次の方法で共有


インシデント対応の計画

この表をチェックリストとして使用して、サイバーセキュリティ インシデントに対応するためのセキュリティ オペレーション センター (SOC) を準備します。

完了 アクティビティ 説明 ベネフィット
机上演習 組織の経営陣が困難なリスクベースの意思決定を検討しなければならなくなるような、ビジネスに影響を与える可能性がある予測しうるサイバー インシデントの机上演習を定期的に実施します。 サイバーセキュリティをビジネス上の問題として確立し、提示します。 組織全体でマッスル メモリーを開発し、困難な決定と決定権の問題を表面化させます。
攻撃前の決定と意思決定者を決定する 机上演習に対する補足として、リスクベースの決定、意思決定の基準、およびそれらの決定を行って実施する必要がある担当者を特定します。 例:

法的機関に支援を求めるのは誰か/いつか/どのような場合か

インシデントの対応者に協力を求めるのは誰か/いつか/どのような場合か

身代金を支払うのは誰か/いつか/どのような場合か

外部の監査人に通知するのは誰か/いつか/どのような場合か

プライバシー規制機関に通知するのは誰か/いつか/どのような場合か

セキュリティ規制機関に通知するのは誰か/いつか/どのような場合か

役員会または監査委員会に通知するのは誰か/いつか/どのような場合か

ミッション クリティカルなワークロードをシャットダウンする権限を持つのは誰か
インシデントへの対応を効率化するために、初期の対応パラメーターと連絡すべき担当者を定義します。
特権の維持 一般に、アドバイスには特権を伴いますが、事実は検出可能です。 特権が保持され、リスクが軽減されるように、特権の下でのアドバイス、事実、意見の伝達について主要なインシデント リーダーをトレーニングします。 電子メール、コラボレーション プラットフォーム、チャット、ドキュメント、成果物などの多数の通信チャネルを考えた場合、特権の維持は手間のかかるプロセスになる可能性があります。 たとえば、Microsoft Teams ミーティングを使用できます。 インシデント担当者と外部のサポート組織での一貫したアプローチにより、潜在的な法的露出を減らすことができます。
インサイダー取引に関する考慮事項 セキュリティ違反のリスクを軽減するために取る必要があるマネージメントへの通知を検討します。 取締役会および外部の監査者は、混乱の期間中に疑わしい証券取引のリスクを軽減する軽減策を備えていること評価する傾向があります。
インシデントの役割と責任のプレイブック さまざまなプロセスでフォーカスを維持し、状況を前進できるよにするための基本的な役割と責任を確立します。

対応チームがリモートの場合、タイム ゾーンに関するその他の考慮事項と調査担当者への適切なハンドオフが必要になる可能性があります。

ベンダー チームなど、関係する可能性のある他のチーム間でやりとりする必要がある場合があります。
技術インシデント リーダー – インシデントに常時関与し、インプットと結果を総合的に判断し、次のアクションを計画します。

コミュニケーション リエゾン – 技術インシデント リーダーがマネージメントへ連絡することの負担を取り除くことにより、集中を失わずにインシデントに関与し続けられるようにします。

このアクティビティには、役員とのメッセージ交換や対話、および他の第三者 (規制機関など) の管理が含まれます。

インシデント記録者 – インシデント対応者が結果、決定、アクションを記録する負担を取り除き、インシデントの最初から最後までの正確な記録を作成します。

企画立案者 – ミッション クリティカルなビジネス プロセス所有者と一緒に作業し、24 時間、48 時間、72 時間、96 時間、またはそれ以上続く情報システムの障害を考慮した事業継続のアクティビティと準備を策定します。

広報 – 世間の注目を集める可能性が高いインシデントの発生に備え、企画立案者と共に、起こり得る結果に対処する広報の手段を検討し、ドラフトを作成します。
プライバシー インシデント対応のプレイブック ますます厳しくなるプライバシー規制を満たすために、SecOps とプライバシー オフィスの間で共同所有のプレイブックを開発します。 このプレイブックを使用すると、セキュリティ インシデントから発生する可能性のある潜在的なプライバシーの問題を迅速に評価できます。 ほとんどのセキュリティ インシデントは高度な技術的な SOC で発生するため、セキュリティ インシデントがプライバシーに影響を与える可能性を評価することは困難です。 インシデントは、規制リスクが決定されるプライバシー オフィス (多くの場合、72 時間の通知が必要) ですばやく表面化される必要があります。
侵入テスト ビジネス クリティカルなシステム、重要なインフラストラクチャ、バックアップに対して特定の時点のシミュレートされた攻撃を実行して、セキュリティ態勢の弱点を特定します。 一般的にこのアクティビティは、予防の制御をバイパスして主要な脆弱性を明らかにすることに重点を置く外部の専門家チームによって行われます。 最近の人が操作するランサムウェア インシデントを考慮して、増加するインフラストラクチャの範囲に対して侵入テストを実施する必要があります。特にミッション クリティカルなシステムとデータのバックアップを攻撃および制御する能力をテストします。
レッド チーム/ブルー チーム/パープル チーム/グリーン チーム ビジネス クリティカルなシステム、重要なインフラストラクチャ、バックアップに対して継続的または定期的な攻撃のシミュレーションを実行して、セキュリティ態勢の弱点を特定します。 一般的にこのアクティビティは、内部攻撃チーム (レッド チーム) によって実行され、検出コントロールとチーム (ブルー チーム) の有効性をテストすることに重点が置かれています。

