分析

除去作業では、マルウェアを除去し、乗っ取られたアカウントを削除します。

復旧作業では、クリーンなバックアップを使ってシステムをリストアし、セキュリティパッチを適用して、防御を強化します。

フェーズ4. インシデント後の作業

このフェーズは見過ごされがちですが、インシデントから教訓を学び、今後に向けてインシデントの対応態勢を改善するために重要です。「振り返り」のためのミーティングを開き、データと証拠を保存して、将来のサイバーセキュリティ脅威への備えを見直します。

また、インシデントの詳細レビューを実施し、主な所見と改善のための戦略を文書化します。インシデントへの対応中に収集したデータを保存し、設定されているベースラインやメトリクスとインシデント対応チームのパフォーマンスを比較して評価します。インシデントの所見と教訓は、今後のインシデント対応と防止策の強化に役立ちます。さらに、サイバーセキュリティに関する集合知を高めるために、得られたインサイトを他のチームと共有することをお勧めします。

インシデント対応に役立つソリューションとテクノロジー

インシデント対応でよく使われるテクノロジーには、セキュリティインシデントの検出、分析、緩和に重要な役割を果たす幅広いツールとソリューションが含まれます。その一部をご紹介します。

SIEM (セキュリティ情報/イベント管理)

SIEMシステムは、組織内で使用しているさまざまなセキュリティツール(ファイアウォール、脆弱性スキャナー、脅威インテリジェンスフィードなど)で生成されるセキュリティイベントデータを集約し、相関付けるための統合型プラットフォームとして利用できます。

SIEMがあれば、各種のツールが生成する膨大な量の通知を効率的に調査できるため、インシデント対応チームは実際の脅威への対応に集中でき、「アラート疲れ」を軽減できます。

SOAR (セキュリティのオーケストレーションと自動化によるレスポンス)

SOARテクノロジーでは、セキュリティインシデントへの対応に必要なさまざまな手順とツールを連携させるワークフローを構築し、プレイブックとしてまとめて実行できます。また、ワークフロー内の特定のタスクを自動化できるため、インシデント対応の効率が向上します。 

EDR (エンドポイント検出/対応)

EDRソフトウェアの役割は、従来のウイルス対策ソフトウェアやその他のエンドポイントセキュリティツールをすり抜けるサイバー脅威から、組織のエンドユーザー、エンドポイントデバイス、IT資産を自動的に保護することです。すべてのネットワークエンドポイントからデータを継続的に収集し、リアルタイムで分析することで、既知のサイバー脅威やサイバー脅威が疑われる挙動を検出し、自動的に対応して、被害を未然に防止または最小化できます。

XDR (拡張検出/対応)

XDRは、エンドポイント、ネットワーク、プライベートクラウド、パブリッククラウドを含むハイブリッドIT環境の各所に分散するセキュリティツール、データソース、テレメトリを統合し、包括的に分析するサイバーセキュリティテクノロジーです。

脅威の防止、検出、対応のための統合型システムを構築することを目的としており、ツールのサイロ化を解消し、サイバー脅威のキルチェーン全体で対応を自動化することで、セキュリティチームやSOC (セキュリティオペレーションセンター)の業務を効率化できます。

(関連記事：EDR、XDR、MDRの違い(英語))

UEBA (ユーザーとエンティティの行動分析)

UEBAを使うと、行動分析、機械学習アルゴリズム、自動化を活用して、ユーザーとデバイスに関して潜在的なリスクのある異常な行動を検出できます。特に、悪意のある内部者や、内部者の認証情報を悪用するハッカーなど、内部脅威を検出するために有効です。UEBAは、SIEM、EDR、XDRソリューションに、セキュリティインシデントの検出と対応能力を強化するための1機能として統合されることがよくあります。

ASM (攻撃対象領域管理)

ASMソリューションでは、組織の攻撃対象領域全体で脆弱性や潜在的な攻撃ベクトルを検出、分析、修復、監視するための継続的なプロセスを自動化できます。これまで監視対象から外れていたネットワーク資産を洗い出し、資産間の関係を明確にして、全体的なセキュリティ態勢を強化するための重要なインサイトを獲得できます。

これらのインシデント対応テクノロジーは、組織のサイバーセキュリティ対策を強化し、脅威をより効果的に検出して対応し、攻撃対象領域を適切に管理することで、脆弱性や潜在的な攻撃ベクトルを減らすための重要な役割を果たします。

