SANS 6ステップインシデントレスポンスフレームワークガイド

SANSインシデントレスポンスとは

ランサムウェアのペイロードが午前2時47分に環境全体で実行されます。SOCアナリストはアラートを確認しますが、プレイブックは古く、エスカレーション経路は不明確で、封じ込め手順は昨年のテーブルトップ演習以来誰も開いていないPDFに記載されています。インシデントを封じ込められるか、一面記事になるかの違いは、多くの場合、チームがプレッシャー下で構造化された対応をどれだけうまく実行できるかにかかっています。その実行力は、アラートが届くはるか前に行われた準備段階の投資に依存します。

SANSインシデントレスポンスは、SANS Instituteがセキュリティチームにその構造を提供するために開発した6フェーズのフレームワークです。PICERLモデルとして知られ、インシデント対応を順次フェーズに分割します：準備、識別、封じ込め、根絶、復旧、教訓。GCIH認定は、6つのフェーズすべてにわたる実務者の能力を証明します。

SANSのインシデントレスポンスフレームワークは、運用上の実行に焦点を当てています。チームに「何を」「いつ」「どのように」実施し、フェーズ間の引き継ぎを明確にすることで、ライブインシデント中に抜け漏れが発生しないようにします。

SANSフレームワークとサイバーセキュリティの関係

SANS PICERLモデルは、ツール、人材、プロセスを反復可能なワークフローに結び付けます。SIEMは識別フェーズでアラートを生成します。EDRソリューションは封じ込めフェーズで隔離を実行します。フォレンジックツールは根絶フェーズで根本原因分析を支援します。各フェーズは、すでにSOCに存在するセキュリティツールやチームの役割に直接対応しています。また、このフレームワークは NIST SP 800-61のインシデント対応ガイダンスとも整合していますが、両者は構造や対象が異なり、詳細は後述します。

SANSインシデントレスポンスフレームワークの理論を知ることは出発点に過ぎません。実際の状況下で実行するには、各フェーズをより詳細に理解する必要があります。

SANSインシデントレスポンスの6フェーズ

SANSフレームワークは線形サイクルとして機能します。インシデント発生時に各フェーズを順に進み、学びをもとに準備フェーズに戻ります。すべてのフェーズに共通する原則は「すべてを記録する」ことです。実施したアクション、影響を受けたシステム、実行したコマンド、収集した証拠、下した判断をタイムスタンプ付きで記録します。この記録は、フォレンジック、法的・規制対応、事後レビューに役立ちます。

フェーズ1：準備

準備は、インシデント発生前に基盤を構築します。IRポリシーと手順を策定し、セキュリティツール（SIEM、EDR、脅威インテリジェンスプラットフォーム）を導入・調整し、ランサムウェア、認証情報の侵害、クラウド侵入など一般的な攻撃シナリオのプレイブックを作成します。また、内部エスカレーションや外部通知のためのコミュニケーションテンプレートも準備します。これらの遅延はインシデント被害を拡大させる可能性があるためです。

このフェーズでは、階層化されたインシデントレスポンスチームを編成します：

• Tier 1アナリストは初期アラートのトリアージとイベント監視を担当します。
• Tier 2アナリストは詳細な調査と脅威ハンティングを実施します。
• Tier 3アナリストは複雑な調査を主導します。

セキュリティエンジニアリングとSOC管理はツールの維持と対応オペレーションの調整を行います。

このように階層を定義することで、高度なアラートが発生する前にエスカレーション経路を明確にできます。また、準備にはインシデント時に必要となる外部関係者（法務、広報、法執行機関、サードパーティのフォレンジックやIRリテイナーサービス）との関係構築も含まれます。危機時にこれらの関係を構築しようとすると、封じ込めではなくロジスティクスに貴重な時間を浪費します。

フェーズ2：識別

識別フェーズでは、セキュリティイベントが実際にインシデントであることを確認します。SOCアナリストはSIEMプラットフォームによる継続的監視、アラートのトリアージ、侵害指標の検証、重大度によるインシデントの優先順位付けを行います。効果的な識別には、エンドポイントテレメトリ、ネットワークフローデータ、IDログ、 脅威インテリジェンスフィードなど複数ソースのデータ相関が不可欠です。

