2023 年に NIS2 指令が施行されると、ヨーロッパ全域
の組織が、強化されたサイバーセキュリティ要件への準備を開始しました。多くの組織は、迅速なインシデント通知や包括的なセキュリティポリシーといった義務に重点を置いていました。しかし、この指令では「何を」行うかは示されていたものの、「どのように」行うかはほとんど明確にされていませんでした。組織はインシデント対応能力と迅速な報告メカニズムの必要性を認識していましたが、具体的な実装方法は依然として不明確でした。
2025 年 6 月に ENISA が技術実装ガイダンスを発表したことで、NIS2 標準規格への準拠がどれほど複雑であるかが明らかになりました。この技術ガイダンスでは、特にインシデント発生時において、従来のセキュリティ運用に根本的な課題を突きつける要件が示されています。かつて、フォレンジック対応や詳細な分析よりも運用継続を優先していた組織も、今ではこれら 3 つすべてのバランスをうまく保つ必要があります。
インシデント対応において相反する目標
従来のアプローチでは、組織が独自のペースでインシデントを隔離、調査、報告できるという柔軟性がありました。こうしたプロセスは通常、ビジネス上のニーズによって決定されており、個人データが関係する場合は、GDPR に基づいて例外が適用されていました。
現在では、インシデント発生から 24 時間以内に対応することが義務付けられています(NIS2 指令第 23 条)。
ENISA ガイダンスのセクション 3.5.2 に示されているインシデント対応手順は、この変化をはっきりと示しています。セキュリティチームは現在、「フォレンジック活動、インシデント対応活動、および運用継続性の間に潜在的な対立があることを認識し、対処する」必要があります。このガイダンスは、チームが次のような相反する目標に直面していることを明確に認めています。
- 法的目的のために証拠を保存する
- 現在の脅威を軽減し、事業中断を最小限に抑える
- IT サービスのダウンタイムを最小限に抑え、運用の継続性を維持する
従来のインシデント対応ハンドブックでは、これらの目標のうち 1 つか 2 つを優先することが前提となっていました。しかし NIS2 では、この 3 つを同時に満たすことが求められます。
一例を考えてみましょう。真夜中に、決済処理システムがランサムウェア攻撃を受けたとします。セクション 3.2.3 では、「システムおよびアプリケーションへのすべての特権アクセスおよび管理者アカウントによって実行された操作」を含む包括的なログを保持することが求められています。さらに、セクション 3.5.4 では、すべてのインシデント対応活動を記録し、証拠を保存することが求められています。同時に、事業運営の観点からは、朝の取引処理に支障が出ないようシステムを復旧させ、最終的な損益に影響を及ぼさないようにする必要があります。
このプロセス全体を通して、NIS2 指令第 23 条(3)で義務付けられているように、24 時間以内に通知要件を満たす初期報告書を作成しなければなりません。続いて、72 時間以内に影響評価を含む詳細な報告書を作成します。言うまでもないことですが、国境を越えて事業を展開する組織では、通知期限に対応するために、その国固有の手続きが必要となる場合もあります。
このガイダンスは、これらの目標に本質的な対立があることを認めつつ、組織に対し「合意されたリスク許容度、ビジネスへの影響、法的義務に基づいて優先順位を定める明確な意思決定プロセスを確立する」ことを求めています。
ロギングの要件
もう 1 つの重要な課題は、ロギングに求められている詳細度です。セクション 3.2.3 では、必要に応じてログに含めるべき項目として、「(a)関連する送受信ネットワークトラフィック、(b)関連する組織のネットワークおよび情報システムのユーザーの作成、変更、削除および権限の拡張、(c)システムおよびアプリケーションへのアクセス、(d)認証関連イベント、(e)システムおよびアプリケーションへのすべての特権アクセスおよび管理者アカウントによって実行された操作」に加えて、さらに 7 つの追加カテゴリ(合計 12 項目)が規定されています。これらはすべて、シャドー IT が可視化され、ユーザーアクティビティの追跡が適切に設定されていることを前提としており、適切な監査証跡を構築、レビュー、保存し、分析に活用できる状態にしておく必要があります。
さらに、ガイダンスのセクション 3.2.6 には、監視・ロギングシステムは冗長化されていなければならず、「監視・ロギングシステムの可用性は、それらが監視しているシステムとは独立して監視されなければならない」と記載されています。これはインシデント対応者にとっては朗報ですが、詳細な監査記録の関連付け・分析・保存・取得に必要となる複雑なシステムを構築することは、大きな課題です。
フォレンジック活動と事業の復旧