インシデント対応の強化が重要な理由

インシデント対応の強化は、さまざまな点から組織にとって非常に重要です。

サイバーセキュリティ脅威への備え

組織は、サイバー攻撃やセキュリティ侵害など、進化する脅威に常に直面しています。これらの脅威は、以下の損害をもたらす可能性があります。

• データ侵害
• 経済的損失
• ブランドイメージの低下
• 訴訟や規制違反

インシデント対応は、これらの脅威に効果的に備え、対応し、運用を復旧するために役立ちます。

被害の最小化

サイバーセキュリティインシデントに迅速に対応するほど、被害の拡大を抑えることができます。インシデント対応の目的は、インシデントの影響をすばやく特定して緩和し、経済的損失や業務の中断をできるだけ少なくすることです。

データと資産の保護

インシデントに効果的に対応できないと、機密データや知的財産の喪失や流出につながる可能性があります。インシデント対応のための対策は、組織の重要な資産を保護し、データの機密性、完全性、可用性を確保するのに役立ちます。

レピュテーションマネジメント

サイバーセキュリティインシデントへの対応は、組織のパブリックイメージを大きく左右します。

• インシデントに適切に対応すれば、組織に対する評判を維持するだけでなく、高めることもできます。
• 対応に不備があると、組織に対する信頼が低下し、ブランドイメージに傷が付く恐れがあります。

法規制違反の回避

多くの業界、地域、国が、インシデントの報告と対応に関する固有の法律や規制を定めています。これらに違反すると、訴訟、罰金、その他の罰則が科せられる可能性があります。適切なインシデント対応は、法規制を守るためにも役立ちます。

業務の継続性確保

インシデントに効果的に対応できれば、組織の業務の中断を最小限に抑えることができます。脅威をすばやく検出して封じ込めることで、事業継続性を維持し、日常業務をできるだけ円滑に続けることができます。

リスクの軽減

インシデント対応計画にはリスク評価が含まれ、それによって組織の脆弱性や弱点を見つけ出すことができます。組織が抱えているリスクを理解することで、インシデントの防止策をプロアクティブに講じ、インシデント発生の可能性を低減できます。

継続的な改善

インシデント対応は反復的なプロセスです。それぞれのインシデントから、対応戦略を学び、改善することで、組織のレジリエンスを高め、将来のインシデントへの備えを強化する機会を得られます。

ステークホルダーからの信頼の維持

顧客、パートナー、投資家などのステークホルダーは、組織がデータと資産を安全に守ることを期待しています。インシデント対応とサイバーセキュリティへのコミットメントを示すことで、ステークホルダーからの信頼を築くことができます。

混乱の回避

インシデントが発生すると、混乱やパニックに陥りがちです。インシデント対応計画が適切に整備されていれば、体系的なアプローチによって主導権を取り戻し、対応プロセスを調整して、情報に基づく意思決定を行うことができます。

脅威にプロアクティブに対応

このようにインシデント対応は、デジタル環境に絶えず付きまとい、進化を続ける脅威から組織を守るために不可欠です。データの保護、損害の最小化、信頼の維持、法規制の遵守に大きな役割を果たします。熟慮されたインシデント対応戦略は、最新のサイバーセキュリティリスク管理の土台となります。

今日、壊滅的な被害をもたらすサイバーセキュリティインシデントは日常茶飯事になりつつあります。攻撃を直接受けなくても、組織のシステムやネットワークに被害が及ぶ可能性があります。サイバーセキュリティインシデントに適切に対応するには、継続的な取り組みが求められます。効果的なインシデント管理は、インシデントに先手を打つための最良の方法のひとつです。

この記事では、インシデント管理の定義、メリット、6ステップのプロセスなどについて説明します。これを読めば、優れたインシデント管理とはどのようなものか、組織のインシデント管理を改善するために何が必要かがわかるはずです。ではさっそく始めましょう。

インシデントとは

インシデント管理について説明する前に、インシデントが何を指すのかを確認しておきましょう。NISTはサイバーインシデントを次のように定義しています。 

"情報システムやネットワークを使って行われ、情報システム、ネットワーク、またはそこに保存された情報に対して、実際にあるいは潜在的に悪影響をもたらす行為"

セキュリティ侵害はもちろん、インシデントの一種です。しかし、インシデントは必ずしも侵害の発生を意味するのではなく、情報が脅かされるだけでもインシデントとみなされる点が重要です。サイバーセキュリティにおけるインシデントの例をいくつか挙げます。