確認されたインシデントには、意思決定を行う主担当者と、調査・証拠収集を支援するサポート担当者の少なくとも2名を割り当てます。このフェーズでは、影響を受けたシステム、リスクのあるデータ、攻撃者のアクティブアクセス有無など、インシデントの範囲特定も開始します。迅速かつ正確なスコーピングにより、被害を最小限に抑え、より的確な封じ込めが可能となります。

フェーズ3：封じ込め

封じ込めは短期と長期のアクションに分かれます。短期封じ込めは被害拡大の阻止が目的です。証拠保全を優先しつつ、被害範囲を制限します：

• 影響を受けたエンドポイントをネットワークから隔離します。
• 侵害されたアカウントを無効化し、アクティブセッションを取り消します。
• ファイアウォールやプロキシで悪意のあるネットワークトラフィックを遮断します。
• 影響システムに変更を加える前にフォレンジックイメージを取得します。

長期封じ込めでは、一時的なパッチ適用、強化された監視、恒久的なネットワーク制御を実施し、根絶準備を進めます。ビジネス継続のためにクリーンな並列システムを立ち上げ、侵害システムを隔離したまま運用を継続する場合もあります。このフェーズの重要な判断は、許容可能な業務中断レベルの決定です。完全なネットワークセグメンテーションはより安全ですが業務停止を招き、ターゲット隔離は稼働率を維持できますが封じ込めが不完全となるリスクがあります。これらのトレードオフは、インシデント発生前にプレイブックで定義しておきます。

フェーズ4：根絶

根絶フェーズでは、攻撃者の足場を環境から排除します：

• すべての影響システムから マルウェアや悪意のあるツールを除去します。
• 初期アクセスやラテラルムーブメントを可能にした脆弱性を修正します。
• バックドアアカウント、スケジュールタスク、不正サービスなどの永続化メカニズムを削除します。
• クリーン保証ができない場合はシステムを再イメージ化します。

ここでは根本原因分析が重要です。初期アクセス経路を理解せずにアーティファクトだけを除去すると、再侵害のリスクが高まります。チームは初期アクセスからラテラルムーブメントまで攻撃チェーン全体を追跡し、攻撃者が触れたすべてのシステムを特定する必要があります。部分的な根絶は再侵害の主な原因であり、サービス復旧を急ぐあまり攻撃者活動の全容確認を怠った場合に発生します。詳細なフェーズガイダンスは、SEC504、FOR508、FOR608などのSANSトレーニングコースで提供されています。

フェーズ5：復旧

復旧フェーズでは、システムを本番環境に戻します：

• クリーンで検証済みのバックアップから復元します。
• 復元だけでは不十分な場合はシステムを再構築します。
• 根絶フェーズで得た知見に基づき、より強固なセキュリティ制御を実装します。
• 復元したイメージがクリーンで、攻撃者の残留アーティファクトがないことを検証します。
• 再発する侵害指標を監視しながら段階的にシステムを再統合します。

監視を通常レベルに戻す明確な基準を定義します。復旧フェーズでは、根本原因に対応するセキュリティ改善も実施します。たとえば、攻撃者がVPNの設定ミスを悪用した場合、その修正は復旧フェーズで行います。

フェーズ6：教訓

教訓フェーズでサイクルを完結させます。解決から2週間以内に正式な事後レビューを実施し、完全なタイムラインを文書化し、成功点と失敗点を分析します。レビューにはIRチームだけでなく、対応に関与した全員が参加します。なぜなら、コミュニケーションの断絶やエスカレーションの遅延はSOC外で発生することが多いためです。

レビュー結果は、期限と責任者を明確にした具体的なアクションアイテムとして準備フェーズにフィードバックします。目的は、インシデントを可能にした要因を特定し、同じ経路が再利用されないようにすることです。「監視を強化する」といった曖昧な提案は実行可能ではありません。効果的なアクションアイテムは具体的です：「Q2までにサービスアカウントのラテラルムーブメントを検知するIDベースの検知ルールを導入する」など、明確な成果物を設定します。このフェーズを省略・遅延すると、同じ封じ込めの失敗を繰り返す傾向があります。

これらのフェーズを日常的に使用するツールにマッピングすることで、SANSインシデントレスポンスワークフローがプレッシャー下でも機能します。

フェーズ横断のツール統合

SIEMとEDRプラットフォームは、対応ライフサイクル全体で異なる機能を提供します。SIEMは集中型ログ管理、イベント相関、過去分析を提供します。EDRツールはリアルタイムのエンドポイント可視化、エンドポイント隔離などのターゲット対応、詳細なプロセスレベルのフォレンジックを実現します。

