サイバー攻撃

企業に必須な「インシデント対応計画」の策定メソッドを紹介!サイバー攻撃対策に欠かせない4つのフェーズとは

Written by 今井 涼太

営業を経て、現在は LANSCOPE サイバープロテクション(BlackBerry Protect、Deep Instinct)マーケティング担当。
好きなドラマは「半沢直樹」。セキュリティ対策に「倍返し」はあり得ない。
やられる前にやる!事前防御だ!

企業に必須な「インシデント対応計画」の策定メソッドを紹介!サイバー攻撃対策に欠かせない4つのフェーズとは

目次

データの改ざんや機密情報の持ち出し、情報漏洩といった被害をもたらすサイバー攻撃が巧妙化する中、事前に「セキュリティインシデントの発生時にどういった対応をするか」の準備を行っておくことは、企業にとって必須の課題といえます。

この記事では、企業が事前に取り組むべき「インシデントの対応計画」の4つのフェーズについて、それぞれの概要をご説明します。またより具体的な手順については、以下の無料ダウンロード資料もご活用ください。

5分で分かる!インシデント対応計画の策定メソッド

資料をダウンロードする

資料をダウンロードする

インシデント対応計画が必要とされる背景

近年、Emotetやランサムウェアなどの様々なマルウェアが猛威を振るう中、多くの企業がセキュリティ対策に追われています。特にデータ侵害に関する対策は、すぐに実施できるわけではなく多くの時間や手間がかかります。

IBMが実施した「2022年 データ侵害のコストに関する調査」によれば
①「インシデントレスポンス(以下:IR)チームを備え、インシデント対応計画をアップデートしている組織」がデータ侵害を受けた場合
②「IRチームが無い、またはインシデント対応計画をアップデートしていない組織」がデータ侵害を受けた場合
上記2パターンを比較したところ、「① IRチームを備えインシデント対応計画をアップデートしている組織」のほうが、約266万ドルのコストを抑えられていることが明らかになりました。この差、①326万ドル VS ②592万米ドルとなり、インシデント対応計画を常習的に行っている企業のほうが、58%のコスト節減を示していることがわかります。

サイバー攻撃は増加の一途を辿っており、常にインシデントが発生する可能性があります。そのため、攻撃を受けた際も迅速に対応できるよう「インシデント対応計画」をあらかじめ策定することが望ましいといえます。

インシデント対応計画とは

インシデント対応計画とは「組織がサイバー攻撃に遭遇した際、首尾よく対応する準備のための包括的な取り組み」を記述した文書のことを指します。例えば、会社のPC がマルウェア感染した場合に


・ 従業員はどのように対応しなければならないのか
・ 誰に連絡する必要があるのか
・ 感染後の復旧手順

などの具体的なアクションを、インシデント対応計画にて事前に明らかにしておくことが重要です。また、定期なセキュリティ教育の実施といったサイバー攻撃に対しての訓練、インシデント対応計画の要素に含まれます。

インシデント対応計画の4つのフェーズ

それでは、自社に最適で効果的なインシデント対応計画を策定するにはどうしたらよいのでしょうか?インシデント対応計画で策定すべき「4つのフェーズ」は以下の通りです。


1. 準備
2. 検知・分析
3. 封じ込め・根絶・復旧
4. インシデント後の対応

それぞれの概要を説明します。

1.インシデント対応の準備

準備フェーズの目的は、インシデント対応を行うセキュリティの専門チームであるCSIRT(Computer Security Incident Response Team)の設立や、サイバー攻撃への備え・インシデント予防に必要なリソースの確保など「インシデントが発生した場合の行動計画」を定義することです。

このフェーズは、インシデント対応計画の中で唯一、サイバー攻撃を未然に予防する方法を検討する項目になります。

2.インシデントの検知・分析

「検知・分析」のフェーズでは、イベントを特定してトリアージ(インシデント対応において優先順位付けを行う作業)をし、インシデントとして対応する基準に相当するかを決定するプロセスです。

検知・分析は優先順位付けが重要なため、一定のルールを決めて行う必要があります。

3.インシデントの封じ込め・根絶・復旧

インシデントを特定した後、封じ込め、根絶、復旧を行う必要があります。

インシデントがビジネスへの損害を増大させる前に被害拡大を食い止めることが同フェーズの目的です。インシデントの封じ込め・根絶・復旧フェーズでは、クライアントやユーザーの不安を早期に解消するためにも、効果的な意思決定や適切な情報公開が重要となります。

4.インシデント後の対応

このフェーズの目的はインシデント対応後に会議を開き、発生時の対応フローや復旧作業の適切さ・再発防止策などを振り返り、今後の対応を改善することにあります。

上手くいった点や上手くいかなかった点を文書化し、繰り返し改善を重ねることで、今後発生し得る新たな脅威に対しても対応できる確率が高まります。

こういったインシデント対応計画における各フェーズの詳細・押さえておきたい具体的なポイントについては、無料ダウンロード資料「5分で分かる!インシデント対応計画の策定メソッド」からご確認頂けます。

例えば、「1.準備」フェーズでは「効果的なサイバーセキュリティインシデント対応計画に必要な10の要件」をご紹介しており、企業がどのような内容を事前に決めておく必要があるのかを列挙しております。その他にも以下内容をご覧頂けます。


・検知・分析フェーズで検討すべき「インシデント分析チェックリストにおける4つの重要な要素」
・封じ込め・根絶・復旧フェーズで検討すべき「修復計画に含める6つの要素」
・インシデント後の「復旧計画に必須となる4つの項目」

セキュリティインシデント対応計画の策定にご活用いただければ幸いです。

5分で分かる!インシデント対応計画の策定メソッド

資料をダウンロードする

資料をダウンロードする

また、 LANSCOPE サイバープロテクションでは「インシデント対応パッケージ」をご提供しています。マルウェア解析のスペシャリストが、セキュリティインシデントに対する原因の特定と封じ込め、影響範囲の調査を行い、インシデントによる被害を最小限に抑えることで、いち早い復旧を支援するサービスです。

詳細は下記ページをご確認ください。

関連ページ

LANSCOPE サイバープロテクションの「インシデント対応パッケージ」とは