インシデントレスポンスのステップとフェーズ：NISTフレームワークの解説

インシデント対応は、現代のサイバーセキュリティプログラムの中核をなす要素です。

これは、組織がセキュリティインシデントを特定、封じ込め、復旧するために用いる、体系的なプロセスです。明確に定義された計画は、被害を軽減し、業務をより早く通常状態に戻し、攻撃者による再発を防止します。

本記事では、インシデント対応のフェーズとステップを分かりやすく解説します。各段階がどのように連携し、確立されたライフサイクルに従うことがなぜ重要なのかを説明します。

インシデント対応ライフサイクルが重要な理由

体系的なインシデント対応（IR）プロセスは、組織が迅速に対応し、セキュリティインシデントによる被害を最小限に抑えるのに役立ちます。明確なライフサイクルがなければ、チームは誰が対応すべきか、どの手順を踏むべきか、どのように連絡を取るべきかを判断するのに時間を浪費し、脅威が拡大してさらなる被害をもたらす可能性があります。

IBMのCost of a data breach 2024レポートによると、IRチームを持つ企業は年間約$248,000のコスト削減を実現しています。さらに、セキュリティAIや自動化を対応プロセス全体に導入している組織は、手動対応の組織よりも侵害の特定と封じ込めを約98日早く実現しています。

インシデント対応ライフサイクルは、実際には終わることがありません。各フェーズは前のフェーズを基盤とし、継続的な改善のサイクルを形成します。インシデント発生後には、チームが有効だった点や課題を振り返り、ツールやプロセス、プレイブックを更新します。

この継続的な改善により、組織のセキュリティ体制は時間とともに強化され、将来の脅威への備えが向上します。

NISTインシデント対応ライフサイクル（4フェーズ）

米国国立標準技術研究所（NIST）は、SP 800-61「コンピュータセキュリティインシデント対応ガイド」において、最も広く利用されているインシデント対応フレームワークの一つを定義しています。このガイドは、セキュリティチームがサイバーインシデントに一貫性と効果的に対応するための体系的なアプローチを示しています。

NISTによると、インシデント対応ライフサイクルは以下の4つのコアフェーズで構成されます：

• 準備
• 検知と分析
• 封じ込め、根絶、復旧
• インシデント後の活動

一部の組織では、このモデルを5段階または6段階に拡張していますが、主要な活動内容は変わりません。この柔軟性により、各チームは自組織のプロセスに合わせてライフサイクルを調整しつつ、NISTフレームワークとの整合性を保つことができます。

フェーズ1：準備

準備とは、インシデント発生前に備えることを意味します。これは、実際の脅威が発生した際に組織がどれだけ効果的に対応できるかを左右する基盤となります。

このフェーズでは、組織は対応能力の中核となるポリシー、計画、チーム、ツールを整備します。侵害発生前の準備状況が、インシデント発生時の対応の成否を直接左右します。

準備フェーズの主な活動は以下の通りです：

• インシデント対応計画およびプレイブックの策定。 これは、さまざまなセキュリティインシデントへの対応フレームワークとなります。
  十分に文書化されたIR計画は、インシデントの定義、重大度レベルの分類、エスカレーション経路、報告手順を明確にします。各プレイブックには、特定のシナリオごとの具体的な手順、意思決定ポイント、コミュニケーションテンプレートを記載します。対応者を導くのに十分な詳細さと、脅威の進化に応じて柔軟に対応できる可変性が求められます。
• 役割と責任の明確化。 インシデント対応チーム（IRT）は、アクティブなインシデント時の混乱を防ぐため、明確な役割分担が必要です。インシデントコマンダー、技術リード、フォレンジックアナリスト、コミュニケーションリード、法務担当などのポジションを事前に定めておきます。
• インシデント対応チームの構築と訓練。 定期的なテーブルトップ演習、シナリオベースの訓練、役割別トレーニングにより、手順の有効性を検証し、潜在的な弱点を明らかにします。各メンバーは自分の責任とインシデント時の必要な手順を理解しておく必要があります。
• 検知および監視ツールの導入。 効果的な検知ツールは、迅速な対応の基盤です。監視システムは統合され、アラートやテレメトリが中央ダッシュボードや対応ハブに集約されるべきです。

主な技術には以下が含まれます：

• エンドポイント検知および対応（EDR）または拡張検知および対応（XDR）ソリューション。

• セキュリティ情報イベント管理（SIEM）システム。

• ネットワークトラフィック分析ツール。
• ログ管理および収集システム。
• 侵入検知およびフォレンジックツール。
• コミュニケーションプロトコルとエスカレーション経路の確立。 これらのワークフローは、重大度ごとに誰に連絡するか、優先する通信チャネル、対外発表や規制当局への通知の承認経路を明確にします。

