「迅速・的確なインシデントレスポンス」を口だけで終わらせないためには脅威の検出から優先順位付け、回復までをシームレスに実現

インシデントに即座に対処するには、組織やシステム間で情報を共有し、優先順位を付けて回復措置を取る必要がある。さまざまな“壁”があるこのプロセスをスムーズに進めるには、どうすればよいのだろうか。

2016年02月26日 10時00分 公開
[ITmedia]

 昔の特撮映画やSFアニメーションなどには、「司令室」の役割を果たす組織がよく出てくる。刻々と変わる情勢が逐一報告、集約され、分析結果に従って下される指令に応じて、現場が調査や敵との戦いに挑む。

 ひるがえってサイバーセキュリティの世界における「司令室」はどうだろうか。標的型攻撃やランサムウェア、分散型サービス拒否(DDoS)攻撃といったさまざまなセキュリティインシデントに備え、CSIRT(Computer Security Incident Response Team)を整備する動きが組織の間で広がっている。しかし、インシデントレスポンスは想定通りに進むとは限らない。整然と情報を収集し、状況を把握できることはまれだ。

 インシデントレスポンスを進めるにはまず、クライアントPCをはじめとするエンドポイントとネットワーク双方の情報を集約し、脅威の状況を把握する必要がある。加えて、日々新たに登場する脅威の情報と照らし合わせ、何に注意すべきか、どこを守るべきかを迅速に判断し、優先順位に従って早期に対処しなければならない。

 だが、これまでの縦割り型のセキュリティ対策の延長線上で対応していては、どうしても手間と時間がかかってしまい、その間に被害が拡大してしまう。ネットワークとエンドポイントとでは、セキュリティ製品だけでなく運用チームも別々になっており、情報収集に“壁”があることも珍しくない。こうした壁を打ち破り、インシデントレスポンス、特に脅威の発見からエンドポイントの回復までを含む初動対応をスムーズに進めるには、どういった手段が必要なのだろうか。