インシデント対応計画のテンプレート

ビジネス リーダーと、そのリーダーが報告する取締役会は、組織がサイバー インシデントの被害に遭うことはほぼ間違いないという、厳しい現実を次第に受け入れつつあります。問題は、いつ、どの程度の被害を受けるかです。現在の攻撃リスクを軽視すると、経営者は株主、顧客、ビジネス パートナーに対する受託者責任を果たすことができなくなる可能性があります。当然のことながら、包括的なサイバー保護戦略を維持するための投資を一層強化する必要があります。しかし、対策を講じている場合でも、潜在的な侵害を完全に防ぐことはできません。したがって、効果的なインシデント対応計画がなければ、サイバーセキュリティ保護計画は完全なものとは言えません。

インシデント対応計画テンプレートとは

インシデント対応計画テンプレートは、セキュリティ インシデントに対応するための標準化されたフレームワークを組織に提供する、事前に構造化されたドキュメントです。サイバーセキュリティ侵害を検出、封じ込め、復旧するために必要な具体的な手順、役割、連絡体制を概説しています。チームは、危機が発生したときにゼロから始めるのではなく、このテンプレートを自組織特有のインフラストラクチャやリスク プロファイルに合わせてカスタマイズすることができます。このテンプレートは、計画策定ツールと運用ガイドの両方の役割を果たし、あらゆる種類のインシデントに対して一貫した統制の取れた対応を確保します。

インシデント対応計画テンプレートの構成要素

最初の重要なステップは、インシデント対応計画のスポンサーが経営陣の全面的な支持を得ることです。経営陣の賛同がなければ、インシデント対応計画は失敗に終わるでしょう。経営陣は、全体的なアプローチと戦略に賛同し、インシデント対応計画に含まれる手順に予算とリソースを割り当てる姿勢を持つ必要があります。経営陣がインシデント対応計画に何を期待しているのかを把握することが極めて重要です。攻撃の種類ごとに詳細なプレイブックを求めている場合もあれば、より一般的な「指揮を執る」計画を求めている場合もあります。

インシデント対応計画のその他の 5 つの基本コンポーネントは次のとおりです。

  1. イベントとインシデントの区別や、どの時点で危機とみなされるのか、などの定義と分類。
  2. 各インシデント カテゴリの優先順位を決定する重大度マトリックス。インシデントがどの重大度カテゴリに該当するかを明確にする必要があります。
  3. 意思決定権限者、上級幹部、取締役、社外弁護士、フォレンジック、広報、保険会社など、中核となるインシデント対応チームを規定する役割と責任。
  4. 社内の関係者を含むコミュニケーション計画。最初に連絡すべき相手と時期を定めた、弁護士承認済みの適切な連絡手順テンプレート。
  5. さまざまな攻撃ベクトルを想定した机上のシミュレーション演習を含む、トレーニング、テスト、メンテナンスのスケジュール。

効果的なインシデント対応計画を作成する方法

専門家の間では、インシデント対応計画を、米国国立標準技術研究所(NIST)がコンピュータ セキュリティ インシデント対応ガイド(特別出版物 800-61 改訂 2 版)で公開している推奨事項に沿って策定することが広く推奨されています。NIST フレームワークでは、多くの推奨事項の中で、組織が計画を策定するうえで取るべき 4 つのステップを次のように分類しています。

連絡先情報、インシデント報告メカニズム、問題追跡システム、ウォー ルーム、コミュニケーション用の暗号化ソフトウェアを含む、インシデント ハンドラ コミュニケーション計画を構築して維持します。

メールのマルウェア、悪意のあるウェブサイト、なりすまし、リムーバブル メディア、ブルート フォース、異常なアクティビティなどの攻撃ベクトルを理解し、IDPS、SIEM、ウイルス対策、アンチスパム、ログなどのアラート ツールを使用します。分析については、ネットワーク システムのプロファイリング、通常の動作の把握、ログ保持ポリシーの作成、イベントの相関関係の把握などを行う必要があります。

ホスト IP アドレスの検証、インシデント データベースの使用、攻撃者の通信チャネルのモニタリング、検索エンジンによる調査を通じて、攻撃者を特定します。対応チームは、優先順位に基づいて段階的なアプローチで根絶と復旧を実施する必要があります。

何が起こったのか、いつ起きたのか、対応チームがどのような手順を取ったことで復旧を妨げた可能性があるのか、といった疑問を通じて、組織が攻撃を回避できた可能性を検証します。

インシデント対応計画テンプレートの使用方法

インシデント対応計画のテンプレートは、組織のセキュリティ対応戦略の基盤となりますが、その有効性は適切な実装とカスタマイズによって決まります。まず、テンプレートを現在のセキュリティ インフラストラクチャと照らし合わせて確認し、対処が必要なギャップを特定します。テンプレートは、特定の技術スタック、規制要件、組織構造を反映するように調整する必要があります。

実装プロセスは、次の主な手順で行われます。

  • 組織の構造に合わせてテンプレートの各セクションをカスタマイズし、定義された各役割に具体的に個人を割り当てて、インシデント発生時の責任を全員が理解できるようにします。
  • 外部ベンダー、弁護士、通知が必要な規制当局など、すべての関係者の最新連絡先情報を連絡先リストに入力する
  • リスク評価に基づいてインシデント分類基準を定義 し、軽微、重大、深刻なインシデントを構成する明確な判定基準を定めます。
  • 最も可能性の高い脅威シナリオごとに具体的なランブックを作成し、封じ込めと復旧の段階的な手順を詳細に説明します。
  • 計画の定期的な見直しと更新をスケジュールし、実際のインシデントや机上演習から得られた教訓を反映します。