たとえば、Microsoft Defender XDR for Office 365 の 攻撃シミュレーション トレーニング と、Microsoft Defender XDR for Endpoint の攻撃のチュートリアルとシミュレーションを使用できます。
レッド、ブルー、およびパープルのチーム攻撃シミュレーションを適切に実行すると、さまざまな目的を達成できます。
  • IT 組織全体のエンジニアが、自身のインフラストラクチャの分野に対する攻撃をシミュレートできます。
  • 目に見えているものと検出内容のギャップを明らかにします。
  • セキュリティ エンジニアリングのスキルを全社的に上げます。
  • より継続的で広範なプロセスとしての役割を果たします。


グリーン チームは、IT またはセキュリティ構成の変更を実装します。
事業継続計画 ミッション クリティカルなビジネス プロセスについて、情報システムの障害が発生した場合に実行可能な最小限のビジネスを機能させるための継続性プロセスを設計およびテストします。

例えば、Azure バックアップと復元計画を使用して、攻撃中に重要なビジネス システムを保護し、事業運営を迅速に復旧できるようにします。
  • IT システムの障害または欠如に対する継続性の回避策がないという事実を強調します。
  • シンプルなバックアップと復旧よりも高度なデジタル回復力の必要性と資金提供を強調できます。
障害復旧 ミッション クリティカルなビジネス プロセスをサポートする情報システムに関して、ステージング時間を含め、ホット/コールドおよびホット/ウォームのバックアップと復旧のシナリオを設計してテストする必要があります。 ベア メタル ビルドを実施する組織は、多くの場合、複製するのが不可能なアクティビティや、サービス レベルの目標に適合しないアクティビティを見つけることがあります。

サポートされていないハードウェアで実行されるミッション クリティカルなシステムは、多くの場合、最新のハードウェアに復元できません。

バックアップの復元は多くの場合テストされておらず、問題が発生します。 ステージング時間が復旧目標で考慮されていない場合は、バックアップがさらに長時間オフラインになる可能性があります。
非常時のコミュニケーション 次のシナリオで通信する方法を準備します。
  • メールとコラボレーション サービスの障害
  • ドキュメント リポジトリのランサム
  • 従業員の電話番号が使用できません。
難しい演習ですが、重要な情報をオフライン デバイスや大規模な配布用の場所に不変的に格納する方法を決定します。 例:
  • 電話番号
  • トポロジ
  • ドキュメントをビルドする
  • IT 回復手順
セキュリティ強化、ウイルス予防策、ライフサイクル管理 Center for Internet Security (CIS) の上位 20 のセキュリティ コントロールに沿って、インフラストラクチャを強化し、徹底的なウイルス予防活動を実行します。 最近の人が操作するランサムウェア インシデントにおいて、Microsoft は、Microsoft の機能か他のプロバイダーの機能かを問わず、サイバー攻撃のキル チェーンのすべての段階を保護するための具体的なガイダンスを発行しました。 このガイダンスは、Microsoft の機能または他のプロバイダーの機能に適用されます。 特に注意が必要な点は次のとおりです。
  • システムがランサム攻撃を受けた場合に備えた、変更できないバックアップ コピーの作成とメンテナンス。 また、攻撃者が手順を隠ぺいすることを複雑にする、変更できないログ ファイルを保持する方法を検討することもできます。
  • ディザスター リカバリーでサポートされていないハードウェアに関連するリスク。
インシデント対応の計画 インシデントの最初に、次の決定を行います。
  • 重要な組織パラメーター。
  • 役割と責任への担当者の割り当て。
  • 緊急性 (24 時間 365 日、営業時間など)。
  • 期間中の持続可能性のためのスタッフ。
インシデントの最初に使用可能なすべてのリソースを投入し、迅速な解決を望む傾向があります。 インシデントが長期に及ぶと認識または予測したら、スタッフやサプライヤーについて異なる態勢を取り、長期間での対応が可能になるようにします。
インシデント対応者 お互いに明確な予想を確立します。 進行中のアクティビティを報告する一般的な形式には、次が含まれます。
  • 何を行ったか (結果は何だったか)。
  • 何を行っているか (どのような結果が、いつ生成されるか)。
  • 次に何を行う予定か (結果を現実的に期待できるのはいつか)。
インシデント対応者は、停止システムの分析、ビッグ データ分析、増分結果を生成する能力など、さまざまな手法やアプローチを備えています。 何が期待できるのかを最初に明確にすることで、確実なコミュニケーションを促進できます。

インシデント対応のリソース

主要な Microsoft セキュリティ リソース

リソース 説明
2021 Microsoft デジタル防衛レポート Microsoft のセキュリティのエキスパート、実務者、防御担当者から得た学びについてのレポート。あらゆる場所にいる人々のサイバー攻撃に対する防御を支援します。
Microsoft サイバーセキュリティ リファレンス アーキテクチャ Microsoft のサイバーセキュリティ機能と、Microsoft 365 や Microsoft Azure などの Microsoft クラウド プラットフォームとサードパーティのクラウド プラットフォームおよびアプリとの統合を示す一連のビジュアル アーキテクチャ図。
「即応性が重要になります」のインフォグラフィックのダウンロード Microsoft の SecOps チームが継続的な攻撃を軽減するためにインシデント対応を行う方法の概要。
Azure クラウド導入フレームワークのセキュリティ オペレーション セキュリティ オペレーション機能を確立または最新化するリーダーのための戦略的ガイダンス。
セキュリティ オペレーションに関する Microsoft Security 成功事例 組織をターゲットとする攻撃者よりも早く行動するための SecOps センターの最適な利用方法。
IT アーキテクト向け Microsoft クラウド セキュリティ モデル ID とデバイスへのアクセス、脅威の防止、情報保護のための Microsoft クラウド サービスとプラットフォーム全体のセキュリティ。
Microsoft のセキュリティ ドキュメント Microsoft のセキュリティに関するその他のガイダンス。