フェーズ2：検知と分析

検知と分析は、潜在的なセキュリティインシデントの特定、調査、確認に焦点を当てます。このフェーズでは、脅威の性質や影響範囲、重大度、影響を受けたシステム、侵害の範囲を判断します。

検知ソース

検知は、異常な活動を示す複数のデータや監視システムに依存します。主なソースは以下の通りです：

• EDR/XDRエージェント： エンドポイント上の不審な挙動を監視します。
• SIEMおよびログ管理システム： ログを集約し、事前定義されたルールに基づきアラートを生成します。
• ネットワークトラフィック監視、IDS/IPS： 悪意のあるパターンやシグネチャ、異常なトラフィックを検出します。
• 脅威インテリジェンスフィード： 既知の攻撃キャンペーンに関する外部情報を提供します。
• ユーザーからの報告や外部通知： 異常な挙動やシステム障害を指摘します。

これらのツールは大量のアラートを生成しますが、すべてが実際の脅威を示すわけではありません。正当なインシデントとノイズを区別することが課題です。

分析：アラートから確認へ

分析フェーズでは、調査と検証を通じてアラートを実行可能なインサイトに変換します。この段階で行われる主な活動は以下の通りです：

• トリアージと初期フィルタリング： アラートが真の脅威か、誤検知か、さらなる分析が必要かを判断します。正確なトリアージは無駄な作業を減らし、アナリストが実際の脅威に集中できるようにします。
• 分類と優先順位付け： アラートを重大度、ビジネスへの影響、影響を受けた資産に基づき分類します。低・中・高・クリティカルなどの優先度を割り当て、対応アクションを導きます。
• イベント相関： アナリストは、ログ、エンドポイント、ネットワークデータ間のアラートの関連性を調査し、パターンや攻撃チェーンを特定します。複数のアラートが1つのインシデントに起因する場合もあります。
• 証拠収集： インシデントが確認された場合、調査担当者はログ、メモリダンプ、ディスクイメージ、ネットワークトレースなどの証拠を収集します。各ステップはタイムスタンプや証拠保全記録とともに文書化されます。
• 範囲とベクトルの特定： インシデントの発端、影響を受けたシステムやアカウント、攻撃者が依然として活動中かどうかを追跡します。これにより、封じ込めや復旧戦略が決定されます。

正確なトリアージは極めて重要です。誤検知が多すぎるとアナリストの時間が浪費され、真の脅威の見逃しは組織を危険にさらします。検知と分析はインシデントライフサイクル全体を通じて継続され、封じ込めや復旧の過程で新たな証拠が発見されることもあります。

フェーズ3：封じ込め、根絶、復旧

このフェーズは、インシデントの拡大を阻止し、影響を受けた環境から脅威を排除し、通常業務を回復することに重点を置きます。NISTは封じ込め、根絶、復旧を1つのフェーズにまとめていますが、これらは相互に関連しつつも個別のアクションであり、並行して実施されます。

封じ込め

封じ込めは、さらなる被害を抑え、事業継続を守りつつ、完全な修復に向けた準備を行うことを目的とします。戦略はインシデントの種類や重大度によって異なります。たとえば、マルウェア感染の場合はシステムの隔離、アカウント侵害の場合は認証情報の無効化やアクティブセッションの終了が必要です。

封じ込めは通常、2段階で実施されます：

• 短期的封じ込め： 攻撃者の進行を即座に阻止し、脅威の拡大を防ぐための初動対応です。影響を受けたホストの隔離、ネットワークアクセスの遮断、悪意のあるトラフィックのブロックなどが含まれます。これらの措置は一時的な業務中断を伴う場合がありますが、アクティブな侵害を止めるために不可欠です。
• 長期的封じ込め： 修復作業が続く間、限定的な業務継続を維持するための措置です。ネットワークのセグメント化、重要サービスの一時的な代替運用、バックアップシステムへの切り替えなどが含まれます。この段階では、同じ脆弱性からの再侵入を防ぐため、システムの強化やパッチ適用が行われます。

根絶

封じ込めが完了したら、次は攻撃者の痕跡を完全に排除し、システムの完全性を回復する段階です。根絶は、悪意のあるファイル、バックドア、悪用された脆弱性など、脅威の痕跡をすべて除去することに重点を置きます。

