インシデント対応
ソフォスは、セキュリティインシデントは避けられないものであり、そのようなインシデントに適切に備えることが、万全なセキュリティを形成するにあたって大きな部分を占めると考えています。ソフォスは、AI を活用したクラウドネイティブのソリューションに加え、グローバルに広がる脅威インテリジェンスおよびデータサイエンスチームである SophosLabs の力によって、企業をサイバー攻撃から保護しています。
ソフォスも、60 万社にのぼるソフォスのお客様と同じように、自社を守るためにソフォス製品を使用しています。ソフォスのインシデント対応計画には、インシデント発生時の安全かつ確実な伝達をはじめとして、効果的なインシデント対応に向けたソフォスの役割、インシデントの種類ごとの対応方法、深刻度レベルの分析、お客様や規制機関への適切な通知などが含まれます。
ソフォスは、 NIST 800-61 Computer Security Incident Handling Guide のガイダンスに従ってこうした計画を策定し、この計画が業界標準に沿っているどうかを頻繁に確認しています。
ソフォスでは、サイバーセキュリティの精鋭チームが世界最高水準のインシデント対応サービスを開発、運営しています。具体的には、包括的な監視や、高度な検出、対応の自動化、インシデント管理、フォレンジック分析、外部専門家への照会などが含まれます。ソフォスは、ソフォス製品の世界随一のヘビーユーザーであるのはいうまでもなく、製品チームや SophosLabs にも通じていることから、サイバーセキュリティインシデントへの対応において非常に有利な立場にあります。
ソフォスのインシデント対応プログラムの概要
ソフォスの使命は、あらゆる規模の組織に対して世界最高水準の効果的なサイバーセキュリティを提供し、人々をサイバー犯罪から守ることです。その実現に向けて、直感的に使用できる強力な製品およびサービスの開発に取り組んでいます。また、この使命を達成するために、あらゆる種類のセキュリティインシデントに効果的に対応することが不可欠であると考えています。また、当然のことですが、お客様を守るためには、インシデント対応プログラムによってソフォスおよびソフォス製品を守ることが前提となります。
ソフォスでは、NIST 800-61 によるセキュリティインシデントの定義を採用しています。その定義は、「コンピュータのセキュリティポリシー、適切な使い方に関するポリシー、およびセキュリティの標準手順に対する違反、あるいは、違反に直結する恐れのある脅威」というものです。あえて広い定義を採用することで、迅速な対応、改善点の特定、お客様への透明性という観点から解釈を調整できる余地を残しています。セキュリティインシデントを主に「確認された攻撃」と捉えると、データ流出が含まれない可能性もありますが、ソフォスの定義ならデータ流出も含まれます。
インシデントの特定方法
ソフォスがセキュリティインシデントを特定、認識する方法は多岐にわたります。これには次のようなものがあります。
- セキュリティ監視機能 (主に製品内に搭載。または、ソフォスが別途編み出した方法)
- バグ報告プログラム (報奨金つき)
- 侵入テストの結果
- 脆弱性の分析
- コードおよびアプリケーションの分析
- リサーチ、脅威インテリジェンスの分析
- お客様からの通知
セキュリティインシデントの可能性について報告するには、ソフォスの 責任ある情報開示プログラムをご覧ください。
調査と分析
インシデントが検出されるか、または、報告を受けて確認された直後は、インシデント対応チーム間の情報共有手段として、確立済みのコミュニケーションチャネルが使用されます。
調査および分析のミーティングには、通常、議題として最低限以下の内容が含まれます。
- 現時点での事実確認を行う。
- 対応状況を説明する。
- 今後の対応策について合意する。
- インシデントの深刻度レベルを評価、確定する(深刻度 1/2/3)。
- 次のミーティングのタイミングについて合意する。
- インシデント対応スケジュール、対応策、決定事項を文書化する。
深刻度の評価
インシデントの深刻度レベルは 4つに分かれます。
インシデントの深刻度レベル
| 深刻度 | 説明 |
|---|---|
| 0 | 影響度が最高レベルの、非常に重大なインシデント。 |
| 1 | 影響度が高レベルの、重大なインシデント。 |
| 2 | 影響度が中レベルの、大きなインシデント。 |
| 3 | 影響度が低レベルの、軽微なインシデント。 |
ソフォスのインシデント対応マネージャーが、企業やお客様への潜在的な影響度に基づき、インシデントの深刻度を設定します。深刻度を判断するにあたっては、お客様への影響や、業務への影響、情報への影響、復旧可能性、データの量および種類、攻撃者、ビジネスへの影響など、さまざまな条件が考慮されます。また、深刻度は対応プロセスの主な段階で再評価され、必要に応じて調整されます。
役割と責任
インシデントの初期段階では、深刻度レベルに基づいて、1人のインシデント対応マネージャーが割り当てられます。24時間 365日の対応が必要な場合は、この役割は交代制となる可能性があります。1人のインシデント対応マネージャーが明確な指示出しをすることで、対応チームの迅速な行動と、効果的なコミュニケーションが促されます。
インシデントの内容に応じて、さまざまな役割が必要となりますが、一般的な役割の種類は以下のとおりです。
インシデント対応 (IR) の役割と責任
| Role | 責任 |
|---|---|
| IR マネージャー | 深刻度の判定をはじめとして、エスカレーション、インシデント対応チームの結成、調査の開始および実施について決断を下す。 |
| 経営幹部からの支援者 | 経営幹部への伝達を必要に応じて行う。また、深刻度 0/1 のインシデント対応措置の承認を行う。 |
