Cisco Japan Blog

リモートでのインシデント対応における信頼性、協力体制、予測可能性の向上

1 min read



執筆:Gergana KaradzhovaJoe SchumacherPawel Bosek

このブログ記事では、Talos インシデント対応チーム(Talos IR)がリモートでのインシデント対応サポートの主な利点を紹介し、リモートでインシデント対応にあたる際の推奨事項をまとめています。

企業によっては、緊急時にインシデント対応要員を現場に配置することに付加価値を見出すところもあります。このアプローチは、調整という面では一定のメリットがあるかもしれませんが、Talos IR の経験では、現場にチームが物理的に存在することは、インシデント対応全体の成功にとって不可欠ではありません。サイバーセキュリティの脅威は本質的に無形のものであり、物理的に人を集めたからといって、自動的に調査が円滑に進むわけではありません。たとえばランサムウェア事件に関与した攻撃者の痕跡は、企業のネットワークとインターネットによって構成されるサイバー空間にあり、十分な接続性があれば、リモートの対応チームはどこからでもその事件に取り組むことができます。

業務の性質上、インシデント対応には多くのストレスが伴います。ですが、「リモートファースト」、「フォローザサン」を掲げるグローバルチームである Talos IR には、お客様と対応要員のために健全で効果的、かつ協力的な環境を作ってきた幅広い経験があります。信頼は時間をかけて構築する必要がありますが、インシデント対応のプロアクティブサービスではこれを前もって行う手段を提供しています。これにより、緊急事態発生時に対応要員がすぐに適切なアクセスを得られるようになります。このような信頼関係の構築にプロアクティブサービスを戦略的に利用する場合の具体的な推奨事項は、「『信頼するが検証する』アプローチの採用」と題したセクションで概説しています。

リモートでのインシデント対応サポートの利点を分析

基準 リモート オンサイト
対応業務の開始 15 分から 4 時間 24 時間以内に到着
人材活用と待遇 「フォローザサン」モデル。チームメンバーがシフトの合間に休息できるようにすることで、燃え尽き症候群のリスクを低減 通常は日中に限定。

24 時間体制で何日も作業するとチームに過大な負担が生じるリスクあり

拡張性 制限は、インシデント対応チームの規模のみ リテイナー規模によるが通常は 1 ~ 2 人
インシデント対応チームと社内チーム間のナレッジトランスファー 主に書面 主に口頭
効率性 開始までの全体の期間が短く立ち上げも簡単。人材の活用とケアが容易で、透明性があり低コスト 開始までの全体の期間が長く立ち上げも困難。1 日の作業時間が限定されていて、交通費や宿泊費など追加費用が発生

リモートでのインシデント対応には、オンサイトサポートと比較して、主に次の利点があります。

  • 初期対応の迅速化:オンサイトサポートを提供するサービスレベル契約は、業界平均で 24 時間以内の到着となっています。インシデントが報告された実際の時刻、その場所への交通手段、コンサルタントが即座に現場に出向くことができるかにもよりますが、お客様の施設に到着するまでに 8 ~ 24 時間かかることがあります。これは、リモート対応開始に必要な時間よりも大幅に長い時間です。Talos IR の経験では、リモート対応開始までに 2 時間もかかりません。
  • 対応チームの拡張が容易:インシデント対応はチームスポーツです。通常、お客様は主に、インシデント対応指揮官や数名のリードコンサルタントなど、インシデント対応チームの少数の専任チームメンバーとやり取りします。しかしその裏側では、他にも技術スペシャリスト、プロジェクトマネージャ、脅威インテリジェンスアナリストなどが対応にあたっています。追加の要員が必要な場合、リモートで管理されたインシデントの方が、現場に行かせる場合よりもはるかに簡単に人員を確保できます。
  • リソースの効率化:インシデントで最も価値のある 3 つのリソースは、時間、予算、マンパワーです。マンパワーという観点から、48 時間以上対応にあたっていて、現在も進行中のインシデントを考えてみましょう。このような場合、異なるタイムゾーンにいるメンバーで構成されるリモートチームを持つことで、チームの燃え尽きを防ぎながら、日中の時間帯でそのインシデント対応を継続することができます。コスト管理に関して言えば、リモートでのインシデントサポートでは、コミュニケーションと情報交換の流れが一元化されるため、チームが行う活動の透明性が高くなる傾向があります。また、緊急事態にある新しい環境で技術者が作業場を立ち上げる必要がなく、生産性が低下することもないので、さらにコスト効率が向上します。

リモートでのインシデント対応に対する準備

Talos IR では当初から、完全リモートでの緊急インシデント対応が当たり前でした。コロナ禍が発生する前からリモート体制を敷いていたのは、サービスの性質上、24 時間 365 日体制で取り組む必要があり、チームメンバーが世界各地に分散しているからです。Webex を使用すれば、世界中のどこにいても、Talos IR の総力を挙げて迅速かつ安全にお客様をサポートできます。コロナ禍の間、サービスを中断することなくシスコのお客様をサポートし、追加の仮想インフラストラクチャを構築して、すべての Talos IR プロアクティブサービスを安全に提供できるようにしました。とはいえ、対応チームが現場に出向かなければならないような特別なケースに遭遇した場合は、それがインシデント対応活動全体の強化になるかどうかをお客様と話し合います。

リモートでのインシデント対応には、独自の課題があります。Talos IR では、実際の緊急事態が発生する前に、以下の点に対するアプローチについて話し合うことを推奨しています。リモートでのインシデント対応の課題に対処するにはリードタイムとリソースが必要となる場合があるからです。

