🚨
概念 #セキュリティ #インシデントレスポンス #フォレンジック #SIEM #SOC #MITRE ATT&CK 📚 セキュリティ

インシデントレスポンス(Incident Response)

インシデントレスポンスとは

セキュリティインシデントを検知・封じ込め・根絶・復旧させ、再発を防止する一連のプロセス。

「侵害されない」ことを前提にしたセキュリティは失敗する。
Assume Breach(侵害を前提とする)の考え方のもと、**「侵害後にいかに素早く対応できるか」**が重要になる。

インシデントとイベントの違い

用語定義
イベント(Event)システム上で観察されるあらゆる事象(ログインログ・エラー等)
アラート(Alert)異常の可能性を示すイベント
インシデント(Incident)機密性・完全性・可用性に実際に影響を与えたか、その恐れが高い事象

すべてのアラートがインシデントではない。トリアージで分類することが SOC 運用の核心。

IR ライフサイクル(NIST SP 800-61r2)

NIST が定義する4フェーズのサイクル。インシデントは「発生したら終わり」ではなく、教訓を次の準備に活かす。

┌─────────────────────────────────────────────────────┐
│                                                     │
│  ①準備  →  ②検知・分析  →  ③封じ込め・根絶・復旧  │
│    ↑                                    │           │
│    └────────────④事後対応(教訓)────────┘           │
│                                                     │
└─────────────────────────────────────────────────────┘

Phase 1: 準備(Preparation)

インシデントが発生するに整備しておく体制・ツール・ドキュメント。

準備項目内容
インシデント対応計画(IRP)役割・連絡経路・意思決定プロセスを文書化
Playbook / Runbookインシデント種別ごとの対応手順書(マルウェア感染・データ漏洩等)
コミュニケーション計画経営層・法務・PR・当局への通知フロー
ジャンプバッグフォレンジック調査に必要なツールセット(USB/ラップトップ等)
演習(Tabletop Exercise)実際のインシデントを想定したシナリオ訓練
ログの整備SIEM・CloudTrail・EDR の有効化と保存期間の設定

Phase 2: 検知・分析(Detection & Analysis)

インシデントの検知経路

内部検知:
  - SIEM のアラート(相関ルール)
  - EDR(エンドポイント検知・対応)のアラート
  - SOC アナリストの調査
  - 社内ユーザーからの報告

外部検知:
  - 脅威インテリジェンスフィード(IOC のマッチ)
  - Bug Bounty 報告
  - CERT / 当局からの通知
  - 競合他社やメディアの報告

トリアージ

検知したアラートを優先度付けして対応順序を決める。

優先度基準対応時間目安
Critical機密データの漏洩・ランサムウェア・本番停止即時(15分以内)
High不審な権限昇格・ラテラルムーブメントの痕跡1時間以内
Mediumマルウェア感染(拡散なし)・異常なログイン4時間以内
Low設定ミス・軽微な不審アクティビティ翌営業日まで

初期調査の問い

インシデントを分析する際に答えるべき5W1H。

What:  何が起きたか?(攻撃の種類・影響を受けたシステム)
When:  いつ始まったか?(最初の侵害の痕跡=Patient Zero)
Where: どこで起きたか?(影響を受けたホスト・ネットワーク範囲)
Who:   誰がやったか?(脅威アクターの特定)
How:   どうやって侵入したか?(攻撃ベクター・TTPs)
Why:   目的は何か?(金銭目的・スパイ活動・妨害)

Phase 3: 封じ込め・根絶・復旧

封じ込め(Containment)

被害の拡大を止める。速度が最優先。

手法内容
ショートタームコンテインメント感染ホストをネットワークから即時切り離し
ロングタームコンテインメント攻撃者の痕跡を残しつつ、業務継続できる暫定措置
証拠保全フォレンジック調査のためにメモリダンプ・ディスクイメージを取得

注意: 即座にシステムをシャットダウンすると、メモリ上の証拠(プロセス・ネットワーク接続)が消える。
フォレンジックを優先する場合はネットワーク切断→メモリダンプの順で行う。

根絶(Eradication)

攻撃者の足がかりを完全に取り除く。

根絶チェックリスト:
  □ マルウェア・バックドアの削除
  □ 攻撃者が作成したアカウントの削除
  □ 侵害された認証情報のローテーション(全員分)
  □ 悪用された脆弱性のパッチ適用
  □ 攻撃者が変更した設定の復元
  □ C2(コマンド&コントロール)サーバーとの通信をFirewallでブロック

復旧(Recovery)

正常なシステムの状態に戻す。

  • バックアップからの復元(バックアップが侵害されていないことを確認後)
  • 段階的に本番復帰し、再侵害がないかを監視
  • 復帰後72時間は特に強化された監視体制を維持

