サイバー攻撃に備える「セキュリティプレイブック」でインシデント発生の事前準備

サイバー攻撃に備える「プレイブック」の必要性

サイバー攻撃などのインシデント対策は、現在、多くの企業で実施されています。しかし、その対策は、マルウェアやランサムウェアなどによるサイバー攻撃の予防策や検知策などが主流となっており、事後対策の具体的なところは、十分な準備はされていないのが現状です。

もはや、サイバー攻撃のレベルは高まっており、巧妙化していることから、予防策が簡単に突破されてしまうのを前提とした、インシデント発生後の対策に焦点が移ってきています。

その中でも、インシデント発生後に、どのタイミングでどのような対策を実施するのかを具体的に記述したサイバーセキュリティプレイブックという手順書を準備するのが推奨されています。

サイバーセキュリティプレイブックの内容

サイバーセキュリティプレイブックとは、インシデント発生時に、インシデントに対応する手順が書かれたものです。

手順書は、SOC（ソック：Security Operation Center）及びCSIRT（シーサート：Computer Security Incident Response Team）を対象に作ります。

SOCは、ネットワークやデバイスを24時間監視し、インシデント検知から分析、インシデント発生直後の対策を実施する組織のことです。

CSIRTは、インシデント発生後に対応策を決め、インシデントの封じ込めや除去、回復など一連のインシデントに対応するための専門組織です。インシデント発生後に特別に結成されることもあります。

サイバーセキュリティプレイブックでは、フローチャートを活用して、わかりやすくインシデント発生後の対応手順を説明します。

対応手順は、インシデントの種類によっても異なるため、例えばマルウェア感染にはこのような対応策と手順、情報漏洩にはこのような対応策と手順、といったように、それぞれのインシデントに対して設定されます。

このように、考えられる脅威ごとに対応手順を具体的にしておくのがサイバーセキュリティプレイブックの特徴です。インシデント発生時には、その手順書に沿って対応することで、対応の迅速化はもちろん、自動化にも役立ちます。

サイバーセキュリティプレイブックを作る手順

では、サイバーセキュリティプレイブックはどのように作るのでしょうか。
主に次の手順に沿って整備していくことがポイントです。

インシデントの種類の整理

まずは、自社でどのようなインシデントが起き得るのかを洗い出します。どのようなシナリオでサイバー攻撃等を受けるのか、またその影響が及ぶ自社の保有情報やデバイスを特定しておきます。特に近年増えているクラウド環境やリモートワーク環境などは狙われやすいため、あらゆる脅威を想定しておく必要があります。

インシデントを検知する仕組みの検討

インシデント発生後に、インシデントを素早く検知し、隔離や除去といった初動対応を行う仕組みや手順を検討します。検知に対するアラート機能を備えるツールの導入が考えられます。

検知後のアクションの内容と手順の検討

次に、検知アラートを受けた後、誰がどのような対応をするのか、といったアクションを具体的に定めます。対処する人員の選定や事前教育も必要です。

プレイブックを自動化する「SOAR（ソアー）」とは

近年、サイバーセキュリティプレイブックを自動化する「SOAR（ソアー）」にも注目が集まっています。これはインシデントの対応策の優先順位を決め、プレイブックを自動化するツールです。

Security Orchestration,Automation and Responseの略で、インシデント検知に対して、まずはどのような対策を優先して実施すべきかの、トリアージを行います。

その後、定めたプレイブックを自動化します。フローチャートが示され、SOCやCSIRTのメンバーは、一つ一つのフローをクリックすることで、自動的に対応策を実施できます。

そのため、まだ経験や知識の浅いIT担当者でも活用の余地があります。

まとめ

サイバー攻撃のレベルが上がるいま、インシデント発生後まで、確実な対応策を手順書で用意しておくことは有効といえます。サイバーセキュリティプレイブックの整備を検討してみてはいかがでしょうか。