  • アクセスのプロビジョニング:リモートのインシデント対応チームがオンプレミスおよびリモートコンソールにアクセスできるようにするプロセスがあると、インシデントを迅速に調査できます。このプロセスには、仮想プライベートネットワーク(VPN)、Active Directory(AD)、エンドポイントにおける検知と対応(EDR)、多要素認証(MFA)などのセキュリティコントロールに関連するアカウントを含める必要があります(ここに挙げたものがすべてではありません)。
  • 規制およびコンプライアンス要件:重要インフラと個人を特定できる情報(PII)の場合は特にそうですが、データの収集と共有は各国固有の法律の対象となることがよくあります。技術チームは、法務部やデータプライバシーとデータガバナンスを担当しているオフィスと連携し、インシデントの影響を受けた可能性のあるさまざまなデータソースに適用される正確な法規制を確認する必要があります。リモートでの証拠収集やデータ分析に関するすべての既知の制限は、インシデント対応計画に文書化する必要があります。
  • コミュニケーションの頻度:複数のコミュニケーション手段を持ち、一定の状況報告ミーティングを行うことで、全員が同じ認識を持つことができます。インシデント発生時に状況を正しく理解するにはコミュニケーションが不可欠ですが、効率的あるいは効果的なコミュニケーションは対面でなくても可能です。インシデント対応中はハイパーコネクテッドになる傾向があるため、情報の流れを体系化し、予測を可能にすることは、全員に利益をもたらします。
  • 証拠の収集:リモートでの証拠収集はすべてのインシデントで可能とは限りませんが、ある程度の計画があれば、現地への移動や資産の輸送に代わる実行可能な手段となり得ます。対象資産からのフォレンジックデータとトリアージデータの収集に関して、インシデント対応チームを支援できる技術担当者が現場にいることを確認しておくとよいでしょう。
  • 証拠の共有:リモートサーバーへの大容量ファイルのダウンロードとアップロードには、信頼性の高い高速ネットワーク接続が不可欠です。ほとんどの場合、求められた証拠(データ)を社内ネットワーク内のエンドポイント(ワークステーションやサーバーなど)からダウンロードし、インシデント対応要員が分析するためにリモートサーバーにアップロードすることになります。
  • 対応の拡張:通常、インシデントは、大規模なネットワーク環境における 1 つまたは 2 つのイベントで始まり、侵害の兆候がさらに発見されるにつれて範囲が拡大します。インシデントの進展に合わせてチーム内の担当者に連絡し、リモートで調査に参加できるようにすることで、全体的な対応時間を短縮し、より効率的にインシデント対応を行うことができます。インシデントの発生時に誰がどのように対応する必要があるかを計画するときは、社内チームだけでなく、インシデント対応をリモートで支援するパートナー、請負業者、サービスプロバイダーについても検討することが重要です。

上記の準備活動を実施するにあたり、社内の担当チームは、インシデント対応の準備の一環として合意されたアプローチに精通しておく必要があります。また可能な限り、理論上の計画を実践でテストするようにしてください。社内のインシデント対応計画とインシデント対応プレイブックに、関連するすべての手順とプロセスを文書化することを強くお勧めします。これにより、文書の配布とナレッジマネジメントが長期にわたり容易になります。

「信頼するが検証する」アプローチの採用

セキュリティの世界には「信頼するが検証する」という言葉がありますが、この考え方は、インシデント対応のサービスプロバイダーに関しても言えることです。多くの企業は、緊急時に初めてインシデント対応チームと接触しますが、これは信頼関係を築き、お互いを知るには最悪のタイミングです。インシデント対応要員をよく理解するには、もっと良い方法があります。それは、プロアクティブサービスを利用して一緒に仕事をすることです。当然ながら緊急を要するサービスではないので、机上演習popup_icon対応計画popup_iconプレイブックpopup_iconの作成、脅威ハンティングpopup_iconを通じて、余裕を持ってリモートでのインシデント対応の課題に対処することができます。プロアクティブサービスでは、サイバー脅威に対する全体的なレジリエンスを向上させられるだけでなく、インシデント対応チームが通常どのツールを利用していて、どのような手法を脅威ハンティングに使用しているのかを確認できます。インシデント対応要員とお客様の社内チームが信頼関係を築き、互いの技術をより深く理解する機会にもなります。仮想コラボレーションの人間的な要素を考慮し投資することは、その後のリモートでのインシデント対応で効果を発揮します。双方がより快適に協力し合い、緊急対応行動をより効率的に行えるようになるからです。

ほとんどの企業は、コロナ禍のずっと前から、ある程度リモート体制を整備していました。多くの企業は、複数のオフィス、データセンター、従業員の自宅など、さまざまな場所でリモート業務を行っています。ここ数年間のテレワークの増加は、仮想コラボレーションの最適化と常態化をもたらし、後者は現代の事業運営に不可欠なものになっています。同様にインシデント対応も、安全な接続が可能である限り、物理的な場所に依存しない傾向が強まっています。特別なケースでは物理的に現地に出向いて対応する必要性は常にあります。ただ、それが常態化することはないでしょう。

クラウドサービスの利用拡大、企業運営でのリモート業務の増加、サイバーセキュリティ人材の不足、これらはすべて、リモートファーストのサポートと世界各地に分散したメンバーによるインシデント対応提供モデルを支持しています。こうした傾向から、物理的か仮想的かを問わず、インシデント対応チームとのありとあらゆるやり取りにおける説明責任と信頼性の重要性が高まっています。Talos IR はこのことを認識し、すべてのリテイナープロジェクト(緊急対応とプロアクティブサービス)において、質の高い効率的な業務を提供することに尽力しています。

 

本稿は 2023 年 01 月 10 日に Talos Grouppopup_icon のブログに投稿された「Increasing trust, commitment, and predictability during a remote incident responsepopup_icon」の抄訳です。

コメントを書く