役割と責任の定義
インシデント対応のスキルとメカニズムは、新しいイベントや大規模なイベントを処理する場合に最も重要です。これらのイベントは、チームが開発した書面による基準と、チームが実践してきたプラクティスに依存します。イベントがどのような展開を見せるかを完全に予測または体系化することはできないため、インスタンスメモリや診断ログの収集など、単純で反復的なタスクはオートメーションに任せ、人間は難しい決定を担当できます。不明瞭なセキュリティイベントに対処するには、組織横断的な規律、決然とした行動、結果をもたらす能力が必要です。組織構造内には、人事 (HR)、経営陣、法務の代表者など、インシデントの実行責任者、説明責任者、相談先、報告先の役割を果たす多くの人が必要です。これらの役割と責任、さらにサードパーティーを関与させるかどうかを検討します。多くの地域では、許可事項と禁止事項を規定する現地の法律があることに注意してください。インシデントの実行責任者、説明責任者、相談先、報告先 (RACI) のチャートを作成するのは官僚的に思えるかもしれませんが、そうすることで、迅速かつ直接的なコミュニケーションが可能になり、イベントの段階別にリーダーシップを明確に示すことができます。
信頼できるパートナーを調査や対応に関与させると、追加の専門知識や貴重な精査が得られます。これらのスキルが自社のチームにない場合は、外部の関係者を雇って支援を受けることができます。外部の関係者を雇う場合は、この関係者からチームメンバーがトレーニングを受けるようにします。これらの外部関係者が社内のデベロッパーやオペレーターと協力することで、チームメンバーのスキルを伸ばすことができ、新しい専門知識が将来の IR プログラムに価値をもたらす可能性があります。
インシデントの発生時には、影響を受けるアプリケーションやリソースの所有者やデベロッパーを含めることが重要です。これらの人々は、対象分野の専門家 (SME) であり、情報とコンテキストを提供できます。デベロッパーやアプリケーション所有者の専門知識をインシデント対応に利用する前に、これらの人々と練習を行い、関係を構築してください。アプリケーションの所有者や SME は、環境に慣れていない、予期せぬ複雑さがある、または対応者がアクセスできない状況で行動することを求められる場合があります。アプリケーションの SME は、IR チームと連携する練習を行って慣れる必要があります。
トレーニングの提供
依存関係を減らし、対応時間を短縮するには、セキュリティチームと対応者がクラウドサービスに関するトレーニングを受け、組織で使用している特定のクラウドプラットフォームの実践練習をする機会があることを確認します。このトレーニングの一部は、プロセスの最初に行うチーム作りとランブックの作成を通じて行うことができます。できるだけ多くの人々を最初のランブックを作成するステップに関与させることで、社内チームの理解を深めることができます。これらのチームが机上訓練でこれらのランブックに従うようになると、このトレーニングはより現実的になります。
AWS およびその他のサードパーティーは、お客様がダウンロードして利用できるオンラインセキュリティワークショップ (AWS セキュリティワークショップ
AWS では、デジタルトレーニング、クラスルームトレーニング、AWS パートナー、および認定を通じて、さまざまなトレーニングオプションとラーニングパスを提供しています。詳細については、「AWS トレーニングと認定
