フォレンジックと IR
インシデントレスポンス
別称: IR, サイバーインシデント対応
定義
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
インシデントレスポンス(IR)は、情報資産の機密性・完全性・可用性を脅かす事象に対する構造化された対応です。NIST SP 800-61 では準備、検知・分析、封じ込め、根絶、復旧、事後活動の 6 フェーズを定義し、SANS は同様の PICERL モデルを用います。有効な IR は、検証済みプレイブック、オンコール体制、連絡網、法務・広報連携、SIEM・SOAR・EDR・フォレンジックトリアージなどのツールに支えられます。目的は被害と復旧時間の最小化、そして得られた知見を予防・検知能力へ還元することです。
例
- 確認された BEC を封じ込めるためにトークン取消、認証情報リセット、関係者への通知を実施。
- ランサムウェアに感染した ERP の根絶と復旧を、IT・法務・経営層と連携して進める。
関連用語
インシデント対応計画
サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
机上演習
関係者が会議形式で仮想のサイバーインシデントを通し演じ、計画・役割・意思決定・コミュニケーションを検証するシミュレーション。
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。