インシデント対応の計画

この表をチェックリストとして使用して、サイバーセキュリティ インシデントに対応するためのセキュリティ オペレーション センター (SOC) を準備します。

完了 アクティビティ 説明 特長
机上演習 組織の経営陣が困難なリスクベースの意思決定を検討しなければならなくなるような、ビジネスに影響を与える可能性がある予測しうるサイバー インシデントの机上演習を定期的に実施します。 サイバーセキュリティをビジネス上の問題として確立し、提示します。 組織全体でマッスル メモリーを開発し、困難な決定と決定権の問題を表面化させます。
攻撃前の決定と意思決定者を決定する テーブル トップ演習の補完として、リスクベースの決定、意思決定の基準、およびそれらの決定を行う必要があるユーザーを決定します。 例:

法的機関に支援を求めるのは誰か/いつか/どのような場合か

インシデントの対応者に協力を求めるのは誰か/いつか/どのような場合か

身代金を支払うのは誰か/いつか/どのような場合か

外部の監査人に通知するのは誰か/いつか/どのような場合か

プライバシー規制機関に通知するのは誰か/いつか/どのような場合か

セキュリティ規制機関に通知するのは誰か/いつか/どのような場合か

役員会または監査委員会に通知するのは誰か/いつか/どのような場合か

ミッション クリティカルなワークロードをシャットダウンする権限を持つのは誰か
インシデントへの対応を効率化するために、初期の対応パラメーターと連絡すべき担当者を定義します。
特権の維持 一般に、アドバイスには特権を伴いますが、事実は調べることが可能性です。 特権が保持され、リスクが軽減されるように、特権の下でのアドバイス、事実、意見の伝達について主要なインシデント リーダーをトレーニングします。 電子メール、コラボレーション プラットフォーム、チャット、ドキュメント、成果物などの多数の通信チャネルを考えた場合、特権の維持は手間のかかるプロセスになる可能性があります。 たとえば、Microsoft Teams ミーティングを使用できます。 インシデント担当者と外部のサポート組織での一貫したアプローチにより、潜在的な法的露出を減らすことができます。
インサイダー取引に関する考慮事項 セキュリティ違反のリスクを軽減するために取る必要があるマネージメントへの通知を検討します。 取締役会および外部の監査者は、混乱の期間中に疑わしい証券取引のリスクを軽減する軽減策を備えていること評価する傾向があります。
インシデントの役割と責任のプレイブック さまざまなプロセスでフォーカスを維持し、状況を前進できるよにするための基本的な役割と責任を確立します。

応答チームがリモートの場合、タイム ゾーンと調査担当者への適切なハンドオフに関する追加の考慮事項が必要になる場合があります。

ベンダー チームなど、関係する可能性のある他のチーム間でやりとりする必要がある場合があります。
技術インシデント リーダー – インシデントに常時関与し、インプットと結果を総合的に判断し、次のアクションを計画します。

コミュニケーション リエゾン – 技術インシデント リーダーがマネージメントへ連絡することの負担を取り除くことにより、集中を失わずにインシデントに関与し続けられるようにします。

これには、役員とのメッセージ交換や対話、および他の第三者 (規制機関など) の管理が含まれます。

インシデント記録者 – インシデント対応者が結果、決定、アクションを記録する負担を取り除き、インシデントの最初から最後までの正確な記録を作成します。

企画立案者 – ミッション クリティカルなビジネス プロセス所有者と一緒に作業し、24 時間、48 時間、72 時間、96 時間、またはそれ以上続く情報システムの障害を考慮した事業継続のアクティビティと準備を策定します。

広報 – 世間の注目を集める可能性が高いインシデントの発生に備え、企画立案者と協力して、起こり得る結果に対処する広報の手段を検討し、ドラフトを作成します。
プライバシー インシデント対応のプレイブック ますます厳格化するプライバシー規制を満たすために、SecOps とプライバシー オフィスの間で共同所有のプレイブックを作成します。これにより、セキュリティ インシデントから発生する可能性が高い潜在的なプライバシーの問題を迅速に評価できます。 プライバシーに影響を与える可能性があるセキュリティ インシデントの評価は困難です。その原因は、多くのセキュリティ インシデントは高度に技術的な SOC で発生し、それらは規制リスクを判断するプライバシー オフィスに迅速に通知される必要があり、それは多くの場合 72 時間以内であることが期待されるためです。
侵入テスト ビジネス クリティカルなシステム、重要なインフラストラクチャ、バックアップに対して特定の時点のシミュレートされた攻撃を実行して、セキュリティ態勢の弱点を特定します。 これは一般に、予防の制御をバイパスして主要な脆弱性を明らかにすることに重点を置く外部の専門家チームによって行われます。 最近の人が操作するランサムウェア インシデントを考慮して、増加するインフラストラクチャの範囲に対して侵入テストを実施する必要があります。特にミッション クリティカルなシステムとデータのバックアップを攻撃および制御する能力をテストします。
レッド チーム/ブルー チーム/パープル チーム/グリーン チーム ビジネス クリティカルなシステム、重要なインフラストラクチャ、バックアップに対して継続的または定期的な攻撃のシミュレーションを実行して、セキュリティ態勢の弱点を特定します。 これは一般に、内部攻撃チーム (レッド チーム) によって実行され、検出コントロールとチーム (ブルー チーム) の有効性をテストすることに重点が置かれています。

