防御と運用
是正的統制
別称: 是正コントロール, 事後的統制
定義
インシデント発生後に被害を最小化し、脅威を排除し、システムを正常状態へ復旧させるために発動されるセキュリティ対策。
是正的統制は、セキュリティ事象が検知された後に発動される修復活動および技術です。代表例として、感染した端末の隔離、悪性プロセスの停止、バックアップからのデータ復元、悪用された脆弱性へのパッチ適用、漏えい資格情報のローテーション、ゴールデンイメージからのシステム再構築などがあります。インシデント対応ライフサイクルと密接に結びついており、正確な検知と訓練済みの復旧手順を前提とします。その有効性は MTTC、MTTR、および RTO・RPO 目標の達成度で評価されます。
例
- EDR がランサムウェア挙動を検知したホストを自動隔離する。
- ワイパー攻撃の後、直近のクリーンなスナップショットからデータベースを復元する。
関連用語
予防的統制
脅威行為の機会や能力を取り除き、セキュリティ事象の発生そのものを防ぐことを目的とした統制。
発見的統制
環境内で発生した悪意ある活動、ポリシー違反、または異常を識別しアラートを発するために設計されたセキュリティ対策。
Compensating Controls
Compensating Controls — definition coming soon.
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
Mean Time to Recover (MTTR)
Mean Time to Recover (MTTR) — definition coming soon.
Recovery Time Objective (RTO)
Recovery Time Objective (RTO) — definition coming soon.