実際には、SIEM、EDR、IDテレメトリ、クラウドログを手動相関なしで一括調査できると、最良の結果が得られます。統合テレメトリが迅速なスコーピングを支援する詳細については、 XDR概要をご覧ください。

6フェーズを理解することで、チームはインシデント対応の共通言語と手順を持つことができます。次のステップは、その手順を文書化し、テスト可能な計画としてプレッシャー下で実行できるようにすることです。

PICERLを用いたインシデントレスポンス計画の構築方法

共有ドライブに保存され、テストされない計画はコンプライアンス目的のアーティファクトであり、運用ツールではありません。目指すべきは、各PICERLフェーズを自組織の環境、ツール、チーム構成にマッピングし、即応時に即座に実行できる「生きた」ドキュメントです。

まず、各PICERLフェーズを現行環境にマッピングします：

• 準備：IRチームの名簿、役割、連絡方法、エスカレーション権限を文書化します。ネットワーク隔離やアカウント停止などの封じ込めアクションを、経営層の承認を待たずに誰が実行できるかを定義します。
• 識別～復旧：実際のツールを参照したフェーズ別プレイブックを作成します。どのSIEMクエリを実行し、どのEDRアクションをトリガーし、どのコミュニケーションテンプレートを送信するかを明記します。
• 教訓：タイムライン、根本原因、アクションアイテムを記載する事後レビュー用テンプレートを用意します。

CISAプレイブックテンプレートは、ゼロから作成するのではなくカスタマイズできる強力なベースとなります。

また、インシデント種別を対応階層にマッピングする重大度分類マトリクスも計画に含めます。単一ユーザーの認証情報侵害と本番サーバーに影響するランサムウェア発生では、エスカレーション経路、チーム構成、封じ込めタイムラインが異なります。これらの違いを事前に定義します。

計画策定後は、少なくとも四半期ごとにテーブルトップ演習でストレステストします。最も弱いフェーズを狙ったシナリオを実施します。たとえば、 サプライチェーンインシデントの根絶手順を一度も練習していない場合、実際のイベント時にそのギャップが顕在化します。計画のオーナーを任命し、四半期ごとの見直し、連絡先更新、ツール整合性を管理します。オーナーシップのない計画は数か月で陳腐化します。

計画の有効性は、実行する人材に依存します。SANSはIR能力を構築・検証するための体系的なトレーニングパスを提供しています。

SANSインシデントレスポンス認定とトレーニングパス

SANS Instituteは、 GIAC認定と実践的なトレーニングコースを通じてIR能力を検証します。IRチームの構築や拡張を検討している場合、これらの資格はPICERLフェーズの責任範囲に直接対応します。

SEC504: Hacker Tools, Techniques, and Incident Handling

• カバー範囲：6つのPICERLフェーズすべて。
• 認定：GCIH（GIAC Certified Incident Handler）。セキュリティインシデントの検知、対応、解決の実践能力を証明。
• 対象：IR専任を目指すTier 1およびTier 2アナリスト。IR能力構築の出発点となるコース。

FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics

• カバー範囲：識別、封じ込め、根絶フェーズ。メモリフォレンジック、タイムライン分析、高度な脅威ハンティングに重点。
• 認定： GCFA（GIAC Certified Forensic Analyst）。
• 対象：複雑な調査を主導するTier 2およびTier 3アナリスト。

トレーニングロードマップを構築する場合、まずSEC504でPICERL全体をカバーし、その後FOR508でフォレンジックやハンティング能力を強化します。認定取得と定期的なテーブルトップ演習を組み合わせ、教室での知識が運用現場で活用できるようにします。

訓練されたチームと文書化された計画があっても、実際のインシデントでは構造的な課題や実行ミスが発生します。

SANSインシデントレスポンスにおける一般的な課題とミス

SANSインシデントレスポンスモデル自体は堅牢です。課題は実装にあります。PICERLを採用した組織は、フレームワークの価値が各フェーズをリアルタイムで支えるツール、人員、プロセスの質に完全に依存していることに気付きます。

