サイバーセキュリティがインシデントマネジメントのあり方を変える

サイバー犯罪者はどこにでもいます。残念なことに、いったんネットワークに侵入されてしまうと、汚い仕事をするための時間がたっぷりと与えられてしまいます。 は約2ヶ月かかります。 (ITチームが侵害の発生を確認するまでに、平均で50日かかります。

そして、その費用はすぐに膨らんでしまいます。によると Ponemon Instituteの2019年データ漏洩のコストに関する調査平均回収コスト インシデントあたり は$392万円。

これらのリスクを軽減するためには、サイバーインシデントレスポンスプランが必要です。これにより、攻撃を受けたときではなく、攻撃を受けたときの被害やコストを最小限に抑えることができます。

しかし、サイバーセキュリティとインシデントへの迅速な対応は、すでに確立された(そしておそらくはよく整備された)ITインシデント管理機構にどのように適合するのでしょうか?

ITIL®(IT Infrastructure Library)について が標準になりました。 は、多くの企業が自社のITインフラを管理するために使用しています。しかし、ITILやそのバリエーションは、企業がITサービスを組織化し管理する上で優れた役割を果たしていますが、セキュリティに関しては不十分です。ITILを頼りにしていると、サイバー犯罪者に狙われたときに窮地に陥る可能性があります。

このブログでは、多くの組織において、セキュリティとITインシデント管理が別々のサイロに存在していることについて説明します。そして、サイバーセキュリティ、ITインフラ、その他の問題など、ITサービスに影響を与えるあらゆるインシデントに迅速かつ効果的に対処し、解決できるようにするための方法を提案します。

インシデント管理とサイバーセキュリティ:別々だが同じくらい重要

あなたの ITインシデントマネジメント (IM)チームは、ITサービスマネジメント(ITSM)の重要な役割を担っています。このチームの使命は、障害が発生した後、サービスを迅速に正常に戻すことです。このチームの目標は、問題がユーザーやビジネスに与える影響を最小限に抑えることです。運用面では、ハードウェア、ソフトウェア、ネットワークの予期せぬダウンや停止による障害の長さと深刻さを軽減することを意味します。

IMチームが活動を開始するのは、ユーザーやITスタッフ、あるいは自動化されたアラートシステムなど、誰かが何かイベントの発生を認識したときです。例えば、ネットワークが遅くなったり、アプリケーションが応答しなくなったりした場合です。IMスタッフはまず、インシデントが他のサービスに影響を及ぼさないように封じ込めます。その後、一時的な回避策を見つけ、修正プログラムを導入し、システムをリカバリして、そのシステムを本番環境に戻すのが一般的です。その後、ITスタッフは(必要に応じて)根本原因の分析を行い、問題の原因を突き止め、今後の参考のためにインシデントを記録し、必要であれば、適切な担当者を巻き込んで恒久的な修正作業を開始します。

また、多くの企業が強固なサイバーセキュリティチームを構築しています。これらのインシデント・レスポンス(IR)チームは、伝統的にIMチームと同等の、しかし並行した問題解決の道を歩んできました。違いは、IRチームの憲章がセキュリティインシデントへの対応に特化していることです。サイバーセキュリティチームが対応するきっかけとなるイベントには、以下のようなものがあります。

  • マルウェア
  • ハッカーの攻撃が成功したか失敗したか
  • 侵入検知システムが発する警報
  • 機密情報への不正なアクセス
  • 情報の不正な改竄
  • 機密データまたはその他の機密データへの不正アクセス
  • システム/サーバーの完全性の侵害
  • サービス妨害(DoS)または分散型DoS

