概念と用語 - AWS Security Incident Response ユーザーガイド

概念と用語

以下の用語と概念は、AWS Security Incident Response サービスとその仕組みを理解する上で重要です。

スコープ: AWS Security Incident Response は、米国国立標準技術研究所 (NIST) の「800-61 Computer Security Incident Handling Guide」に準拠しており、業界のベストプラクティスに基づいたセキュリティイベント管理の一貫したアプローチを提供します。

分析: セキュリティイベントの範囲、影響、根本原因を理解するための詳細な調査と検討。

AWS Security Incident Response サービスポータル: セキュリティイベントケースを開始および管理するためのセルフサービスポータル。チケットシステム、自動通知、サービスチームとの直接的な関与を通じて、継続的なコミュニケーションと報告が促進されます。

コミュニケーション: インシデント対応プロセス中の AWS Security Incident Response チームとお客様間の継続的な対話と情報共有。

封じ込め、根絶、復旧: 追加の不正なアクティビティの防止 (封じ込め)、不正なリソースと元の脆弱性の削除 (根絶)、および通常の業務に復帰するためのリソースの復旧。

継続的改善: AWS Security Incident Response は、以前のエンゲージメントから学んだフィードバックと教訓を取り入れて、検出機能、調査プロセス、修復アクションを強化します。また、AWS Security Incident Response は、進化するセキュリティ課題に対処するため、最新のセキュリティ脅威とベストプラクティスを常に把握します。

サイバーセキュリティイベント: 情報システムまたはネットワークを使用して、システム、ネットワーク、またはそこに含まれる情報に悪影響を及ぼすアクション。

サイバーセキュリティインシデント: コンピュータセキュリティポリシー、許容可能な使用ポリシー、または標準セキュリティプラクティスの違反または差し迫った違反の脅威。

インシデント対応チーム: アクティブなセキュリティイベント中にサポートを提供する個人のグループ。AWS でサポートされるケースの場合、これは AWS カスタマーインシデント対応チーム (CIRT) です。

インシデント対応ワークフロー: NIST 800-61 標準に沿った、セキュリティイベントのエンドツーエンドの管理に関連する定義された一連のステップとアクティビティ。

調査ツール: アカウントとリソースの運用状態を確認するために使用される AWS Security Incident Response ツールとサービスにリンクされたロール。

教訓: セキュリティイベント対応のレビューとドキュメント。改善すべき分野を特定し、今後のインシデント対応計画に役立てます。

モニタリングと調査: AWS Security Incident Response は Amazon GuardDuty のセキュリティアラートを迅速にレビューし、チームが分析する必要がある最も重要なアラートを優先的に表示します。不要なアラートを防ぐために、環境の詳細に基づいて抑制ルールを設定します。

準備: インシデント対応計画やテスト手順の策定など、組織がセキュリティイベントに効果的に対応および管理するための準備を整えるために行われるアクティビティ。

レポートとコミュニケーション: 自動通知、コールブリッジ、調査アーティファクトの配信など、インシデント対応プロセス全体を通じて最新情報を把握するために使用されるプロセス。AWS Security Incident Response では、すべての AWS Security Incident Response の作業を管理するための一元化された単一のダッシュボードが AWS Management Console で提供されます。

対応者が生成したインテリジェンス: 侵害の指標、戦術、手法、手順、および AWS CIRT 調査で観察された関連パターン。

セキュリティイベントの専門知識: 特に AWS クラウドのコンテキストにおいて、セキュリティイベントに効果的に対応し、管理するために必要な専門知識とスキル。

責任共有モデル: AWS とお客様の間のセキュリティ責任分担。AWS はクラウドのセキュリティに責任を持ち、お客様はクラウド内のセキュリティに責任を持ちます。

脅威インテリジェンス: 進化するセキュリティ脅威の特定と対応に役立つ、不正なアクティビティの詳細を含む内部および外部のデータフィード。

チケットシステム: セキュリティイベントケースのオンボーディングと管理、添付ファイルの追加、インシデント対応ライフサイクルの追跡を可能にする専用のケース管理プラットフォーム。

トリアージ: 適切な対応と次のステップを決定するためのセキュリティイベントの初期評価と優先順位付け。

ワークフロー: セキュリティイベントのエンドツーエンドの管理に関連するステップとアクティビティの定義されたシーケンス。