インシデント対応計画のテンプレートの事例紹介と業界の例

さまざまな業界の組織が、特定のリスク、システム、規制環境に合わせてカスタマイズされたインシデント対応テンプレートを利用しています。各業界が、運用実態に合わせて中核となる対応原則をどのように適応させているかからヒントを得ることで、独自の計画を策定または改良するための実践的なモデルを幅広く得ることができます。

クラウド環境は、分散型であることと責任共有モデルであることから、インシデント対応において固有の課題を抱えています。クラウド固有のテンプレートは、マルチテナント セキュリティ、API ベースの脅威、エフェメラル インフラストラクチャ全体にわたるインシデント調査の複雑さなどの問題に対処します。これらのテンプレートには、モニタリングとフォレンジックのためのクラウドネイティブ ツールが組み込まれており、クラウド サービス プロバイダとの連携手順が定義されています。また、リソースを自動的にスケーリングまたは終了できる動的な環境で証拠を保存するためのプロトコルが確立されています。

従来のコンピュータ セキュリティ インシデント対応テンプレートは、オンプレミス インフラストラクチャ内のエンドポイント保護とネットワーク セキュリティに重点を置いています。これらのテンプレートは、ワークステーションとサーバーに影響するマルウェア感染、不正アクセスの試行、データ侵害への対応手順を包括的に提供します。これらには、影響を受けたシステムの隔離、ハードドライブやメモリからのフォレンジック証拠の収集、潜在的な法的手続きに備えた証拠保全を維持しながらの業務の復元に関する詳細な手順が含まれています。

サイバーセキュリティ管理者向けに設計されたテンプレートは、複数のチームと関係者間の戦略的な連携とコミュニケーションを重視しています。これらのフレームワークには、経営幹部を巻き込むためのエスカレーション マトリックス、規制当局への通知テンプレート、注目度の高いインシデント発生時の広報対応手順などが含まれています。リソースの割り当て、ベンダー管理、経営陣や規制当局へのインシデント後の報告に関するガイダンスをに提供し、管理者が複雑な対応活動を効果的に調整できるようにします。

医療機関のインシデント対応テンプレートは、重要な医療システムを維持しながら患者データを保護するという、医療機関特有の課題に対処します。これらのテンプレートには、HIPAA の侵害通知要件、医療機器に対するランサムウェア攻撃の対応手順、システム停止時の患者ケアを継続するためのプロトコルが組み込まれています。これには、電子健康記録ベンダーとの連携、地域の医療情報交換組織との調整、患者の安全に影響を与える可能性のあるインシデントの管理に関する具体的なガイダンスが含まれます。

カリフォルニア州技術局のテンプレートは、重要な公共サービスを管理する州政府機関向けに設計された包括的なフレームワークを提供します。このテンプレートでは、省庁間の連携、情報公開に関する要件、市民のデータを保護する手順が重視されています。州の緊急事態管理事務局との連携、複数の部門に影響するインシデントへの対応、サイバー攻撃中の行政サービスの継続性を維持するための具体的なプロトコルが含まれています。

NIH のテンプレートは、機密性の高い研究データの保護と科学技術計算 リソースの完全性の維持という固有の要件に対応しています。このフレームワークには、臨床試験に影響を与えるインシデントへの対応、知的財産の保護、複数の研究機関にわたる対応の調整手順が含まれています。管理された非格付け情報、ヒト対象のデータ、ゲノム研究に使用されるハイ パフォーマンス コンピューティング クラスタが関与するインシデントに関する具体的なガイダンスを提供します。

学術機関は、開かれた研究環境とセキュリティ要件の両立という特有の課題に直面しています。コネチカット大学のテンプレートは、学生、教員、研究者など、さまざまなユーザー層に影響するインシデントに対応しています。これには、重要な学業期間中のインシデントへの対応、FERPA に基づく学生記録の保護、分散した IT 部門全体での対応の調整、ならびに学問の自由と研究協力の維持を両立させる手順が含まれます。

Google Cloud でビジネスの課題を解決する

新規のお客様には、Google Cloud で使用できる無料クレジット $300 分を差し上げます。
お客様独自の課題については、Google Cloud のセールス スペシャリストまで詳しくご相談ください。

Google Cloud Security のインシデント対応サービス

Google Cloud Security は、Google のインフラストラクチャと世界中の数十億人のユーザーを長期にわたり保護してきた経験に裏打ちされた、包括的なインシデント対応サービスを提供します。Google のチームは、高度な脅威インテリジェンス、クラウドネイティブのセキュリティ ツール、実績のある対応方法を組み合わせて、組織がセキュリティ インシデントを検出して復旧できるよう支援します。Google のインシデント対応チームが 24 時間 365 日サポートを提供し、侵害が発生した場合は迅速な支援を提供します。また、組織が事前計画と準備演習を通じてレジリエンスを構築できるよう支援します。

次のステップ

Google Cloud Security が、侵害への備えと対応をどのように支援できるか、今すぐご確認ください。

Google Cloud
ドキュメントサポート
コンソール
ログイン
  • デジタル変革を加速させましょう
  • お客様がデジタル トランスフォーメーションに乗り出したばかりでも、あるいはすでに進めている場合でも、Google Cloud は困難な課題の解決を支援します。
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
  • Google の透明性の高い料金設定の手法で費用を削減
  • Google Cloud の従量課金制では、毎月の使用量と、リソース料金の前払い割引に基づいて自動的に割引が適用されます。見積もりをご希望の場合は、今すぐお問い合わせください。
Google Cloud