統計によると、より多くの企業が業務をデジタルリアリティに移行するほど、サイバーセキュリティのリスクが高まります。GetApp 2020 Data Securityの調査による と、回答企業の35%が2020年にデータ侵害を経験し、28%がランサムウェア攻撃に直面しました。
あなたならどうしますか?あなたとあなたの組織には対応計画がありますか? IBMのレポートに
よると、私たちは答えを知っていると思います 、データ侵害やその他の種類のサイバー攻撃に対する明確なセキュリティ対応計画を持っている企業はわずか26%です。この投稿では、サイバーセキュリティインシデント対応計画とは何か、そしてそれがどのように役立つかについて説明します。また、インシデント対応計画を作成するための5つのステップに焦点を当て、開始に役立つさまざまなリソースを提供します。
サイバーセキュリティインシデントとは
サイバーセキュリティインシデントとは、組織のITセキュリティポリシーに違反し、顧客の財務データなどの機密データを危険にさらすイベントです。マルウェア感染、DDoS攻撃、身代金攻撃、不正なネットワークアクセス、内部攻撃、およびフィッシングは、サイバーセキュリティインシデントの一般的なタイプのほんの一部です。
サイバーセキュリティインシデント対応計画とは
サイバーセキュリティインシデント対応計画は、従業員がサイバーセキュリティインシデントを特定、対応、および 回復するのに 役立つ一連の指示です 。
このような計画には、サイバー攻撃を防ぐために従うべき措置、企業がすでに攻撃に直面している場合に取るべき措置、および利害関係者への通知や政府機関への事件の報告などの攻撃後の措置が含まれます。
サイバーセキュリティインシデント対応計画が必要な理由
すべての組織が十分に文書化され、定期的に更新されるサイバーセキュリティインシデント対応計画を必要とする主な理由は次のとおり です。
あなたはサイバー攻撃と戦う準備ができ
ています。対応計画により、あなたとあなたのチームは何をすべきかを正確に知ることができます。同時に、誰もが文書化された役割と自分の責任を持ちます。時間のロスやコミュニケーションの中断がないように、チームに追加の指示を与える必要はありません。
ルールに従います
セキュリティ違反が発生した場合は、利害関係者への通知や当局へのインシデントの報告など、多くの要件を満たす必要があります。対応計画は、これらの要件を追跡して順守するのに役立ちます。例えば、GDPRの消費者データ保護 法は、その発生の72時間以内にセキュリティイベントを報告するためにあなたを必要とし、PCI DSS財務情報セキュリティ標準を する必要があります 持っているインシデント対応計画を少なくとも年に一度、それを確認します。
アドホックインシデント対応に依存する必要はありません
サイバーセキュリティインシデント対応計画は、セキュリティ違反が検出されたときにあなたとあなたの従業員が取らなければならない手順を明確に示した文書です。それは会社の経営陣によって承認されているので、即興で演奏する必要はありません。同意します。準備された回答は、自発的で混沌とした回答よりも効果的です。
サイバーセキュリティインシデント対応計画を作成するための5つのステップ
1.一般的なタイプのセキュリティインシデントを文書化します。
開始するには、ビジネスに対する潜在的な脅威をリストしたドキュメントを作成します。これは、さまざまなタイプのサイバーインシデントに対応するためのさまざまな戦略を準備するのに役立ちます。
2.重大度に基づいてセキュリティインシデントに優先順位を付けます。
セキュリティインシデントの規模と重大度はさまざまです。従業員のラップトップ上の破損したファイルは、サイト全体を無効にする可能性のあるDDoS攻撃よりも優先度が低いと見なされる場合があります。各セキュリティインシデントの重大度を判断して、最初に解決するかどうかを決定します。
したがって、インシデントがデータに影響を与えるか(データにアクセスできなくなったり、盗んだり、損失につながる)、顧客にサービスを提供したり操作を実行したりする能力に影響を与えるかどうかを評価します。データセキュリティと運用セキュリティの両方に影響を与えるインシデント は、優先事項として扱う必要があります。 セキュリティインシデントの優先順位付けツールを
使用 するさまざまなセキュリティインシデントのリスクを評価します。
インシデントが操作とデータ(いいえ、低、中、高)に与える影響を示します。サービスは、それが本当に優先事項であるかどうか、または解決が少し待つ可能性があるかどうかを自動的に表示します。
特定されたインシデントを解決するための時間枠を設定することを忘れないでください。理想的には、優先度の高いインシデントは検出後2〜6時間以内に解決し、優先度の低いインシデントは24時間以内に解決する必要があります。
3.必要なアクションを示すインシデント対応フローチャートを作成します
インシデント対応計画は、攻撃を封じ込めるために実行する必要のある手順を決定します。チームが使用する脅威軽減パスをすばやく理解できるように、フローチャートで計画を作成します。
回路の例。
フローチャートに記載されている各ステップを完了する責任があるのは誰かを示してください。衝突や不必要な紛争が発生しないように、明確で競合しない責任を従業員に分散させます。
Responsible、Accountable、Consulted and Informed(RACI)マトリックスを使用して、誰が責任を問われるべきか、責任を負うべきか、相談を受けるべきか、またはインシデント対応のさまざまなステップについてのみ通知を受けるべきかを示します。これは1人の担当者である可能性があります。たとえば、セキュリティマネージャは、インシデントレコードの維持、技術操作の責任、インシデント後のレポートに関するアドバイス、規制機関との一般的な調整と連絡の提供を担当します。
これは、さまざまな利害関係者の責任の概要を示すサンプルRACIマトリックスであり、組織の特性に合わせてダウンロードおよびカスタマイズできます。たとえば、MSSPがない場合 、セキュリティマネージャがすべての技術操作を担当します。
4.試乗して、従業員をトレーニングします。
インシデント対応プログラムだけでは不十分です。セキュリティインシデントの管理における従業員の役割についてもトレーニングするシミュレーションドリルを実施して、その有効性をテストする必要があります。これは、モデルとして実行できる効果的な赤と青のチーム演習です。
5.インシデント対応計画を定期的に更新します。
計画を定期的に更新して、脅威の状況の変化に対応するか、最近行った新しいセキュリティ対策を含めてください。少なくとも年に1回は回答を確認し、インシデントの封じ込めと回復に費やす時間を短縮するように努めてください。
以前のセキュリティインシデントと災害シミュレーションドリルから収集した情報を使用して、改善の機会を特定し、セキュリティインシデント対応計画の新しい制御を実装します(たとえば、自動化できる手順を必ず探してください)。
最後に、セキュリティの脅威をより効果的に検出して修正するのに役立つ専用のソフトウェアを使用します。これにより、インシデント対応アクティビティがバックグラウンドで実行された場合でも、業務を継続できます。
それらのいくつかを次に示します。
- ウイルス対策ソフト
- エンドポイントセキュリティソフトウェア
- ネットワークセキュリティソフトウェア
- ネットワーク監視ソフトウェア
- SIEM
- データバックアップソフトウェア
- ビジネス継続性ソフトウェア