| IR チーム | インシデントの調査、分析、封じ込めの各担当者からなるチーム。 |
| IR プログラムの責任者 | インシデント対応計画や、IR チームの整備について責任を担う。IR 計画および文書の更新および定期的な見直しを行う。 |
| データ保護、お客様への連絡 | お客様やその他の外部機関への通知について判断する。 |
封じ込め、根絶、復旧
封じ込めの目的は、インシデントの被害が広がる前に、無効化することです。いったんインシデントを封じ込めれば、その問題にじっくり時間をかけて対処することが可能となります。
インシデントを封じ込めた後は、インシデントの構成要素や副次的影響の完全除去(根絶)が必要となる場合があります。ソフォスを狙ったセキュリティインシデントの場合は、ソフォスの企業アセットに加え、製品アセット (クラウド製品を含む) についても確認する必要があります。
根絶には、一般的に以下のような作業が含まれます。
- 設定やコードの変更 / ホットフィックス
- システムの置き換えまたは無効化
- 機能の削除
- データ品質のクリーンアップ
- 侵害されたユーザーアカウントの無効化
- エクスプロイトに狙われた全脆弱性の特定、緩和
復旧では、ソフォスのエンジニアがシステムを通常の運用状態に戻し、正常に動作していることを確認します。また、脆弱性を修正して (該当する場合)、同様のインシデントを防ぎます。ソフォスは、セキュリティおよびクラウドの企業として、イノベーション重視の企業文化ならびに方針をもち、そうした姿勢が迅速な復旧につながっています。また、ビジネス全体で継続的なインテグレーションおよびデプロイに努め、システムの再デプロイを常時、大規模かつ迅速に行っています。
お客様への通知
「嘘偽りのないこと」は、ソフォスの企業価値の 1つであり、この価値は、ソフォスの使命である「保護」によって支えられています。万が一、お客様のデータがインシデントや侵害に巻き込まれたことが確認された場合、ソフォスは速やかにお客様に通知します。
インシデント後の取り組み
インシデントに対処、解決した後、ソフォスはこれらのインシデントから学ぶよう努めます。具体的には、事後検討の機会を設け、インシデントへの対処方法や、根本原因について話し合います。こうした話し合いを通じ、インシデントの処理手順を調整、改善するとともに、セキュリティ全般の改善に取り組み、同じようなインシデントの防止ならびに早期発見につなげます。
ソフォスがインシデント対応に自社ツールを活用する方法
ソフォスのグローバルセキュリティオペレーションセンター (GSOC) は、ソフォスのインフラストラクチャからのアラートを常時監視し、サイト全体から異常の兆候を探っています。そのために、ソフォスの次世代型製品スイートをはじめ、さまざまな検出ツールを導入、使用しています。
- Sophos Intercept X Advanced with EDR は、Intercept X と EDR (Endpoint Detection and Response) を組み合わせた単一エージェント型ソリューションで、幅広い脅威に対応できるのが特徴です。Live Discover および Live Response によって、脅威を迅速に検出して対応できるほか、フォレンジック分析のスナップショットをリモートから作成したり、感染エンドポイントを隔離して問題を封じ込めたりすることも可能です。フォレンジック分析のスナップショットを使えば、侵害の兆候や痕跡を特定できます。さらに、Sophos Firewall によってネットワーク関連の侵害の痕跡をブロックします。Intercept X から得られた脅威データの活用方法について詳しくは、https://news.sophos.com/en-us/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/ をご覧ください。
- Sophos Firewall は、侵入防御機能によって、最新のネットワークエクスプロイトを阻止、検出します。たとえば、悪意のあるドメイン、URL、IP アドレスをブロックしたり、疑わしいファイルを SophosLabs の安全なクラウド環境にネットワーク経由で転送して分析したりできます。ネットワーク上の一部の箇所では、ファイアウォールを検出モードで導入し、IDS イベントを探るネットワークセンサーとして用いて、ネットワークアクティビティレポートを生成できます。
- ソフォスのワークロードがクラウドに移行されるに従って、必要性が増してきたのが可視化ツールです。Sophos Optix は、ビジネスにリスクをもたらすクラウドサービスを特定、評価し、疑わしい動作についてプロアクティブに通知します。Sophos Optix を使えば、次のような重要事項を即座に把握できます。所有者は誰か?通信相手は誰か?どんなロールや権限が使用されているか?どんなルールやセキュリティグループが使用されているか?ネットワークおよびそのリソースが使用するロールが迅速に可視化されるため、問題がある場合はすばやく特定できます。
- ソフォスは幅広いシステムを活用しており、ソフォス製品はもちろん、ソフォス以外の製品からもデータを収集しています。インシデントの検出および分析を行っている間にも、特定のシステムに関するコンテキスト情報を得ることはどんどん困難になっていくため、正しい情報を迅速かつ効率的に取得し、適切な判断を下すことが必要不可欠です。Sophos Central API を使えば、Sophos Central と他社製品を統合できます (https://news.sophos.com/en-us/2019/12/19/unlocking-the-power-of-sophos-central-api/)。