インシデントレスポンスの落とし穴、丸投げできない「初動対応」に失敗しないためには?プロが駆け付けるまでの間に脅威を特定し、即時に対処

インシデントレスポンスにおいては、感染や漏えい発覚後の初動対応がその後を大きく左右する。外部委託するのが難しいこの初動対応に、どう対処すればよいのか。

2016年02月26日 10時00分 公開
[ITmedia]

 国内企業のセキュリティ投資を見ると、海外と比べ絶対額が少ない上、まだ「入口対策」や「防止」に偏りがちな傾向が見られる。なるべく侵入されないよう対策を講じるのは大事だが、2015年に大きな被害をもたらした標的型攻撃の手口に見る通り、「予防」だけでは侵入を食い止められないことも明らかになってきた。

 巧妙な手口が明らかになるにつれて、「100%防ぐことは困難である」ことを前提に、脅威を速やかに検出して対応し、サービス復旧までつなげる事故前提のアプローチの重要性が認識され始めている。これに伴い、組織内CSIRT(Computer Security Incident Response Team)を組織し、インシデントレスポンス体制の整備に取り組む企業も増加してきた。だが、いざインシデントレスポンスに当たろうにも、具体的に何から始めればいいのか、課題が漠然としていて戸惑うケースも少なくないようだ。

 こうしたニーズを受けて、セキュリティインシデント発生時に「緊急駆け付け」のような形でレスポンス支援を提供するセキュリティ企業も増えてきた。確かにこうしたサービスは有用だが、それで全てが解決するわけではない。インシデント発生時の初動対応、つまり専門家が駆け付ける前にダメージを最小限に抑える取り組みは、自力でやらなくてはならないからだ。

 自力で確実かつ効率的な初動対応を実践するために、どのような体制を整え、準備しておく必要があるのだろうか。


提供:株式会社シマンテック
アイティメディア営業企画/制作:TechTargetジャパン編集部