従来のインシデント対応戦略では、迅速な復旧を優先することが多く、事業運営を通常運転に戻せるよう努めつつ、同時に証拠の分析を行ってきました。多くの場合、インシデント対応チームは、フォレンジック調査と並行して事業の復旧を開始できるよう、事前にすべての証拠を入手しておきたいと考えます。企業側も、復旧対象を決定し、場合によっては環境を一から再構築するという決定を下すことで、復旧と脅威の根絶を加速させることがあります。
セクション 3.5.2 では、証拠の取り扱い、インシデント対応、脅威の根絶がビジネスサイクルの適切な段階で確実に行われるよう、ハンドブックを作成することが明確に求められています。ハンドブックでは、コンプライアンスおよび法的目的のための証拠保存に影響を与えないよう、トレードオフを適切に管理する必要があります。
さらに、セクション 3.5.4 では、組織に対し「インシデント対応活動のロギング」と「証拠の記録」を義務付けています。ガイダンスでは、これに「検知・封じ込め・根絶に要した時間」、「侵害の指標(IOC)」、「根本原因」、「各段階で取られた対応」を含めることを推奨しています。この要件を満たすには、進行中のインシデントを管理しながら、これらの重要な情報を記録する手順を策定する必要があります。通常、インシデント対応(IR)チームは、すべての活動の詳細なタイムラインを作成する過程で、すでにこの手順を実施しています。NIS2 に準拠するには、ビジネス関係者と IR チームの緊密な連携が不可欠です。
コンプライアンス以上の効果
このガイダンスは、あくまで技術要件を満たすことに焦点を当てていますが、こうした機能を実装することで、組織はより広範な運用面でのメリットも得られます。たとえば、包括的なロギングはコンプライアンスを満たすだけでなく、脅威ハンティングを支援し、貴重な運用上のインサイトも提供します。これにより IR チームは、環境を調べ、悪意のある操作が行われていないか確認することができます。監視の強化、特に監視の自動化によって、セキュリティインシデントがより迅速に特定され、攻撃者の潜伏時間も短縮できます。
構造化されたインシデント対応手順により、何をいつ行うべきかをチーム全員が把握でき、組織全体のレジリエンスを高めることができます。Talos IR サービスは、こうした ENISA 技術実装ガイダンスの要件に完全に準拠しており、組織が現状の能力と NIS2 コンプライアンスとの間にあるギャップを解消できるようサポートします。
ログアーキテクチャ評価(セクション 3.2 の要件)
セクション 3.2.3 では、「該当する場合」に 12 のイベントカテゴリにわたるロギングを義務付けており、セクション 3.2.6 では、時刻が同期された冗長構成のロギングシステムを求めています。Talos IR のログアーキテクチャ評価は、現在のロギング機能をベストプラクティスに照らして評価し、欠陥を特定するとともに、組織のロギング体制を強化するためのロードマップを提供します。
インシデント対応ハンドブック(セクション 3.5.2 の要件)
NIS2 の最も難しい側面といえば、「証拠の保存、脅威の封じ込め、運用継続性の間で生じるトレードオフを管理するための意思決定とエスカレーションパスを組み込んだインシデント対応ハンドブック」という明確な要件でしょう。Talos IR は、こうした相反する優先順位に対応するカスタマイズされたハンドブックを作成し、インシデントの種類に応じた明確なプロセスをチームに提供します。
インシデント対応計画(セクション 3.1 および 3.5 の要件)
セクション 3.1.1 では、「インシデントの検出、分析、封じ込めまたは対応、復旧、記録、報告に関する包括的な手順」の確立が求められています。Talos IR は、組織が内部プロセスと運用ニーズを反映した IR 計画を策定できるよう支援します。
セクション 3.4.1 では、組織に対し「不審なイベントを評価し、それがインシデントに該当するかどうかを判断する」ことを求めています。Talos IR は、不審なイベントが重大なインシデントに発展する前に脅威を特定する能動的な脅威ハンティングと侵害評価サービスを提供します。「現在侵害を受けているか?」「過去に侵害を受けた証拠があるか?」といった重要な質問にお答えします。
インシデントサポート(セクション 3.6 の要件)
Talos IR は、組織が緊急事態に迅速かつ効果的に対応できるよう、24 時間 365 日のインシデントサポートを提供しています。状況を把握し、差し迫った課題に対処し、脅威を分析するために、Talos IR チームが迅速に対応します。フォレンジックに関する深い専門知識に加え、包括的な根本原因の分析と実行可能な推奨事項を提示し、各インシデントを組織のセキュリティ態勢強化の機会に変えます。
本稿は 2025 年 7 月 29 日にTalos Group
Authors