ホワイトペーパー「今さら聞けない！インシデントレスポンスの基本」を公開しました

IT技術の発展とともにサイバー攻撃の脅威も高まり、今日もどこかの組織でインシデントの報告が上がっています。サイバー攻撃の標的となる組織は様々で、いつどのような企業が対象になるかは誰にも予想ができません。また、インシデントの原因はサイバー攻撃とは限らず、従業員のミスや悪意ある行動が原因の場合もあり得ます。いずれの場合においてもインシデントに適切に対応できなければ、組織の信用を損なうことになります。

インシデントが発生しないよう防止策を実施することも重要ですが、防災対策と同様にインシデント発生時のインシデントレスポンス（以下、IR）も計画しておく必要があります。

IRは単に「誰が担当する」というだけの業務割り当てではありません。想定されるインシデントの内容や予想される影響に対して、封じ込めの手順や原因調査の計画を策定しておく必要があります。さらに、計画が問題なく実行できるよう訓練を行い、同時に計画の問題点を洗い出すといった準備が欠かせません。そして、一度発生したインシデントが再発しないように、表面的な問題だけではなく根本的な問題を見つけて修正することが必要です。

今回公開したホワイトペーパー「今さら聞けない！インシデントレスポンスの基本」では、IRについてあまり詳しくない情報システムの担当者向けに、IRの基礎知識をわかりやすく解説しています。より詳細なIR計画については専門のトレーニングや、コンサルティングの利用を検討する必要がありますが、IRに求められる視点と構成要素を理解いただく第一歩になれば幸いです。

ホワイトペーパーの見どころ

本ホワイトペーパーでは、IRの全体を5つのフェーズに分けて解説しており、各フェーズで実施する内容を詳細に解説しています。ここではホワイトペーパーの見どころをピックアップして紹介します。

IRの目的と内容

IRは発生したインシデントを収束させ、業務を早期に正常化するための対応です。この点については、IRの名称をご存じの方であれば共通の認識かと思います。しかし、収束に必要となる業務や参加すべき従業員、対応体制、事前準備が必要な項目まで全体像を把握している方は多くありません。ここでは、IR体制をこれから構築しようとする組織に向けて、IR計画を作成する際に検討すべき項目をご紹介しています。

IRや再発防止策の実施の注意点

インシデントが発生した際には、IRにより被害を封じ込め、原因を調査し、再発防止策を実施するまでが基本的な流れです。しかし、その過程で不適切な行動をとってしまうとIRが不完全に終わり、被害の拡大やインシデントの再発につながるおそれがあります。そうした事態を防ぐために、IRや再発防止策を検討する際に注意すべきポイントについて解説しています。

IRでの役割分担と関係者間の連携

インシデント発生時は、対応責任を持つ役員以外にも現場対応の責任者や、ログ等の分析を行うエンジニア、社内外への情報展開を行う広報担当者など、複数の部署が連携して対応にあたる必要があります。二次被害を避けるためには、それぞれがお互いの状況を把握し、対応の実施や各部署への指示を行う必要があります。

IRは単なる役割分担ではなく、全体の対応計画をあらかじめ想定し、訓練を含めた事前準備を行って関係者の認識を合わせるといった入念な準備が必要です。本書をもとに、組織の準備状況を見直すきっかけとなれば幸いです。

ホワイトペーパーの目次

• 第一章  IRの全体像
  • 1-1IRの目的
  • 1-2IRの全体像
• 第二章  IR計画の策定
  • 2-1IR計画策定における検討項目
  • 2-2保有する資産の調査
  • 2-3資産から想定されるインシデントと脅威度の整理
  • 2-4IR計画の策定と人員配置
  • 2-5IR対応の訓練
• 第三章  根本原因の調査と再発防止
  • 3-1IRにおける原因調査
  • 3-2原因調査の流れ
  • 3-3再発防止
• 第四章  IRの注意点
  • 4-1IR指揮者の役割と現場対応者との連携
  • 4-2罰を重くすることの意味
  • 4-3再発の可能性と定期的な見直し
• 最後に  
• 付録  

ホワイトペーパーのダウンロード

本ホワイトペーパーは、下記よりダウンロードいただけます。

今さら聞けない！インシデントレスポンスの基本
ダウンロード

今さら聞けない！インシデントレスポンスの基本(PDF 6.9MB)