防御・対策

インシデントレスポンス

Incident Response

定義

インシデントレスポンスとはセキュリティインシデント（マルウェア感染・情報漏洩・不正アクセスなど）が発生した際に被害を最小化し、迅速に事業を復旧するための対応プロセスです。NIST SP 800-61に基づく「準備→検知・分析→封じ込め→根絶→復旧→事後分析（Lessons Learned）」の6フェーズが業界標準として広く採用されています。IBMのレポートでは平均検出時間（MTTD）194日・封じ込め時間（MTTC）292日であり、早期発見が損害額（平均$4.88M）の大幅な削減につながります。インシデント前にプレイブック（対応手順書）・連絡先リスト（CSIRT・法執行機関・法律顧問・PR担当）・フォレンジクス体制を整備しておく「準備フェーズ」が最も重要な投資です。定期的なインシデント対応訓練（テーブルトップ演習・レッドチーム演習）を行うことで、実際の有事での混乱・判断ミスを大幅に減らせます。

詳細解説

IBMの調査によるとインシデントの平均検出時間（MTTD）は約194日、封じ込めまでの平均時間（MTTC）は292日です。早期検出が損害軽減の鍵であり、SIEMやEDRの整備が検出時間を大幅に短縮します。事前のプレイブック（対応手順書）整備と定期的な演習がインシデント発生時の混乱を防ぎます。

ポイント

準備フェーズ：プレイブック・連絡先リスト・バックアップを事前に整備しておく
検知・封じ込め：ネットワーク切断・アカウント無効化・スナップショット取得が初動
根絶・復旧：マルウェア除去・パッチ適用・バックアップからの復元
事後分析：根本原因分析（RCA）とプロセス改善（Lessons Learned）を必ず実施

よくある質問

インシデントレスポンスとは？

セキュリティインシデント（侵害・マルウェア感染など）が発生した際の対応プロセス。NIST SP 800-61に基づく「準備→検知→封じ込め→根絶→復旧→事後分析」の6フェーズが標準。

インシデントレスポンスについて詳しく知るには？

インシデントレスポンスのポイントは？

準備フェーズ：プレイブック・連絡先リスト・バックアップを事前に整備しておく検知・封じ込め：ネットワーク切断・アカウント無効化・スナップショット取得が初動根絶・復旧：マルウェア除去・パッチ適用・バックアップからの復元事後分析：根本原因分析（RCA）とプロセス改善（Lessons Learned）を必ず実施