クラウドレスポンスの設計目標 - セキュリティの柱

クラウドレスポンスの設計目標

ただし、NIST SP 800-61 Computer Security Incident Handling Guide などで定義されているインシデント対応の一般的なプロセスと メカニズムは、引き続き正しいものですが、クラウド環境におけるセキュリティインシデントへの対応に関連する、以下の具体的な設計目標を評価することをお勧めします。

  • 対応目標の確立: ステークホルダー、法律顧問、組織のリーダーと協力してインシデント対応の目標を決定します。一般的な目標としては、問題の抑制と軽減、影響を受けるリソースの復旧、フォレンジックのためのデータの保持、帰属などがあります。

  • ドキュメントプラン: インシデントへの応答、インシデント時の伝達、インシデントからの復旧に役立つ計画を作成します。

  • クラウドを使用して応答する: イベントとデータが発生する応答パターンを実装します。

  • 持っているものと必要なものを知る: ログ、スナップショット、その他の証拠を、一元化されたセキュリティクラウドアカウントにコピーして保持します。管理ポリシーを適用するタグ、メタデータ、メカニズムを使用します。例えば、Linux dd コマンドまたは Windows の同等コマンドの使用を選択して、調査目的でデータの完全なコピーを作成することもできます。

  • 再デプロイメカニズムを使用する: セキュリティの異常が設定ミスに起因する場合は、適切な設定でリソースを再デプロイして差異を取り除くだけで解決できる場合があります。可能であれば、レスポンスメカニズムを安全にして、未知の状態の環境でも複数回実行できるようにしてください。

  • 可能な場合は自動化する: 問題やインシデントが繰り返し発生することが確認された場合、プログラムによってトリアージを行い、一般的な状況に応答するメカニズムを構築します。ユニークで新しく、機密性の高いインシデントには、手動よる応答を使用します。

  • スケーラブルなソリューションを選択する: クラウドコンピューティングに対する組織のアプローチのスケーラビリティに合わせて、検出と応答の間の時間を短縮するように取り組みます。

  • プロセスを学び、改善する: プロセス、ツール、人材のギャップを見つけたら、それらを修正する計画を実装します。シミュレーションはギャップを見つけてプロセスを改善する安全な方法です。

AWS では、インシデント対応の処理に際して、いくつかのアプローチを使用できます。以下のセクションでは、こうしたアプローチの使用方法を説明します。

  • クラウドテクノロジーと その利用方法について、セキュリティオペレーションやインシデント応答の担当者を教育します。

  • 準備 を行って、インシデント応答チームがクラウド上のインシデントを検知して応答できるようにし、検知機能を有効にし、必要なツールやクラウドサービスへの適切なアクセスを確保します。さらに、信頼性の高い一貫した応答を保証するために、手動と自動の両方で必要なランブックを準備します。他のチームと協力して、予想される基本的なオペレーションを確立しておけば、その知識を使って通常のオペレーションからの逸脱を特定できます。

  • シミュレーション をクラウド環境内で予想されるセキュリティイベントと予想外のセキュリティイベントの両方に適用して、準備の効果を把握します。

  • イテレーション をシミュレーションの結果に対して適用し、反応姿勢の規模を改善し、価値を生み出すまでの時間を短縮し、リスクをさらに軽減できます。