自律性の欠如

多くのチームは、最もスピードが求められるフェーズで依然として手動または部分的に統合されたワークフローに依存しています。分断されたセキュリティスタックは脅威発見を遅らせ、証拠収集に手作業を要し、複数コンソール間の人手による相関で調査を遅延させます。手動ステップを排除できないほど、封じ込めまでの時間が延びます。

修復スピードのミスマッチ

脆弱性の悪用は、組織の修復サイクルをしばしば上回ります。パッチ適用や設定変更が攻撃者の活動より遅い場合、封じ込め判断はより破壊的になります。セグメンテーション、隔離、サービス停止が必要となるのは、低インパクトな修正の猶予がすでに失われているためです。

人員・経営層の責任ギャップ

専任のIRチームを構築するのは依然として困難です。多くの組織は兼任や借用リソースに依存しており、IR責任が運用業務と兼務されると、プレッシャー下で対応品質が低下します。さらに、エスカレーション経路、意思決定権限、外部コミュニケーションが不明確だと、インシデントレスポンスは崩壊します。経営層が封じ込め、ダウンタイム、開示の権限者に合意していない場合、準備フェーズのギャップがすべての後続フェーズに波及します。

準備を一度きりの活動とみなす

昨年インシデントレスポンス計画を作成したものの、プレイブックは既に置き換えたツールを参照し、エスカレーション連絡先も異動しています。準備には四半期ごとの更新、テーブルトップ演習、現行ツールセットとの継続的な統合テストが必要です。

BC/DR統合のギャップ

インシデントレスポンスプロセスが事業継続・災害復旧（BC/DR）計画と整合していない場合、復旧フェーズの判断がテスト済み手順ではなく即興で行われます。

これらの課題は理論ではなく構造的なものです。それぞれが、準備、ツール、プロセスが破綻した特定のPICERLフェーズに対応しています。

SANSインシデントレスポンスのベストプラクティス

何が問題になるかを知ることが半分です。以下の実践が、上記課題に対する具体的な運用改善策となります。

NISTおよびCISAプレイブック標準との整合

CISAのレスポンスプレイブックをテンプレートとして活用します。これらはNISTのインシデント対応ガイダンスと整合し、手順、意思決定ツリー、通知要件を段階的に提供します。ゼロから作成するのではなく、自組織向けにカスタマイズします。

自律対応と行動検知を目指す

多くのセキュリティチームが、識別・対応ワークフローの自律化を目指しています。その焦点を封じ込め、証拠収集、アラートトリアージにも拡張します。プロセス活動、ユーザーパターン、ネットワーク異常の行動分析による自動化を補完し、正規認証情報やLiving-off-the-land手法を用いた攻撃も検知します。プレイブックのカバレッジをエッジインフラ、VPN侵害、サプライチェーンインシデント、クラウド固有シナリオにも拡張します。

MTTCを測定し四半期ごとに改善

主な有効性指標としてMean Time to Contain（MTTC）を追跡し、Mean Time to Detect（MTTD）、チケットエスカレーション率、自律化カバレッジと併せて管理します。成果をプレイブック、ツールギャップ、承認ボトルネックに紐付けます。すべての事後レビューを四半期サイクルでプレイブック改善やルール更新に反映します。

これらの実践を継続的に適用することで、アラートから封じ込めまでのギャップが徐々に縮まります。実際のインシデントでは、このギャップが広いままだと何が起こるかが示されています。

PICERLにマッピングされる実際の攻撃例

自組織が重要インフラ事業者やグローバルカジノでなくても、失敗パターンは同じです：意思決定権限の不明確さ、封じ込めの遅延、スコーピングの不完全さ。

1. Colonial Pipeline（2021年、ランサムウェア）：インシデントによりパイプライン運用が停止し、 440万ドルの身代金支払いに至りました。封じ込めと復旧の判断が事業継続全体の問題となることを示しています。
2. Kaseya VSA（2021年、サプライチェーン型ランサムウェア）：攻撃者はマネージドサービスソフトウェアを利用して下流顧客にランサムウェアを配布し、最大1,500組織に影響を与えました。これは、サードパーティやエッジアクセスのプレイブックを準備フェーズで構築すべきことを直接示しています。
3. MGM Resorts（2023年、ソーシャルエンジニアリングとランサムウェア）：MGMはサイバーインシデントにより四半期で1億ドルの財務的影響を報告しました。経営層のエスカレーション経路やID重視の封じ込めアクションの重要性を示しています。

