インシデント対応ガイド

インシデント対応ライフサイクル

インシデント対応ライフサイクルは、インシデント管理の重要なフレームワークです。個々のインシデントはそれぞれ異なりますが、それらはすべて、将来のインシデントにうまく対処できるようになるための学習の機会となります。

企業は準備段階でインシデント対応プレイブックを作成し、主要なチーム・メンバーがそれに精通しているようにします。アトラシアンのインシデント対応ベスト・プラクティスは、ヒントとクラス最高のインシデント対応プロセスを提供しています。

ライフサイクルは 6 つの連続したフェーズで構成されています。

1. 準備：プランの作成
2. 特定：インシデントの発見と確認
3. 封じ込め：問題の制限
4. 根絶：脅威の除去
5. 復旧：影響を受けたシステムの修復
6. 学んだ教訓：インサイトの文書化

準備

準備はインシデント対応計画の中核であり、攻撃に対する企業の対応力を決定します。インシデント防止プロセスが十分に文書化されていれば、多大な労力を要する、ストレスの大きいシナリオでもスムーズに対応できます。

どの企業でも、アトラシアンの Incident Handbook に基づく強固なインシデント対応プロセスがあれば、回復力が高まります。

識別

このフェーズでは、エラー・メッセージ、ログ・ファイル、監視ツールを使ってインシデントを検出して検証します。インシデントはソーシャル・メディアやカスタマー・サポート・チケットを通じて特定されることもあります。そのようなインシデントは、対応チームがインシデント追跡ツールに手動で記録する必要があります。

Jira Service Management のようなツールを使って、監視、サービス・デスク、ログ生成アプリケーションからのすべてのアラートと受信シグナルを一元化すれば、問題の分類と優先順位付けが簡単に行えます。

封じ込め

インシデントを検出したら、封じ込めることで、被害の拡大を防止できます。封じ込め中、対応チームはインシデントの範囲と影響を最小限に抑えることを目指します。

撲滅

封じ込めた後、主な焦点は会社のネットワークまたはシステムから脅威を取り除くことに移ります。この段階では、すべてのシステムを綿密にクレンジングし、潜在的な再感染のリスクを最小限に抑えるために、残っている悪意のあるコンテンツをすべて削除します。

企業は、包括的な調査を実施し、脅威を排除したら、通常の業務の復旧を開始します。

Six phases of the incident response life cycle

The incident response life cycle consists of six phases: preparation, identification, containment, eradication, recovery, and lessons learned. These phases, or incident response steps, provide a structured approach for companies to detect, respond to, and recover from cybersecurity incidents.

Preparation

The preparation phase includes developing policies, procedures, and tools to ensure the company can handle incident response.

One key activity is to create an incident response plan outlining the steps to take when an incident occurs. Many companies use incident response plan templates as a starting point to create customized plans. These templates provide a general framework that teams can adapt to their specific needs and structure.

Other key activities include establishing the computer incident response team, setting up communication channels and escalation procedures, implementing security monitoring, and adding detection and analysis tools.

Identification

In the identification phase, the team detects and classifies potential security incidents based on their incident severity levels.

This phase involves monitoring systems and networks for anomalies, collecting and analyzing security logs and alerts, and triaging and prioritizing incidents based on predefined criteria.

Containment

The containment phase focuses on limiting the spread and effect of an incident.

This comprises implementing short-term and long-term containment strategies, such as isolating affected systems and networks and blocking malicious traffic and access attempts. Additional strategies include applying security patches and updates and collecting and preserving evidence for further analysis.

Eradication

The eradication phase identifies the incident's root cause and removes it from the environment.

This may involve removing malware and compromised files, closing vulnerabilities and security gaps, resetting passwords, revoking compromised credentials, and rebuilding affected systems from clean backups.

Recovery

The recovery phase restores systems and operations to their normal state.

Core activities include restoring data and configurations from backups, testing and validating the integrity of restored systems, monitoring for any signs of re-infection or residual issues, and communicating the resolution to stakeholders.

Lessons learned

The lessons learned phase ensures continuous improvement of the incident response process.

It involves conducting a post-incident review and analysis, identifying strengths and weaknesses in the response process, updating incident response plans and procedures based on insights from the current incident, and providing additional training and resources to the incident response team.

IT service management (ITSM) tools streamline and automate incident response workflows across the six incident response life cycle phases. They help companies respond to incidents with speed, precision, and coordination.

Jira Service Management を使った効率的なインシデント対応

Jira Service Management はインシデント対応を簡素化します。開発と運用のギャップを埋め、チームのコラボレーションを強化し、組織のサイロを解消し、可視性を高め、迅速な問題解決を保証します。

Jira Software と統合された Jira Service Management は、IT サポート、運用、およびビジネス・チームが従業員と顧客に優れたサービス体験を提供できるように調整された、業界をリードする ITSM ソフトウェアを提供します。Jira Service Management の自動化テンプレートは反復的なタスクを自動化し、IT サービス管理の拡張に役立ちます。

Jira Service Management のインシデント管理に関する詳細はこちらをご覧ください。

インシデント対応が重要なのはなぜですか？

優れた構成のインシデント対応計画は、インシデントの影響を最小限に抑え、企業が脅威に対して迅速かつ効率的に行動できるようにします。これにより、復旧時間、経済的損失、評判の低下が軽減されます。

インシデント対応チームには誰を含めるべきですか？

インシデント対応チームは多様で、さまざまな役割と責任を含めるべきです。例えば、インシデント指揮官、テクニカル・リード、コミュニケーション・マネージャー、カスタマー・サポート・リード、対象分野の専門家、ソーシャル・メディア・リード、問題マネージャーです。社内の複数のドメインにまたがる経営幹部やリーダーは、チームを調整する必要があります。

インシデント対応の課題は何ですか？

インシデント対応チームは、リソースの制約、コンテキスト、優先順位付け、コミュニケーション、コラボレーション、関係者の可視性、そして時折発生するヒューマン・エラーの問題など、さまざまな課題に直面することが多くあります。これらの課題を予測して効果的に取り組むには、準備が不可欠です。例えば、準備段階で法務チームを関与させることで、潜在的な法的または規制上の障害を軽減できます。