SEC10-BP04 セキュリティインシデント対応プレイブックを作成し、テストする
インシデント対応プロセスを準備する上で重要なのは、プレイブックを作成することです。インシデント対応プレイブックには、セキュリティイベントが発生したときに従うべき一連の規範的なガイダンスと手順が記載されています。明確な体制と手順があると、対応が簡単になり、人為的ミスの可能性が低くなります。
このベストプラクティスを活用しない場合のリスクレベル: 中
実装のガイダンス
プレイブックは、次のようなインシデントシナリオ向けに作成する必要があります。
-
予想されるインシデント: プレイブックは、予測されるインシデントに合わせて作成する必要があります。これには、サービス拒否 (DoS)、ランサムウェア、認証情報の漏えいなどの脅威が含まれます。
-
既知のセキュリティ上の検出結果またはアラート: プレイブックは、既知のセキュリティ上の検出結果とアラート (GuardDuty の検出結果など) に基づいて作成する必要があります。GuardDuty の検出結果を受け取っても、どうすればよいかわからないといったことがあるかもしれません。 そこで、GuardDuty の検出結果を誤って処理したり無視したりすることがないように、GuardDuty で検出される可能性のある問題ごとにプレイブックを作成しておきます。修正に関する詳細とガイダンスについては、 GuardDuty ドキュメントを参照してください。なお、GuardDuty はデフォルトでは有効になっておらず、コストがかかりますので注意してください。GuardDuty の詳細については、 「Appendix A: Cloud capability definitions - Visibility and alerting」を参照してください。
プレイブックには、起こりうるセキュリティインシデントを適切に調査して対応するために、セキュリティアナリストが実行すべき技術的な手順を記載する必要があります。
実装手順
プレイブックに記載すべき項目には次のようなものがあります。
-
プレイブックの概要: このプレイブックがどのようなリスクやインシデントシナリオに対応しているか。 このプレイブックの目的は何か。
-
前提条件: このインシデントシナリオには、どのようなログ、検出メカニズム、自動ツールが必要か。 どのような通知が想定されるか。
-
コミュニケーションとエスカレーションに関する情報: 関与している人員およびその連絡先情報。 各利害関係者の責任は何か。
-
対応ステップ: インシデント対応の各フェーズで、どのような戦術的措置を講じるべきか。 アナリストはどのようなクエリを実行すべきか。 望ましい結果を得るためにどのようなコードを実行すべきか。
-
検知: インシデントはどのように検出されるか。
-
分析: 影響範囲はどのように特定されるか。
-
封じ込め: 影響範囲を限定するために、インシデントをどのように隔離するか。
-
根絶: どのようにして脅威を環境から取り除くか。
-
復旧: 影響を受けたシステムやリソースをどのようにして本番環境に戻すか。
-
-
期待される結果: クエリとコードが実行された後、プレイブックで想定される結果はどのようなものか。
リソース
関連する Well-Architected のベストプラクティス
関連するドキュメント:
