SEC10-BP08 インシデントから学ぶためのフレームワークを確立する

教訓フレームワークと根本原因分析プロセスを導入することは、インシデント対応能力の向上だけでなく、インシデントの再発防止にも役立ちます。各インシデントから学ぶことで、同じ失敗、露出、設定ミスの繰り返しを防ぐことができ、セキュリティ体制が強化されるだけでなく、予防できたはずの状況に無駄にする時間を最小限に抑えることができます。

このベストプラクティスを活用しない場合のリスクレベル: 中

実装のガイダンス

以下の点を大まかに確立して達成する教訓フレームワークを実装することが重要です。

• 事後検証会を実施するタイミング

• 事後検証会を通して行うこと

• 事後検証会の実施方法

• そのプロセスに関わる人物、またかかわり方

• 改善の余地がある領域の特定方法

• 改善事項を効果的に追跡、実装する方法

フレームワークは、個人に焦点を当てたり非難したりするのではなく、ツールやプロセスの改善に焦点を当てるべきです。

実装手順

前述の大局的な成果とは別に、プロセスから最大の価値 (実行可能な改善につながる情報) を引き出すためには、適切な質問を行うことが重要です。教訓についての議論を進めるうえで役立つ質問には次のようなものがあります。

• どのようなインシデントでしたか。

• インシデントが最初に特定されたのはいつでしたか。

• どのようにして特定されましたか。

• どのシステムからアクティビティについてのアラートが発行されましたか。

• どのようなシステム、サービス、データが関与しましたか。

• 具体的に何が起きましたか。

• 何がうまくいきましたか。

• 何がうまくいきませんでしたか。

• インシデントに対応できなかった、またはスケールに失敗したのはどのプロセスまたは手順ですか。

• 次の領域で改善できることは何でしょうか。

  • 人員

    • 連絡する必要があった担当者に実際に連絡がつきましたか。また、連絡先リストの情報は最新のものでしたか。

    • インシデントに効果的に対応して調査するために必要なトレーニングや能力を欠いていましたか。

    • 適切なリソースは用意されていましたか。

  • プロセス

    • 対応はプロセスと手順に従って進められましたか。

    • この (タイプの) インシデントについて、プロセスと手順が文書化され、利用可能になっていましたか。

    • 必要なプロセスや手順が欠けていましたか。

    • 対応担当者は、問題に対応するために必要な情報にタイムリーにアクセスできましたか。

  • テクノロジー

    • 既存のアラートシステムは、アクティビティを効果的に特定してアラートを出しましたか。

    • どうすれば 50% 削減 time-to-detectionできたでしょうか。

    • この (タイプの) インシデントに備えて、既存のアラートを改善する、または新しいアラートを作成する必要がありますか。

    • 既存のツールでインシデントを効果的に調査 (検索/分析) できましたか。

    • この (タイプの) インシデントをより早く特定するにはどうすればよいでしょうか。

    • この (タイプの) インシデントの再発を防ぐにはどうすればよいでしょうか。

    • 改善計画の所有者は誰ですか。また、その実施状況をどのように検証しますか。

    • 追加のモニタリング、予防的統制やプロセスを導入し、テストするまでのスケジュールはどのようになっていますか。

このリストはすべてを網羅しているわけではありませんが、インシデントから最も効果的に学び、セキュリティ体制の継続的な改善に向けて、組織とビジネスのニーズを見極め、その分析方法を特定するための出発点として活用いただくことを目的としています。最も重要なのは、事後検証会を標準的なインシデント対応プロセスと文書化の一部として取り入れ、想定されるものとして関係者全員にも定着させることです。

リソース

関連ドキュメント:

• AWS Security Incident Response Guide - Establish a framework for learning from incidents

• NCSC CAF ガイダンス - 学習した教訓