インシデント対応とは? 6 つの主要フェーズを理解する

重要ポイント

• インシデント対応は、ビジネス運営を中断させる予期しないイベントを検出、管理、解決するためのプロセスです。

• インシデント対応ライフサイクルの各フェーズでは、インシデントを処理するための反復可能なフレームワークをチームに提供します。

• 役割が明確化されたインシデント対応チームは、プレッシャーの大きい状況においても、技術調査、コミュニケーション、コンプライアンスを順調に進めることができます。

• SIEM、EDR、SOAR、XDR などのツールは、統合することで最も効果を発揮し、所要時間を短縮してエラーを最小限に抑えます。

• Jira Service Management によってアラート、ワークフロー、コラボレーションを連携させることで、チームはインシデント対応の調整を 1 か所で行うことができます。

あらゆる企業が、セキュリティ侵害、システム停止、コンプライアンス違反、または何か他の障害に直面しています。迅速に回復できる企業とそうでない企業を分けるのは、対応への準備がどれだけできているかです。

インシデント対応は、中断が深刻化する前に検出、管理、解決するための体系的な方法をチームに提供します。正式なプロセスが整備されていないと、軽微な問題であっても雪だるま式に大きくなり、ダウンタイムやデータ損失、評判の低下につながる可能性があります。

この記事では、実際のインシデント対応がどのようなものであるかについて説明します。6 つのライフサイクル フェーズから、チームが自信を持って対応するのに役立つ役割とツールまで取り上げます。

Service Collection を通じて利用できる Jira Service Management は、インシデント対応プロセス全体を通じてアラートを管理し、ワークフローを自動化し、コミュニケーションを調整するための一元的な場所をチームに提供します。

インシデント対応とは?

インシデント対応は、ビジネス運営を脅かすインシデントを検出、管理、解決するためのプロセスです。予期しないイベントが発生した際にチームに明確なプレイブックを提供し、迅速に対応できるように支援します。

インシデントは日常的な課題とは異なります。パスワード リセットやソフトウェア アップデートのリクエストは標準的な IT 業務です。インシデントとは、システム停止、データ侵害、ネットワーク障害など、サービスを中断または低下させる予期しないイベントです。早急な対応と連携が必要です。

正式なインシデント対応計画がないと、チームは、プレッシャーの大きい状況において、誰が何をするかを把握するのに時間を無駄にしてしまいます。プロセスを文書化することで、全員が自分の役割を把握し、エスカレーション パスを理解し、迅速に行動できるようになります。強力なインシデント管理プラクティスは、顧客や関係者との信頼関係も構築します。

チームが対応するインシデントの種類

インシデント対応チームは、さまざまな中断に対処します。最も一般的なインシデントをご紹介します。

• セキュリティ インシデント: システムやデータを危険にさらすサイバー攻撃、データ侵害、不正アクセス、またはマルウェア感染。

• 運用インシデント: ビジネス運営を中断させるシステム停止、ハードウェア障害、またはネットワークの中断。

• コンプライアンス インシデント: データの誤った取り扱いや監査管理の不備など、規制要件や社内ポリシーの違反。

• パフォーマンス インシデント: 読み込みの遅延や接続の切断など、アプリやサービスのパフォーマンスの低下。

• ヒューマン エラー インシデント: 意図しない中断を引き起こす設定ミス、誤削除、手順上の誤り。

インシデント対応ライフ サイクルの 6 つのフェーズ

インシデント対応ライフ サイクルは、準備、特定、封じ込め、根絶、復旧、教訓の 6 つのフェーズで構成されます。これらのフェーズ、つまりインシデント対応ステップは、企業がサイバーセキュリティ インシデントを検出して対応、復旧するための体系的なアプローチを提供します。

フェーズ 1: 準備

準備フェーズでは、チームがインシデント対応を処理するために必要なポリシー、手順、ツールを開発します。この作業の重要な部分は、インシデント対応計画を作成することです。多くの企業では、テンプレートを出発点として使用し、ニーズに合わせてカスタマイズしています。

その他のアクティビティには、コンピューター インシデント対応チームの設立、インシデント通知チャンネルとエスカレーション手順の設定、監視および検出ツールの実装などがあります。この段階でインシデント対応のベスト プラクティスに従うことが、その後のすべての基盤となります。

フェーズ 2: 特定

特定フェーズでは、チームがインシデントの重大度レベルに基づいて潜在的なセキュリティ インシデントを検出し、分類します。

このフェーズには、システムとネットワークの異常の監視、セキュリティ ログおよびアラートの収集と分析、事前定義された基準に基づくインシデントのトリアージと優先順位付けが含まれます。

フェーズ 3: 封じ込め

封じ込めフェーズは、インシデントの広がりと影響を制限することに重点を置いています。

これには、影響を受けるシステムやネットワークの隔離、悪意のあるトラフィックやアクセス試行のブロックなど、短期的および長期的な封じ込め戦略の実施が含まれます。その他の戦略としては、セキュリティ パッチやアップデートの適用、さらなる分析のための証拠の収集と保存があります。