これらのインシデント全体で一貫しているのは、準備の質が封じ込めを技術的対応にとどめるか、事業全体の危機に発展させるかを決定するという点です。

対応戦略を評価する組織は、SANS PICERLとNISTフレームワークを比較することがよくあります。それぞれの適用範囲を理解することで、適切なモデルを適切な課題に適用できます。

SANSとNIST：主な違いの理解

SANS PICERLは、ライブインシデント時に運用ガイダンスを必要とする実務者向けに設計されています。NIST SP 800-61は、ポリシー整合、コンプライアンス対応、ガバナンス構造を必要とする組織向けです。

詳細な運用実行にはSANS PICERLを、コンプライアンス整合やコミュニケーション構造、エンタープライズガバナンスにはNIST SP 800-61を活用します。両フレームワークを運用化するには、 CISAプレイブックテンプレートを利用することで、NIST構造に準拠した手順を実現できます。

どちらのフレームワークを選択しても、実際の制約は実行スピードです。それは、プラットフォームがテレメトリを統合し、識別・封じ込めフェーズで自律的なアクションをサポートできるかどうかにかかっています。

SentinelOneによるインシデントレスポンスの強化

現代の脅威が要求するスピードでSANS PICERLフレームワークを実行するには、テクノロジーだけでは不十分です。SentinelOne Wayfinder Incident Readiness & Responseは、侵害前・中・後を通じて支援する専門的なインシデントレスポンスプログラムを提供します。

Wayfinder Incident Readiness & ResponseはSentinelOneのマネージドサービスの一部であり、SentinelOneテレメトリとGoogle Threat Intelligenceを活用して、チームがアドホックな対応から準備された反復可能な対応へと移行できるようにします。

インシデント発生前には、Wayfinderスペシャリストが準備状況評価、プレイブック、テーブルトップ演習、パープルチーム型ドリルを実施し、コントロールをテストしてギャップを解消し、計画がプレッシャー下でも機能するようにします。

インシデント発生時には、SentinelOneのレスポンダーがアクティブな脅威を調査し、影響システムを封じ込め、デジタルフォレンジック、根本原因分析、IOC分析を調整して、影響を制御し中断を短縮します。

インシデント後には、チームが復旧を指導し、経営層向けレポートを提供し、法的・コンプライアンス対応を支援し、教訓を次回の防御強化に反映できるよう環境を調整します。

既存コントロールとマネージドサービスを連携させるため、WayfinderはSingularity™ Platformのデータをエンドポイント、クラウド、IDにわたり活用し、アナリストやレスポンダーにインシデントライフサイクル全体の統合ビューを提供します。Storylineテクノロジーはプロセス、ファイル、ネットワーク活動を相関し、完全な攻撃ストーリーを構築するため、アナリストはツール間を移動せずにインシデント範囲を把握できます。

Purple AIは、識別から教訓までのフェーズを加速し、アナリストが自然言語でセキュリティデータをクエリし、インシデントタイムラインを迅速に再構築できるようにします。Purple AIの導入により、脅威修復が最大55%高速化したという報告もあります。

SentinelOneは、インシデントが本格的な対応に発展する前のキュー圧力も軽減します。MITRE ATT&CK評価では、SentinelOneは 12件のアラートを生成し、比較対象の178,000件と比べてアナリストのトリアージ量を88%削減しました。

Singularity AI SIEMは、ネイティブおよびサードパーティソースからのテレメトリを取り込み正規化し、インシデント横断で集中可視化とホットストアデータによる過去分析を提供します。

SentinelOneのデモをリクエストし、自律対応と統合テレメトリが平均封じ込め時間をどのように短縮するかをご確認ください。

主なポイント

SANS PICERLフレームワークは、インシデント対応のための実証済み6フェーズ構造をチームに提供します。課題はフレームワーク自体ではなく、適切な自律性、ツール統合、人員体制で運用化することにあります。手作業を減らし、一貫したプレイブックを実行するチームは、インシデントを迅速に封じ込め、被害を軽減できます。

主な指標としてMTTCを優先し、新たな攻撃ベクトルに対応するプレイブックを構築し、すべてのフェーズでテレメトリ統合と自律対応を可能にするプラットフォームに投資してください。