• データ侵害
• 情報システムの完全性の低下
• 情報システムへの不正アクセス
• 情報システムまたは電子通信ネットワークの不正使用

インシデントのタイプ

インシデントは、その影響と緊急性に基づいていくつかの重大度に分けられます。一般的な1〜5の重大度の分類は次のとおりです。

1. 深刻なインシデント：本番環境の多数のユーザーに影響を与えるインシデント
2. 重大な問題：本番環境の一部のユーザーに影響を与えるインシデント
3. インシデント：エラー、軽微な問題、またはシステムの負荷増大を引き起こすインシデント
4. 軽微な問題：サービスには影響するが、ユーザーには深刻な影響を及ぼさないインシデント
5. 軽度の欠陥：軽微な問題を引き起こすインシデント

インシデント管理の定義

次に、インシデント管理の定義を見ていきましょう。

インシデント管理とは、サイバーセキュリティに関連する実際のセキュリティ脅威やインシデントを検出、管理、記録、分析するプロセスを指します。これにより、インシデントがビジネス運用に与える影響を最小限に抑え、将来のインシデントを防ぎます。 

どのビジネスにおいてもその成功に重要なのは、インシデントが発生したときに専任のインシデント対応チームが効果的な対応計画を速やかに実行する態勢を整えておくことです。

(Splunkソリューションがインシデント管理プロセス全体をどのように支援するのか、こちらをご覧ください)

インシデント管理と問題管理の違い

インシデント管理と問題管理はどちらも、ITサービス管理(ITSM)に含まれるプロセスで、次の2つの側面に重点を置いています。

• 既存のITサービスの維持
• サービスの品質向上とビジネスの中断の最小化

一方で、インシデント管理と問題管理には違う点もあります。インシデント管理では、ビジネスの中断後にサービスを正常な状態に戻すことを重視するのに対して、問題管理では、インシデントの根本原因を特定して解消し、再発を防止することに主眼を置きます。この2つのプロセスを連携させることで、ITサービスの信頼性と安定性を高め、ビジネスへの影響を最小限に抑えることができます。

インシデント管理のメリット 

インシデント管理は、サイバーセキュリティに関連する実際のセキュリティ脅威やインシデントを検出、管理、記録、分析するために役立ちます。インシデント管理には以下のメリットがあります。

ダウンタイムの削減

インシデントをすばやく検出して解決することで、サイバー攻撃、データ侵害、システム障害に起因するダウンタイムを最小限に抑えることができます。これにより、サービスの品質を維持し、生産性を高め、エンドユーザーエクスペリエンスを向上させることができます。

顧客の信頼と満足度の向上

効果的な管理プロセスに従ってインシデントに対処すれば、ブランドイメージを守り、悪影響の拡大を抑え、データ漏えいを防ぐことで、顧客の信頼と満足度の向上につなげることができます。

運用のレジリエンス向上 

インシデント管理は、脆弱性を特定し、同様の問題の再発防止策を講じることで、将来のインシデントに対するレジリエンスを強化するためにも有効です。

全体的なセキュリティ態勢の強化

インシデント管理によって、検出から、分析、対応までをシームレスに行えるようになります。これは、組織の全体的なセキュリティ態勢の強化につながります。

エンドツーエンドの可視性の向上 

検出から解決まで、インシデントのライフサイクルをエンドツーエンドで可視化することもできます。これにより、改善すべき領域を特定し、インシデント対応プロセスを最適化できます。

インシデント管理を効率的に行うためのヒント

突然のインシデントにも冷静に対処できるようにするためのヒントとベストプラクティスをいくつかご紹介します。

まずは、インシデントが発生したときに従うべき手順が明確にわかるプロセスを確立します。このプロセスには以下の手順を含めます。

• インシデントの検出
• 詳細記録
• 分類
• 優先順位付け
• 調査
• 解決とクローズ

次に、インシデント管理チームの役割と責任を定義します。これには、インシデントマネージャー、対応担当者、その他のステークホルダーが含まれます。これにより、インシデントが発生した際に、各自が自身のすべきことをすばやく判断できます。

自動化ツールを使ってプロセス全体を効率化するのも良い方法です。手順を自動化すれば、対応時間を短縮し、精度を向上させることで、より重要なタスクにリソースを費やすことができます。対応時間を最小限に抑えるために、MDR (マネージド型検出/対応)システムを利用する方法もあります。緊急の脅威に関する知識やインシデントへの効果的な対処法について、チームメンバーに定期的にトレーニングを行うことも大切です。これにより、プロセスの不備をすばやく特定し、対応時間をさらに短縮できます。