たとえば、Microsoft 365 Defender for Office 365 の 攻撃シミュレーション トレーニング と、Microsoft 365 Defender for Endpoint の 攻撃チュートリアル & シミュレーション を使用できます。
レッド、ブルー、およびパープルのチーム攻撃シミュレーションを適切に実行すると、さまざまな目的を達成できます。
  • IT 組織全体のエンジニアが、自身のインフラストラクチャの分野に対する攻撃をシミュレートできます。
  • 目に見えているものと検出内容のギャップを明らかにします。
  • セキュリティ エンジニアリングのスキルを全社的に上げます。
  • より継続的で広範なプロセスとしての役割を果たします。


グリーン チームは、IT またはセキュリティ構成の変更を実装します。
事業継続計画 ミッション クリティカルなビジネス プロセスについて、情報システムの障害が発生した場合に実行可能な最小限のビジネスを機能させるための継続性プロセスを設計およびテストします。

例えば、Azure バックアップと復元計画を使用して、攻撃中に重要なビジネス システムを保護し、事業運営を迅速に復旧できるようにします。
  • IT システムの障害または欠如に対する継続性の回避策がないという事実を強調します。
  • シンプルなバックアップと復旧よりも高度なデジタル回復力の必要性と資金提供を強調できます。
障害復旧 ミッション クリティカルなビジネス プロセスをサポートする情報システムに関して、ステージング時間を含め、ホット/コールドおよびホット/ウォームのバックアップと復旧のシナリオを設計してテストする必要があります。 ベア メタル ビルドを実施する組織は、多くの場合、複製するのが不可能なアクティビティや、サービス レベルの目標に適合しないアクティビティを見つけることがあります。

サポートされていないハードウェアで実行されるミッション クリティカルなシステムは、多くの場合、最新のハードウェアに復元できません。

バックアップの復元は多くの場合テストされておらず、問題が発生します。 ステージング時間が復旧目標で考慮されていない場合は、バックアップがさらに長時間オフラインになる可能性があります。
非常時のコミュニケーション 電子メールやコラボレーション サービスの障害、ドキュメント リポジトリの身代金要求、、従業員の電話番号の使用不能が発生した場合のコミュニケーション方法を準備します。 これは困難な演習ですが、電話番号、トポロジ、ビルド ドキュメント、および IT 復元手順が格納されたリソースのオフラインかつ変更不可能なコピーを、オフラインのデバイスと場所に格納し、大規模に配布する方法を決定します。
セキュリティ強化、ウイルス予防策、ライフサイクル管理 Center for Internet Security (CIS) の上位 20 のセキュリティ コントロールに沿って、インフラストラクチャを強化し、徹底的なウイルス予防活動を実行します。 最近の人が操作するランサムウェア インシデントに対応して、Microsoft は、Microsoft の機能か他のプロバイダーの機能かを問わず、サイバー攻撃のキル チェーンのすべての段階を強化および保護するための具体的なガイダンスを発行しました。 特に注意が必要な点は次のとおりです。
  • システムがランサム攻撃を受けた場合に備えた、変更できないバックアップ コピーの作成とメンテナンス。 また、敵対者が手順を隠ぺいすることを複雑にする、変更できないログ ファイルを保持する方法を検討することもできます。
  • ディザスター リカバリーでサポートされていないハードウェアに関連するリスク。
インシデント対応の計画 インシデントの最初に、次の決定を行います。
  • 重要な組織パラメーター。
  • 役割と責任への担当者の割り当て。
  • 緊急性 (24 時間 365 日、営業時間など)。
  • 期間中の持続可能性のためのスタッフ。
インシデントの最初に使用可能なすべてのリソースを投入し、迅速な解決を望む傾向があります。 インシデントが長期に及ぶと認識または予測したら、スタッフやサプライヤーについて異なる態勢を取り、長期間での対応が可能になるようにします。
インシデント対応者 お互いに明確な予想を確立します。 進行中のアクティビティを報告する一般的な形式には、次が含まれます。
  • 何を行ったか (結果は何だったか)。
  • 何を行っているか (どのような結果が、いつ生成されるか)。
  • 次に何を行う予定か (結果を現実的に期待できるのはいつか)。
インシデント対応者は、停止システムの分析、ビッグ データ分析、増分結果を生成する能力など、さまざまな手法やアプローチを備えています。 何が期待できるのかを最初に明確にすることで、確実なコミュニケーションを促進できます。

インシデント対応のリソース

主要な Microsoft セキュリティ リソース

リソース 説明
2021 Microsoft Digital Defense Report Microsoft のセキュリティのエキスパート、実務者、防御担当者から得た学びについてのレポート。あらゆる場所にいる人々のサイバー攻撃に対する防御を支援します。
Microsoft サイバーセキュリティ リファレンス アーキテクチャ Microsoft のサイバーセキュリティ機能と、Microsoft 365 や Microsoft Azure などの Microsoft クラウド プラットフォームとサードパーティのクラウド プラットフォームおよびアプリとの統合を示す一連のビジュアル アーキテクチャ図。
「即応性が重要になります」のインフォグラフィックのダウンロード Microsoft の SecOps チームが継続的な攻撃を軽減するためにインシデント対応を行う方法の概要。
Azure クラウド導入フレームワークのセキュリティ運用 セキュリティ運用機能を確立または最新化するリーダーのための戦略的ガイダンス。
セキュリティ運用に関する Microsoft セキュリティ ベスト プラクティス 組織をターゲットとする攻撃者よりも早く行動するための SecOps センターの最適な利用方法。
IT アーキテクト向け Microsoft クラウド セキュリティ モデル ID とデバイスへのアクセス、脅威の防止、情報保護のための Microsoft クラウド サービスとプラットフォーム全体のセキュリティ。
Microsoft のセキュリティ ドキュメント Microsoft のセキュリティに関するその他のガイダンス。