Phase 4: 事後対応(Post-Incident Activity)

インシデントから学び、次の準備を強化する。

ポストモーテム(PIR: Post-Incident Review)

含めるべき内容:
  - タイムライン(何がいつ起きたかの時系列)
  - 根本原因(Root Cause)
  - 検知が遅れた理由
  - 対応でうまくいったこと・いかなかったこと
  - 再発防止策と担当者・期限

避けるべきこと:
  - 個人への責任追及(Blameless の原則)
  - 「誰が悪かったか」ではなく「何を改善するか」に集中

デジタルフォレンジックの基礎

証拠の揮発性順序(Order of Volatility)

揮発性の高い証拠から先に収集する。

1. CPUレジスタ・キャッシュ(最も揮発性が高い)
2. メモリ(RAM)
3. ネットワーク接続・ルーティングテーブル
4. 実行中のプロセス
5. ディスク(ファイルシステム)
6. ログファイル
7. バックアップ(最も揮発性が低い)

フォレンジックの4原則

原則内容
完全性証拠を改ざんしない(ライトブロッカー使用)
連鎖管理(CoC)証拠の取得から保管まで全員が署名で追跡
再現性同じ手順で同じ結果が得られる
記録すべての操作をタイムスタンプ付きで記録

SIEM(Security Information and Event Management)

複数のシステムからログを集約し、相関分析でインシデントを検知するプラットフォーム。

ログソース(多数)
  ├── Firewall ログ
  ├── EDR アラート
  ├── クラウド監査ログ(CloudTrail等)
  ├── アプリケーションログ
  └── 認証ログ(Active Directory等)

      SIEM(集約・正規化)

  相関ルール・機械学習による異常検知

  アラート → SOC アナリストがトリアージ

相関ルールの例

# 短時間に大量の認証失敗 → ブルートフォース攻撃
IF auth_failure.count > 50 WITHIN 5min FROM same_source_ip
THEN alert("Brute Force Detected", severity=HIGH)

# 業務時間外の管理者ログイン
IF login.user.role == "admin" AND login.time NOT IN business_hours
THEN alert("After-Hours Admin Login", severity=MEDIUM)

SOC(Security Operations Center)の構造

ティア役割
Tier 1(アナリスト)アラートのトリアージ・初期対応。Playbookに従って行動
Tier 2(インシデントレスポンダー)深掘り調査・フォレンジック・封じ込め
Tier 3(スレットハンター)能動的に未検知の脅威を探索(Threat Hunting)
Threat Intelligence脅威情報の収集・IOC/TTPs の管理

インシデントコミュニケーション

インシデント対応中のコミュニケーション設計も準備フェーズで決めておく。

内部コミュニケーション:
  - 専用の Incident Channel(Slackの #incident-YYYY-MM-DD 等)を立ち上げる
  - 対応ログを時系列で記録(Incident Commander が管理)

外部コミュニケーション:
  - 顧客への通知: 法的義務の確認(GDPR は72時間以内に当局通知)
  - 経営層・取締役会への報告
  - 当局(警察・JPCERT/CC等)への届け出
  - PR・メディア対応(情報開示タイミング)

参考文献

  • NIST SP 800-61r2『Computer Security Incident Handling Guide』(2012)— インシデントレスポンスの4フェーズを定義した公式ガイドライン
  • Richard Bejtlich『The Practice of Network Security Monitoring』(No Starch Press, 2013)— NSM と IR を実践的に解説
  • Jason Luttgens, Matthew Pepe, Kevin Mandia『Incident Response & Computer Forensics』(McGraw-Hill, 2014)— フォレンジックと IR の実務書
  • SANS Institute『Incident Handler’s Handbook』— SANS の IR プロセス定義(無料公開)
  • JPCERT/CC インシデントハンドリングマニュアル — 日本語で参照できる IR ガイド
📚 セキュリティ 10件
  1. 1. 🔒セキュリティ概要・学習ロードマップ
  2. 2. 🎯脅威モデリング(Threat Modeling)
  3. 3. 🏛️セキュリティ設計原則
  4. 4. 🕳️OWASP Top 10
  5. 5. 🔑認証・認可(Authentication & Authorization)
  6. 6. 🔐暗号の基礎(Cryptography)
  7. 7. 🌐ネットワークセキュリティ
  8. 8. ☁️クラウドセキュリティ
  9. 9. 🔄DevSecOps / Shift Left
  10. 10. 🚨インシデントレスポンス(Incident Response)

出典: NIST SP 800-61r2(Computer Security Incident Handling Guide)/ The Practice of Network Security Monitoring(Richard Bejtlich, 2013)/ Incident Response & Computer Forensics(Luttgens et al., 2014)/ SANS Incident Response Process