準備項目の概要 - AWS Security Incident Response ユーザーガイド

準備項目の概要

タイムリーで効果的なインシデント対応には、セキュリティイベントに対応するための入念な準備が不可欠です。インシデント対応の準備には、人員、プロセス、テクノロジーが関わります。準備を進める上で、これら 3 つのドメインはすべて等しく重要です。3 つのドメインすべてに関して、インシデント対応プログラムを準備し、進化させる必要があります。

表 2 は、このセクションで詳述する準備項目をまとめたものです。

表 2 – インシデント対応準備項目

ドメイン 準備項目 アクション項目
人員 役割と責任を定義します。
  • 関連するインシデント対応ステークホルダーを特定します。

  • インシデントの責任、説明責任、情報提供、相談 (RACI) チャートを作成します。

人員 AWS に関してインシデント対応スタッフをトレーニングします。
  • AWS の基礎についてインシデント対応ステークホルダーをトレーニングします。

  • AWS のセキュリティサービスおよびモニタリングサービスについてインシデント対応ステークホルダーをトレーニングします。

  • AWS 環境とその設計方法についてインシデント対応ステークホルダーをトレーニングします。

人員 AWS サポートオプションを理解します。
  • AWS サポート、カスタマーインシデント対応チーム (CIRT)、DDoS 対応チーム (DRT)、および AMS の違いを理解します。

  • 必要に応じて、セキュリティイベントの発生中に CIRT に問い合わせるための優先順位付けとエスカレーションパスを理解します。

プロセス インシデント対応計画を作成します。
  • インシデント対応プログラムと戦略を定義する概要文書を作成します。

  • RACI、コミュニケーション計画、インシデント定義、およびインシデント対応のフェーズをインシデント対応計画に記載します。

プロセス アーキテクチャ図を文書化し、一元化します。
  • アカウント構造、サービス使用状況、IAM パターン、およびその他の AWS 設定のコア機能全体について、AWS 環境の設定を詳しく文書化します。

  • クラウドアーキテクチャのアーキテクチャ図を作成します。

プロセス 独自のインシデント対応プレイブックを作成します。
  • プレイブックの構造用テンプレートを作成します。

  • 予想されるセキュリティイベントのプレイブックを作成します。

  • GuardDuty の検出結果など、既知のセキュリティアラートのプレイブックを作成します。

プロセス 定期的なシミュレーションを実行します。
  • インシデントシミュレーションを定期的に実行する頻度を設定します。

  • 得られた結果と教訓を活用して、インシデント対応プログラムを反復的に実行します。

テクノロジー AWS アカウント構造を作成します。
  • アカウント構造で、ワークロードを AWS アカウントごとに分離する方法を計画します。

  • セキュリティツールとログアーカイブアカウントを使用してセキュリティ OU を作成します。

  • 運用するリージョンごとにフォレンジックアカウントを使用してフォレンジック OU を作成します。

テクノロジー 対応者が検出結果の所有者とコンテキストを特定するのに役立つタグ付け戦略を開発し、実装します。
  • タグ付け戦略と、AWS リソースに関連付けるタグの計画を立てます。

  • タグ付け戦略を実装して適用します。

テクノロジー AWS アカウントの連絡先情報を更新します。
  • AWS アカウントに連絡先情報がリストされていることを確認します。

  • 連絡先情報のメール配信リストを作成して、単一障害点を排除します。

  • AWS アカウント情報に関連付けられているメールアカウントを保護します。

テクノロジー AWS アカウントへのアクセス権を準備します。
  • インシデントに対応するために、インシデント対応者がどのようなアクセス権を必要とするかを定義します。

  • アクセス権を実装、テスト、監視します。

テクノロジー 脅威の状況を理解します。
  • 環境とアプリケーションの脅威モデルを開発します。

  • サイバー脅威インテリジェンスを統合し、利用します。

テクノロジー ログを選択し、設定します。
  • 調査のためのログを特定し、有効にします。

  • ログストレージを選択します。

  • ログの保持を特定して実装します。

  • ログとアーティファクトを取得およびクエリするためのメカニズムを開発します。

  • ログを使用してアラートを設定します。

テクノロジー フォレンジック機能を開発します。
  • フォレンジック収集に必要なアーティファクトを特定します。

  • 主要なシステムのバックアップをキャプチャして保護します。

  • 特定されたログとアーティファクトを分析するメカニズムを定義します。

  • フォレンジック分析の自動化を実装します。

インシデント対応の準備には、反復的なアプローチが推奨されます。これらの準備項目をすべて一晩で行うことはできません。小さく始めて、時間の経過に伴ってインシデント対応能力を継続的に改善するように計画を立てる必要があります。