フェーズ 4: 根絶

根絶フェーズでは、インシデントの根本原因を特定し、それを環境から取り除きます。

これには、マルウェアや侵害されたファイルの削除、脆弱性やセキュリティ ギャップの解消、パスワードのリセット、侵害された認証情報の取り消し、影響を受けたシステムのクリーン バックアップからの再構築が含まれる可能性があります。

フェーズ 5: 回復

復旧フェーズでは、システムと運用を通常の状態に復元します。

中心となるアクティビティには、バックアップからのデータと構成の復元、復元されたシステムの整合性のテストと検証、再感染の兆候や残存課題の監視、関係者への解決策の通知があります。

フェーズ 6: インシデント事後レビューと改善

教訓フェーズでは、インシデント対応プロセスの継続的な改善を保証します。

これには、インシデント事後レビューと分析の実施、対応プロセスの長所と短所の特定、現在のインシデントから得たインサイトに基づくインシデント対応計画と手順の更新、インシデント対応チームへの追加のトレーニングとリソースの提供が含まれます。

ITSM (IT サービス管理) ツールは、6 つのインシデント対応ライフ サイクル フェーズにわたるインシデント対応ワークフローを合理化および自動化します。企業がインシデントに迅速かつ正確に、連携して対応できるよう支援します。

インシデント対応の担当者

インシデント対応には、幅広い専門知識を持つ専任チームが必要です。技術調査から関係者とのコミュニケーションまで、あらゆる側面で責任者が必要です。ほとんどのチームには、以下のインシデント対応の役割と責任が含まれています。

• インシデント指揮官または対応マネージャーは、インシデント対応プロセス全体を監督し、チームの取り組みを調整します。

• DevOps チームは、それぞれの領域内のインシデントを調査、分析し、根本原因を特定して是正措置を推奨します。

• 運用チームは、関連する法律や規制を確実に遵守しながら、ネットワーク インフラストラクチャ、システム管理、アプリ開発などの分野で多様な専門知識を提供します。

• IT サポート チームは、ネットワーク インフラストラクチャ、システム管理、アプリ開発に関する専門知識を活かしてソリューションを提供し、運用が円滑に進むようにします。通常は、複数の IT サポート レベルに対応しています。

• 法律アドバイザーは、インシデント対応プロセスが法的および規制上の要件に準拠していることを確認し、潜在的な法的影響について助言します。

インシデント対応ツールと技術

インシデント対応には、検出、調査、コミュニケーション、文書化、解決など、多くの不確定要素が関わっています。そのすべてを手動で管理しようとすると、チームの作業速度が低下し、エラーが発生する余地が生まれます。適切なツールがあれば、チームはあらゆる段階で連携を維持し、より迅速に作業を進めることができます。

ほとんどのインシデント対応ツールキットには、以下の組み合わせが含まれています。

• ASM (Attack Surface Management (攻撃対象領域管理)): 組織の外部向け資産をマッピングおよび監視し、攻撃者に悪用される前にリスクを特定します。

• EDR (Endpoint Detection and Response (エンドポイントの検出と対応)): ノート PC やサーバーなどのエンドポイントで不審なアクティビティを監視し、迅速な調査を可能にします。

• SIEM (Security Information and Event Management (セキュリティ情報とイベント管理)): 環境全体のログ データを分析して、リアルタイムで脅威を検出します。

• SOAR (Security Orchestration, Automation and Response (セキュリティ オーケストレーション、自動化、対応)): 対応タスクを自動化し、複数のツール間でアクションを調整します。

• XDR (Extended Detection and Response (拡張検出および応答)): エンドポイント、ネットワーク、クラウド環境全体のデータを統合し、より広範囲の脅威を可視化します。

• コミュニケーションおよびドキュメント プラットフォーム: インシデント発生中に対応者の足並みを揃え、インシデント事後レビューのために実行したアクションを文書化します。

これらのツールは、組み合わせて使用することで最も効果を発揮します。サイロ化されたシステムでは、チームはダッシュボードを使い分けたり、手動で情報を転送したり、後からタイムラインをつなぎ合わせたりする必要が生じます。ツールを統合することで、アラート、ログ、ワークフローが単一のビューに集約されるため、対応者はコンテキストを切り替えることなく、何が起こっているかを把握して対処することができます。これにより所要時間が短縮され、ミスにつながるコミュニケーション不足を減らすことができます。

Jira Service Management のような ITSM ソフトウェアは、インシデント対応の中心的なハブとして機能することで、これらのツールを結び付けます。監視システムからのアラートを接続し、自動化されたワークフローを通じてルーティングし、チームがリアルタイムでコラボレーションするための共有スペースを提供します。既に IT サポート ソリューションを使用している組織では、JSM が既存のスタックに自然に組み込まれ、インシデント対応の調整が 1 か所に統合されます。

インシデント対応計画の実践

文書化されたインシデント対応計画は、チームが実際に使ってこそ役立ちます。目標は、共有ドライブ内に放置されるのではなく、フレームワークを日常業務に組み込むことです。

Jira Service Management を使用して、インシデント対応ワークフローをテストして改良し、継続的に改善します。机上演習を実行し、インシデントをシミュレートして、チームのパフォーマンスを確認します。サイクルを重ねるごとに、何がうまくいっているのか、どこを改善すべきかを明確に把握できます。