ReliaQuestはこのほど、「3 Best Practices for Incident Response Teams - ReliaQuest」において、ホリデーシーズンに向けて増加が懸念されるサイバー犯罪に対抗するため、インシデント対応(IR: Incident Response)チームが実行すべきベストプラクティスを伝えた。
プロアクティブな計画を立案
まず、インシデント対応チームにはプロアクティブな計画立案が推奨される。新しくインシデント対応計画を作成するか、すでに作成された計画を再評価する。ReliaQuestはその際に次の項目を取り入れることを推奨している。
- インシデント対応時にチームが取り組むフェーズの内訳(参考:「(PDF) Computer Security Incident Handling Guide - NIST」)
- インシデント対応の各段階で求められる役割、責任、タスク
- チームを越えた広範囲での望ましいコミュニケーション方法
- インシデント対応後のレビューと、得られた教訓を今後に活用するための要件
資産のインベントリを作成
次に、資産のインベントリを作成する。この作業により、重要なデータがどこにホストされているか、どの程度保護されているか、ダウンタイムの許容されない場所はどこかなど、攻撃対象領域を知ることができる。資産のインベントリが完成したら、それら資産に優先順位をつける。優先順位をつけることにより、悪用された場合のリスクを理解することができ、軽減策や防御策の実装に役立てることができる。ReliaQuestは「ReliaQuest GreyMatter Security Operations Platform」の検出機能がリスク評価の強化に役立つとして、この作業における支援が可能としている。
「Top 9 Cybersecurity Metrics to Track」と照合して分析
最後に「Top 9 Cybersecurity Metrics to Track(追跡すべき9つのサイバーセキュリティ指標) in 2024 - ReliaQuest」と照合して分析する。この分析によってリスクを定義し、そのリスクが業務上許容できる範囲内か評価できるとしている。
企業のインシデント対応チームは通常、複数のインシデントを同時に管理し、顧客の要求に対応するという多くの業務を抱えている。サイバー犯罪者はホリデーシーズンに向けて攻撃を増加させる傾向にあるため、これからの季節、インシデント対応チームの業務は増加することが予想される。また、チームの一部が有給休暇を取ることで、残された人員への負荷が限界に達する可能性がある。このような状況に追い込まれる前に、インシデント対応チームは上記のベストプラクティスを活用し、業務効率改善に役立てることが望まれている。