SEC10-BP01 重要な人員と外部リソースを特定する:

組織のインシデント対応体制を整えるため、組織内外の担当者、リソース、法的義務を特定します。

期待される成果: 主要担当者、その連絡先情報、セキュリティイベント対応時の担当者の役割をまとめたリストが用意されています。この情報を定期的に見直し、組織内外のツールの観点から人員配置の変更を反映させます。この情報の文書化にあたっては、セキュリティパートナー、クラウドプロバイダー、SaaS (Software-as-a-Service) アプリケーションなど、サードパーティーのサービスプロバイダーやベンダーをすべて考慮します。セキュリティイベントの発生時は、適切な責任とアクセス権を持つ担当者が状況を適切に理解して、対応と復旧にあたることができます。 

一般的なアンチパターン:

• 主要担当者の連絡先と、セキュリティイベントへの対応時の役割や責任について最新情報をまとめたリストが用意されていない。

• イベントへの対応や復旧の際に、担当者、依存関係、インフラストラクチャ、ソリューションについて全員がわかっているものだと想定している。 

• 主要なインフラストラクチャやアプリケーションの設計を記載したドキュメントまたはナレッジリポジトリがない。

• セキュリティイベント発生時の効果的な対応方法を新しい人員に指導する適切なオンボーディングプロセス (イベントシミュレーションの実施など) が用意されていない。

• 主要担当者が一時的に不在の場合や、セキュリティイベントの発生時に対応できない場合に備えたエスカレーションパスが用意されていない。

このベストプラクティスを活用するメリット: イベント発生時のトリアージと対応において、適切な人員とその役割を決めるために割く時間が短縮されます。主要担当者とその役割の最新リストが用意してあれば、適切な人材をイベントのトリアージと復旧に投入でき、イベント発生時の時間の無駄使いを極力抑えることができます。

このベストプラクティスが確立されていない場合のリスクレベル: 高

実装のガイダンス

組織内の主要な人員を特定する: インシデント対応に動員する必要がある組織内の人員の連絡先リストを用意しておきます。この情報を定期的に見直し、組織編成の変更、昇進、チームの変更など、人員配置に変更があった場合は適宜更新してください。インシデントマネージャー、インシデントレスポンダー、コミュニケーションリーダーなどの主要な役割については、特に重要です。 

• インシデントマネージャー: イベント対応時に全体を統率する権限を持ちます。

• インシデントレスポンダー: 調査および修復の活動を担当します。これらの人員はイベントの種類によって異なりますが、通常は、影響を受けたアプリケーションを担当する開発者や運用チームです。

• コミュニケーションリーダー: 特に公的機関、規制当局、顧客との組織内外のコミュニケーションを担当します。

• 対象分野のエキスパート (SME): 分散型で自律的なチームでは、ミッションクリティカルなワークロードのために SME を特定しておくことをお勧めします。SME は、イベントに関与する重要なワークロードの運用とデータ分類に関する深い知識を共有してくれます。

AWS Systems Manager Incident Manager 機能を主要連絡先の指定、対応計画の定義、オンコールスケジュールの自動化、エスカレーション計画の立案に役立てることを検討してください。オンコールスケジュールでスタッフ全員を自動でローテーションさせ、ワークロードの責任を所有者間で分担できます。これにより、関連するメトリクスやログの生成、ワークロードにとって重要なアラームしきい値の定義など、優れた取り組みが促されます。

外部パートナーを特定する: 企業は独立系ソフトウェアベンダー (ISV)、パートナー、業務委託先が構築したツールを使用して、顧客向けに差別化ソリューションを構築しています。これらの関係先の担当者に、インシデントへの対応と復旧を支援してもらいます。サポートケースを通じて AWS の対象分野のエキスパートに迅速に連絡できるように、適切なレベルの AWS Support にサインアップすることをお勧めします。ワークロード用のすべての重要なソリューションプロバイダーに対して、同様の取り決めを検討してください。一部のセキュリティイベントについては、上場企業は該当イベントとその影響を関連する公的機関や規制当局に通知する義務があります。関連部門や担当者の連絡先情報を管理し、更新します。

実装手順

1. インシデント管理ソリューションを設定します。

   1. セキュリティツール用アカウントに Incident Manager をデプロイすることを検討してください。

2. インシデント管理ソリューションで連絡先を定義します。

   1. インシデントの発生時に連絡が取れるように、連絡先ごとに少なくとも 2 種類の連絡チャネル (SMS、電話、E メールなど) を定義します。

3. 対応計画を定義します。

   1. インシデント発生時の対応要員として最適な連絡先を特定します。個々の連絡先ではなく、対応担当者の役割に合わせたエスカレーション計画を定義します。インシデントの解決に直接関与していない場合でも、外部機関への情報提供を担当する可能性のある連絡先を含めておくことを検討してください。  

リソース

関連するベストプラクティス:

• OPS02-BP03 パフォーマンスに責任を持つ所有者が運用アクティビティに存在する

関連するドキュメント:

• AWS セキュリティインシデント対応ガイド

関連する例:

• AWS customer playbook framework

• Prepare for and respond to security incidents in your AWS environment

関連ツール:

• AWS Systems Manager Incident Manager

関連動画:

• Amazon's approach to security during development