サイバーセキュリティチームとIMチームは、これまで独立して活動してきました。しかし、世界は変わりつつあります。テクノロジーは急速に進歩しており、組織はますますテクノロジーに依存するようになっています。つまり、システムが常に稼働していなければ、ビジネスに悪影響を及ぼすことになります。今日のIT環境の複雑さと、サイバー犯罪者の賢さ(残念ながらセキュリティの専門家よりも常に一歩先を行っているようです)を考えると、あなたの会社のような企業は、チーム間の新しい関係を築かなければなりません。そのためには、両者の人材、プロセス、技術を分析し、どのようにすればよりシームレスに連携できるかを検討する必要があります。

IM-IR統合の課題

今日、企業は次のような問題に直面しています。「いつIT IMの問題がセキュリティの問題になるのか、またその逆はあるのか?誰が、あるいはどのような自動システムがその判断を下すのか? それから何が起こるのか?残念ながら、ITILはこれらの問題やその他の問題に直接対応していません。ITILは、高いレベルでは何をすべきかを教えてくれますが、運用面ではあまり役に立ちません。

"セキュリティ・インシデントに対応する際、CIOが肩越しに「まだ直っていないのか」と尋ねてくるような古い「IT」のやり方は、とっくに終わっています。" Robert Herjavecを書きました。ロサンゼルスに拠点を置くコンサルタント会社、Herjavec Groupの社長。

この新たな複雑さには多くの課題があります。その最たるものが今日のIMおよびIRチームは、インフラとセキュリティの両方の障害を管理するために、サイロ化されたポイントソリューションのポートフォリオが増加しているため、アラートやデータが氾濫しています。しかし、これらのインシデントや脆弱性に関するデータは、ビジネス上の文脈を欠いていることが多く、どのインシデントが組織にとって最大の脅威となっているのか、また、誰がその混乱に対処するのが最適なのかを知ることが困難です。また、手動のプロセスやチーム間でのハンドオフは、このプロセスをさらに妨げます。

新しいアプローチ

今日、企業がサイバーセキュリティIRについて語る方法は、すでに劇的に変化しています。現在使われている言葉は、ファーストレスポンダーや軍事チームのような緊急対応の専門家から生まれたもので、次のような用語が使われています。 ディスカバリー, 封じ込め, 根絶としています。 リカバリー は、サイバーセキュリティのIRと合わせてよく耳にする言葉です。

また、先進的な組織では 組織体制 このチームメンバーのヒエラルキーを「インシデントコマンド」と呼び、インシデントコマンダー(非常に深刻なサイバーセキュリティインシデントの際に指揮を執るリーダー)を配置することで、緊急時の専門家を支援します。

実際、IMとITインシデントマネジメントを連携させようとしたときに、これらの用語を聞いたことがないとしたら、おそらくサイバーセキュリティの緊急事態に対処するための適切なチームが存在していないことになります。ここでは、サイバーセキュリティのITチームの通常のライフサイクルを紹介します。

  1. 準備 組織のリスクアセスメントを行い、セキュリティポリシーを策定する
  2. 発見。 潜在的な侵害が発生した場合の特定
  3. 封じ込め。 侵入者(または感染)が広がるのを防ぐ
  4. 根絶します。 問題を取り除く
  5. リカバリーです。 システムやオペレーションを正常に戻す
  6. 学んだこと 徹底的な "ポストモーテム "を行い、次の機会に備える

最初のステップ

このライフサイクルを実行するためには、まず、どのイベントがセキュリティに関連するもので、IMチームに属するイベントではないのかを識別するプロセスを確立する必要があります。時には、それが明らかな場合もあります。例えば、侵入システムやSIEMシステムがDDOS攻撃を検知したとします。もちろん、セキュリティIRチームにアラートを送信します。 しかし、あるイベントを調査して、それが実際にセキュリティ上の問題であることに気づくまでに時間がかかることもあります。