インシデント管理プロセスの継続的な監視と改善も欠かせません。インシデントデータを分析し、傾向を把握して、同様のインシデントの再発を防止できるようにプロセスを改良します。

インシデント管理プロセスの6ステップ

適切なセキュリティ対策を実践すれば、将来のインシデントに対するレジリエンスを強化できます。インシデント管理へのアプローチとして、6ステップで構成されるプロセスをご紹介します。

ステップ1：インシデントの検出 

最初のステップは、インシデントの検出です。ここでは、組織の正常な運用を妨げる可能性のある異常なイベントや想定外のイベントを見つけ出します。そのためには、以下をはじめとする、さまざまな方法を利用できます。 

• 監視ツール
• ユーザーからの報告
• 自動アラート
• システムログ

ステップ2：インシデントの詳細記録 

インシデントを検出したら、その詳細を記録します。詳細記録には、以下の内容を含めます。

• インシデントの説明
• 検出日時
• 対応に当たったチームメンバーの名前
• 組織に対する影響と重大度に関する初期評価

この記録は、進捗状況を追跡するためのスタートポイントであり、インシデント対応チームやステークホルダーへの報告に役立ちます。

ステップ3：インシデントの分類 

インシデントの詳細を記録したら、あらかじめ定義した基準に沿ってインシデントを分類します。これは、インシデントのタイプ、ビジネスに対して起こり得る影響、解決に必要なリソースを理解するのに役立ちます。 

インシデントの分類はさまざまですが、一般的な分類には以下のものがあります。

• ハードウェアの障害
• ソフトウェアの不具合
• セキュリティ侵害

インシデントを分類すれば、インシデントに対処するためにどのチームやリソースを割り当てるべきかがわかります。

ステップ4：インシデントの優先順位付け 

緊急性や影響はインシデントによって異なるため、重大度と起こり得る影響に基づいて優先順位を付けることが大切です。 

優先順位を付けて重大なインシデントから対処すれば、ビジネス運用への影響を軽減し、ダウンタイムを最小限に抑えることができます。また、インシデント対応チームによる対応の指針にもなります。

ステップ5：インシデントへの対応

インシデントの影響を軽減し、正常な運用状態に戻すには、明確な計画を立てて実行する必要があります。必要な作業には以下のものがあります。 

• 影響を受けたシステムの切り離し
• 根本原因の調査
• 一時的または根本的な修正
• 進捗と解決に関するステークホルダーへの報告

ステップ6：インシデントのクローズ 

インシデントに対処し、正常な運用状態に戻ったら、インシデントが解決したとみなして、クローズステップを開始します。このステップでは以下のような作業を行います。 

• インシデント対応で実行した措置の文書化
• 問題が完全に解決したかどうかの検証
• インシデント記録の更新と関連情報の追加
• インシデント管理プロセスの評価
• 改善領域の特定
• 将来のインシデントに向けて学んだ教訓のまとめ

(関連記事：ベストプラクティスに基づくインシデントレビューやポストモーテムの実施方法(英語))

インシデント管理での役割

インシデントに効果的に対応するには、チームメンバーの役割と責任を定める必要があります。一般的な役割を以下に示します。

インシデントコマンダー：インシデント対応プロセスを管理します。コミュニケーション、リソースの割り当て、意思決定など、インシデント対応のあらゆる側面を調整し、指揮します。

インシデント対応担当者：インシデントに実際に対応し、インシデントを封じ込めて解決するための適切な措置を講じます。具体的には、インシデントの調査、サービスの復旧、一時的な修正などを行います。

IT運用担当者：ITインフラとシステムを監視および保守します。インシデントの検出と報告、定期的なメンテナンスの実行、問題のトラブルシューティングを担います。

インシデントマネージャー：組織に悪影響を及ぼす重大なインシデントを管理します。インシデント対応チーム内の調整、ステークホルダーとの連絡、インシデントの迅速な解決の支援などを行います。

インシデントアナリスト：インシデントデータを分析し、傾向やパターンを特定します。インシデントの根本原因の究明、インシデント対応計画の策定、インシデント管理プロセスの改善策の提案などを担当します。

インシデントを管理して運用の継続性を維持 

インシデント管理を適切に行えば、サイバーセキュリティ脅威をすばやく特定して対処し、ビジネス運用への影響を軽減できます。サイバーセキュリティに関するセキュリティリスクやインシデントを特定し、対応、追跡、調査することが重要です。

このブログはこちらの英語ブログの翻訳です。