主な根絶活動は以下の通りです：

• マルウェア、スクリプト、不正ファイルの削除。
• 悪用されたアクセスポイントの閉鎖。
• 侵害されたアカウントや認証情報の無効化。
• 影響を受けたソフトウェアや設定のパッチ適用。
• 侵害されたシステムの再構築またはサニタイズ。
• 完全な除去を確認するための検証スキャンやフォレンジックレビューの実施。

徹底した根絶は再発防止のために不可欠です。1つでも侵害されたコンポーネントを見落とすと、攻撃者が再侵入する恐れがあります。

復旧

復旧は、システムやサービスを完全な機能状態に戻し、環境が安全であることを確認することに重点を置きます。復旧は最も重要なシステムから段階的に進めるべきです。

主な復旧手順は以下の通りです：

• クリーンなデータやシステムバックアップの復元。
• 影響を受けたマシンの再構築。
• パッチの再適用や設定の強化。
• パスワードのリセットと強固な認証の実施。
• 残存または再発する悪意のある活動の監視。

復旧はスピードと正確性のバランスが重要です。ダウンタイムを短縮するため迅速な復旧が求められますが、各システムがクリーンかつ安定していることを確認してから本番環境に戻す必要があります。

フェーズ4：インシデント後の活動（教訓の抽出）

インシデント後の活動フェーズは、すべてのインシデントを防御強化の機会に変えることに焦点を当てます。発生した事象の振り返り、教訓の文書化、今後の対応をより迅速かつ効果的にするための改善策の適用が含まれます。

このフェーズは見落とされがちですが、長期的なレジリエンスと継続的な改善のために不可欠です。

このフェーズでの主な活動は以下の通りです：

• 教訓抽出レビューの実施。 インシデントに関与したすべての関係者を集め、うまくいった点、遅延の原因、プロセスやコミュニケーションの課題を議論します。個人の責任追及ではなく、プロセス改善に焦点を当てます。主な議題は、インシデントの検知速度、手順の遵守状況、不足していたツールやリソースなどです。
• インシデント後レポートの作成。 詳細なレポートには、インシデントのタイムライン、根本原因、影響範囲、ビジネスへの影響、推奨事項を記載します。この文書は経営層にセキュリティパフォーマンスの洞察を提供し、必要に応じてコンプライアンスや規制報告にも活用されます。
• 計画、プレイブック、コントロールの更新。 調査結果に基づき、インシデント対応計画、プレイブック、検知ルール、サービス、セキュリティポリシーを更新します。弱点を強化し、必要に応じてチームの役割を調整し、対応中に明らかになったギャップを埋めるためのトレーニングを実施します。
• 知識とインテリジェンスの共有。 ISAC（情報共有分析センター）などの信頼できるパートナーや業界団体と匿名化したインサイトや脅威インテリジェンスを共有し、他組織の備えを支援します。社内チームにも要点を共有し、部門横断で予防・検知戦略を整合させます。

各インシデント後レビューは、改善点を準備フェーズにフィードバックします。このフィードバックループにより、防御力、検知速度、対応の連携が強化され、サイクルを重ねるごとに組織のレジリエンスが向上します。

その他のインシデント対応モデル（SANS 6ステップとNISTの比較）

NISTの4フェーズモデルは最も参照されるフレームワークの一つですが、SysAdmin, Audit, Network, and Security（SANS）Instituteの6ステップモデルも、特にサイバーセキュリティのトレーニングや運用現場で広く認知されています。

SANSモデルは、以下のインシデント対応ステップを示しています：

• 準備： インシデント発生前のポリシー、ツール、トレーニングの整備。
• 識別： 潜在的なセキュリティインシデントの検知、検証、分類。
• 封じ込め： 影響の限定とインシデントの拡大防止。
• 根絶： マルウェア、侵害アカウント、バックドアなどの悪意ある要素の除去。
• 復旧： システムの正常運用への復元と再発監視。
• 教訓の抽出： インシデントの振り返りによる弱点の特定と手順・コントロール・対応計画の更新。

用語は異なりますが、SANSとNISTはいずれも同じ全体プロセスを説明しています。SANSは封じ込め、根絶、復旧を個別のステップとし、NISTはこれらを1つの広範なフェーズにまとめています。また、SANSは「識別」、NISTは「検知と分析」という表現を用いています。

多くの組織は、自社のセキュリティ成熟度、業界規制、運用の複雑さに応じて両モデルを適用または組み合わせています。重要なのは、迅速な検知、連携した対応、継続的な改善を支える、体系的かつ再現可能なプロセスを維持することです。