トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに

トレンドマイクロ株式会社は1月18日、インシデント対応における基本的対策指針について同社のセキュリティブログにて発表した。

調査・レポート・白書・ガイドライン

2021.1.20 Wed 8:05

トレンドマイクロ株式会社は1月18日同社ブログで、インシデント対応における基本的対策指針に関する記事を公開した。同記事ではサイバー脅威による企業の損害と昨今の変化する脅威について、企業のネットワークに脅威が侵入した際に行うべきインシデント対応の基本を解説している。

セキュリティ研究開発機関「IBM」とデータ保護法・政策研究センター「Ponemon Institute」の調査報告書「Cost of a Data Breach Report 2020」によると、データ侵害発生時に企業組織が被った平均損失額は386万米ドル（約4億円）で、この損失額はデータ侵害の事実発見から対処するまでに要する時間で変動するとしている。

同記事では、企業が脅威について認識しておくことは潜在的なサイバー攻撃への準備対策を講じる上での第一段階で、企業がより高度なネットワークやデータインフラに依存する現在は、脅威の及ぼす影響力や攻撃範囲が増大しているとし、同社ではこれまでも、サイバー犯罪者が業界動向や人気のプラットフォームを悪用するために攻撃手法を変化させていることを国内外の脅威動向を分析し報告してきた。

同記事ではインシデント対応について、組織がデータ侵害やサイバー攻撃に対処して被害を軽減させるための対策指針として用いる手順あるいは対策計画案と定義、その最終目標はサイバー攻撃の被害に遭った場合でも企業活動を安全に再開させることで、企業の防御策を侵害した脅威の特定および被害を緩和させる対策案が含まるとしている。

脅威に対する基本的対策指針としては、米国国立標準技術研究所（NIST）と「SANS Institute」が制定する2つのインシデント対応フレームワークが基本的指針として一般に広く受け入れられており、同社ではこの2つのフレームワークから知見を得て、次の脅威対策指針を紹介している。

1.脅威への対策準備
対策準備には、攻撃に直面した際に準拠すべきセキュリティポリシー・プロトコルの策定が含まれ、データ侵害が発生した際に通知すべき担当者や各関連部署を社内外問わず相関付ける必要がある。

2.識別、検査、分析
脅威に気づくために、エンドポイント、ネットワークトラフィック、その他のデータソースを監視するために最適な脅威検出・対策ツールを準備し、その情報を活用しインシデントによる被害状況を推定。

3.封じ込め、根絶、復旧
感染端末に対し、ネットワークアクセス制御機能を用い、侵入経路として利用された可能性のあるネットワークから隔離、感染端末から脅威を駆除し、さらに解析内容をセキュリティ専門家またはセキュリティベンダに転送、修正プロセスを開始し攻撃によって残された問題や不具合を修正する。

4.インシデントから得た教訓の反映あるいはインシデント後にできる対策
インシデントの原因について調査し、その知見と教訓を組織のインシデント対応プロセス全体を強化するために使用する。

《ScanNetSecurity》