ガートナージャパンは7月20日、インシデント・レスポンスの強化に向けて企業が押さえておくべき重要事項を発表した。
ランサムウェア感染などによるセキュリティ・インシデントの被害が深刻化するなか、Gartnerが2023年2月に、日本国内の従業員300人以上の組織を対象に実施したユーザー調査によると、56%の企業がCSIRT(シーサート:Computer Security Incident Response Team、コンピュータ・セキュリティにかかるインシデントに対処するための組織の総称) を設置していると回答した。しかし、そのうち67%の企業が、迅速なインシデント対応を実施することに「自信がない」と回答しています (図表1)。
図表1 CSIRTの設置状況とインシデント発生時のレスポンスへの自信について(出典:Gartner)
◎早く探し出す
インシデントの早期発見のために、国内企業はこれまで、ネットワークやエンドポイントのようなセキュリティの個別領域でインシデントの予兆を検知し、原因究明を行ってきた。しかし、セキュリティ脅威はさらに複雑化しており、個別の領域で発生した単体のアラートだけを見ていても、それが示す本当の意味までは捉えられなくなっている。
インシデントの早期発見に必要なのは、個々の領域で発生している小さな事象を丁寧につなぎ合わせ、これまでよりも一段高い位置から一連の流れ (コンテキスト/文脈) として捉え直すことができるような、全体俯瞰による新しい視座である。
◎早く閉じ込める
インシデント・レスポンスで重要なのは、セキュリティ脅威を自社のシステム環境から早く「隔離」することであり、経営に求められるのは、脅威隔離のためにシステムの一時停止を決断することである。原因が分からない場合は、なおさら早く脅威を「隔離」する決断を下す必要がある。
◎早く元に戻す
国内企業の多くも、外部のSOCサービスを積極的に活用している。しかしこのようなサービスでカバーされるのはインシデント「検知」のフェーズであることが多く、実際に外部の支援が必要なインシデントへの対応と復旧のフェーズは、思うようにカバーされない。
一方、最近では国内でもインシデントのリテーナー・サービスと呼ばれるものが登場しており、インシデントへの対応と復旧フェーズで、原因究明、証拠保全および復旧について、自社に並走しながらアドバイスを提供するものが登場している。
シニアディレクターアナリストの矢野薫氏は、次のように述べている。
「大規模なサプライチェーンの一部を構成している企業、あるいは、クリティカルな社会基盤を提供しているような企業の場合は、身近にある従来型サービスに固執せず、対応と復旧のフェーズにおける支援内容が具体的にコミットされているサービスを検討することが肝要と言える」
[i Magazine・IS magazine]
