インシデント対応支援
経験豊富なインシデントハンドリングにより速やかな事故対応
経験豊富な情報セキュリティ事故対応実績に基づくインシデントハンドリングによって、ランサムウェア、標的型攻撃、内部関係者による情報漏洩などの事故に速やかに対処します。
S&Jのインシデント対応支援の強み
インシデント対応が身近になってしまった背景
~テレワーク普及が企業へのリスクを高めた~
近年のサイバー攻撃は、企業等の情報を暗号化し金銭を要求する「ランサムウェア攻撃」や、セキュリティ対策に弱点がある中堅・中小企業にを踏み台にし取引先や関連企業の大企業に不正アクセスを行う「サプライチェーン攻撃」など、多種多様なものがあり極めて深刻な情勢が続いています。
また、コロナ禍によりテレワークを導入する企業が増えています。テレワークはコスト削減、営業効率の向上などのメリットがある一方、自宅の安全性の低いリモート環境では、端末のウイルス感染や情報漏えいといったリスクが伴います。
情報セキュリティ10大脅威 2024 (組織向けの脅威)
- 1位 ランサムウェアによる被害
- 2位 サプライチェーンの弱点を悪用した攻撃
- 3位 内部不正による情報漏えい等の被害
- 4位 標的型攻撃による機密情報の窃取
- 5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
- 6位 不注意による情報漏えい等の被害
- 7位 脆弱性対策情報の公開に伴う悪用増加
- 8位 ビジネスメール詐欺による金銭被害
- 9位 テレワーク等のニューノーマルな働き方を狙った攻撃
- 10位 犯罪のビジネス化(アンダーグラウンドサービス)
インシデント対応の実情
セキュリティインシデントが発生した際に、適切かつ迅速な対応ができない場合が多くあります。
その原因は、以下のようなポイントになります。
- インシデント対応で使える構成図などがなく、自社の環境を把握しきれていなかった
- 外部専門家と平時から連携してすぐ相談できる関係性構築(インシデント対応体制)ができていない
- インシデント発生の際に外部専門家にすぐ相談できる関係構築ができていないため、対応体制が不十分
- インシデントが多発しているため、外部専門家に相談しても断られてしまう
- インシデント対応ができる外部専門家が見つけられない(フォレンジックはインシデント対応の一部)
インシデント発生時は、被害状況を確認する調査だけでなく
お客様の事業に与える影響を最小限にするために、経営判断から事業復旧までを支援いたしますインシデントを火災に置き換えると、一般的なインシデント対応支援は、どこで火が起こって火災が発生したのか、「火災場所(PCやサーバ)」を「調査」「確認」します。
その調査報告が上がるまでには時間を要するため、その間も的確な解決方法がわからず、ビルは燃え続け、事業を継続することが困難な状態が続きます。
S&Jのインシデント対応支援は、お客様のことを第一に考えた以下のような対応支援を行います。
- 火災の被害を最小化するための優先順位や対処の適切な判断
- 火元だけでなく、火災全体(侵入経路や窃盗被害など)の迅速な調査
- 火災から最短での復旧
- やりすぎず不足しない再発防止
S&Jが提供するインシデント対応支援とは
被害の拡大防止・封じ込めを実施した上で、迅速に事業復旧するための支援を行います
- 経営判断
事業が継続できない部分を判断
- 事業継続
事業活動が完全に停止するのを防ぐ
- 事業復旧
重要業務からどうすれば復旧できるかを助言
- 原因調査
随時メールや定例会で調査状況の報告を行い、完了時に報告書を提出
- 暫定対処
被害拡大を防ぐために必要な対処の支援
- 事業再開判断
アドバイザが被害が出ない状況になったか判断しアドバイス
- 再発防止対策
インシデントが起きにくい環境整備
まず現状を把握して事業が継続できる部分を判断
原因を調査し、部分的に復旧できるところがないかを判断し最低限の業務をできる状態を作ります。そのため、事業が完全に停止してしまうことを防ぎます。
PC1台の調査だけではなくITネットワーク全体を見た判断
ログ調査やPCの調査だけでなく、お客様のITネットワークを総合的に調査し、定例会の開催によりお客様側の対応と課題を把握し、暫定対応や事業復旧、対外対応のアドバイスも行います。
3営業日以内を目標に一次報告を提出
一早く事業再開ができるよう3営業日以内を目標に、経験豊富なS&Jアナリストが不正な挙動や侵入経路を迅速かつ高度に分析を行い、被害範囲の特定やどういったリスクが発生していたのかを速報しています。
具体的なご支援内容
自社のみでのインシデント対応や、感染端末のフォレンジックだけのインシデント調査委託では、多くの場合発生したインシデントから自社のリスクを最小化することは困難です。弊社では緊急時に迅速に対応するインシデント対応・インシデント調査を行う支援だけでなく、インシデントが起きない環境作りやすぐに支援依頼ができる関係性の構築を行っております。
緊急時における対応
標的型攻撃や不正アクセスなどのサイバー攻撃や情報漏えいなどの被害が疑われる場合に、トリアージ、暫定対処、再発防止対策の策定などを支援いたします。
また、必要に応じて攻撃経路などを調査いたします。
マルウェア感染対応
- トリアージの支援
- ログ調査
- マルウェア解析
- 感染経路、感染範囲の特定
- 拡大防止策の立案
- ファストフォレンジック
- 感染拡大の鎮静化・残存感染パソコン有無の監視方法の立案
- 事業復旧判断の支援
- 再発防止策の支援緊急対応策の立案
Webインシデントへの対応
- 緊急対応策の立案
- サイトクローズの必要性の有無の検討
- 被害サーバや各種のログを分析し、被害の範囲の特定
- 緊急防御方法の検討(WAF、IPSシグネチャーのアドバイス)