これは、ITサービスの可用性、プライバシー、機密性、完全性を害する、または害しようとするあらゆるITイベントと定義されます。

すべてのインシデントに共通することですが、セキュリティインシデントを早期に発見し、具体的なアクションにつなげるためには、インシデント発生当初に特定の質問手法を使用し、情報を分解する能力が不可欠です。特に、当社が「分離・明確化」と呼んでいるステップは、「その下で何が起こっているのか」を確認するのに十分な粒度で症状や影響を説明するのに不可欠です。これにより、IMチームがセキュリティ・インシデントの可能性が高いと判断し、IRチームをプロセスのできるだけ早い段階で巻き込む可能性が高まり、被害を最小限に抑えることができます。

これは、組織が少なくとも部分的にIMをサイバーセキュリティのインシデント対応と統合している場合にのみ有効です。 Enterprise Management Associatesのレポートです。 "Next-Generation IT Service Management:次世代ITサービスマネジメント:ITの未来を変える」では、ユーザーエクスペリエンスの向上に次いで、IT IM担当者の戦略的優先事項のトップ2のうちの1つが「セキュリティのための統合されたクロスサイトサポート」であることがわかりました。調査回答者が挙げたこれらの戦略的優先事項と他の戦略的優先事項は、いずれも変革のための強い継続的な動機付けとなっている。 そして 企業のIT IMチームがサイバーセキュリティを包括するようになってきたこと。

のです。 RESILIA AXELOSが2019年に発表したガイドラインは、あなたの旅を始めるためのもう一つの場所です。RESILIAは、「RESILIA Cyber Resilience Best Practices Guide」に支えられたトレーニング、学習、認証のポートフォリオです。サイバーセキュリティのガイドラインをITILに合わせ、セキュリティを既存のIMプロセスに統合することができます。

もちろん、重大(P1)インシデントに適用されることは、ほとんど定義上「重大」であるセキュリティインシデントの管理にも適用されます。これらのインシデントは、検出された後、通常のインシデントとは異なる方法で管理されるべきです。これには、技術的な専門知識と、主要なインシデントチームを促進する能力を兼ね備え、優れたトラブルシューティング、意思決定、リスク管理によってインシデントを解決に導く、専用のリソースとインシデントマネージャーが必要です。

次にやるべきこと

セキュリティイベントは、多くのIM担当者にとって快適な場所ではないため、特にストレスを感じることがあります。これは、人事、法務、コンプライアンス、経営陣など、他部門の専門家が関与する必要がある複雑なインシデントの場合に特に当てはまります。これらの専門家は、より構造的な方法で仕事をすることに慣れており、おそらくサイバーセキュリティのIRプロセスにはほとんど触れたことがないでしょう。そのため、IMチームの仕事はさらに重要になります。実際、IMのプラクティスやガイドラインがサイバーセキュリティのIRから取り残されていると、復旧プロセスの効率や効果が劇的に低下し、結果として財務上および評判上のダメージが大きくなる可能性があります。だからこそ、継続的かつ慢性的なサイバーセキュリティリスクが存在する今日、IMチームの重要性はかつてないほど高まっているのです。

Kepner-Tregoeについて

Kepner-Tregoeは何千もの企業に力を与え、何百万もの問題を解決してきました。KTは、オペレーション、製造、ITサービスマネジメント、テクニカルサポート、学習・開発などの分野で、データに基づいた一貫性のあるスケーラブルなアプローチをお客様に提供しています。お客様が問題を解決できるようにサポートします。KTは、問題の根本原因を明らかにし、組織の課題に恒久的に対処するために特別に設計された、スキル開発とコンサルティングサービスを独自に組み合わせて提供しています。問題解決に向けたKTのアプローチは、品質と効果を向上させ、全体的なコストを削減したいと考えているあらゆる企業に、測定可能な結果をもたらします。

ブログ画像1
インシデントとトラブル、表裏一体の関係
ブログ画像1
ポストインシデントレビューのベストプラクティスがインシデントレスポンスを劇的に向上させる
ブログ画像1
インシデントを解決するか、問題を解決するか。
ブログ画像1
インシデント&プロブレムマネジメントのスーパースターになるには

私たちは以下の専門家です:

お問い合わせ

お問い合わせ、詳細、ご提案はこちらから