Microsoft セキュリティ インシデント管理: 包含、根絶、回復
サービス チームは、セキュリティ対応チームによって実行された分析に基づいて、セキュリティ インシデントの影響を最小限に抑えるための適切な封じ込めと復旧計画を作成します。 その後、適切なサービス チームは、セキュリティ対応チームからのサポートを受けて、運用環境でその計画を適用します。
コンテインメント
セキュリティ インシデントを検出した後は、敵対者がより多くのリソースにアクセスしたり、より多くの損害を与えたりする前に、侵入を封じ込める必要があります。 Microsoft のセキュリティ インシデント対応手順の主な目標は、お客様やそのデータ、または Microsoft のシステム、サービス、アプリケーションへの影響を制限することです。
根絶
根絶は、高い信頼性を有するセキュリティ インシデントの根本原因を解消するプロセスです。 目標は 2 倍です。
- 敵対者を環境から完全に削除する
- を使用して、敵対者が環境に再び入り込むことができる脆弱性 (既知の場合) を軽減します。
インシデントの性質、セキュリティ インシデントの範囲、侵入の深さ、影響の可能性に応じて、セキュリティ対応チームは、サービス チームに根絶手法を採用することをお勧めします。 これらの根絶手順によって引き起こされる可能性のあるビジネスへの影響を考慮して、これらの決定は、エグゼクティブ インシデント マネージャー (必要な場合) からの詳細な分析と承認の後、サービス チームとセキュリティ対応チームによって行われます。
回復
応答チームは、敵対者が環境から追い出され、既知の脆弱なパスがすべて排除されたという合理的なレベルの信頼を得るにつれて、個々のサービス チームは、既知の適切な構成にサービスを提供するための復元手順を開始します。 これらの復元手順は、セキュリティ対応チームと相談しています。 このアクティビティには、サービスの最後の既知の良好な状態の特定、バックアップからこの状態への復元、復元された状態での脆弱な攻撃パスの検査などが含まれます。セキュリティ対応チームは、サービス チームと相談して、環境に最適な復旧計画を決定します。
復旧の重要な側面は、復旧計画が正常に実行されていること、および環境内に侵害の兆候が存在しないことを検証するために、監視と制御を強化することです。
セキュリティ インシデントの顧客通知
Microsoft がセキュリティ インシデントが発生したと判断した場合は、期限切れの遅延を通知し、契約上およびコンプライアンス上の要件の範囲内で同意します。 影響を受けるすべてのテナントを特定した後、対応するコミュニケーション チームは、影響を受けるテナントに適用される可能性がある関連する規制を特定します。 通信チームは、該当する規制で定義されている適切な通信チャネルを使用して、適切なテナント連絡先に通知します。
通知には、インシデントの説明、顧客データに対する影響 (存在する場合)、Microsoft が実行したアクション、問題の解決と再発防止のために顧客が実行する推奨されるアクションなど、インシデントに関する詳細情報が含まれます。 通知は、Microsoft オンライン サービス テナントの指定された管理者に配信されます。 通知を確実に受信するには、管理者がテナント プロファイルで正確な連絡先情報を提供し、維持する必要があります。 さらに、インシデントの性質に応じて、Microsoft 365 の顧客は Microsoft 365 Service Health ダッシュボードを介して通知することもできます。