そのAlertは本当に重要なのか?

サイバー犯罪だらけの昨今、事故が起きてから慌てふためいて対応していては時間や労力がいくらあっても足りませんね。

NIST SP800-61はサイバーインシデントの対応方法を体系化したフレームワークで完結にまとめられた文書です。

このフレームワークで謳われているプロセスを紐解いて、他の事象にも応用できないか考えてみます。

先ずPreparation(準備)です。

これは説明不要ですね。何事も準備が大切です。

次はDetection & Analysis(発見と分析)です。ここが最も大切かと思っています。

特にサイバーセキュリティの世界では、脆弱性も攻撃手法も日々進化しているので昨日の事実は明日の嘘になることも多々あります。

Security Toolからひっきりなしに送られてくるAlertの中から重大なインシデントに繋がると思われるものだけをピックアップすることは至難の業です。

結果、重大なインシデントでも何でもないただの情報に振り回されてしまって、Security担当者は時間も労力も無駄に消費して疲弊してしまいます。

高精度なDetection&Analysisを行うサービスを利用して効率化すべきです。

次はContainment, Eradication & Recovery(封じ込めと根本治療)です。

サイバーインシデントも交通事故も同じで最優先すべきことは応急処置です。

侵入したMalwareを環境から根本的に取り除くことが最も望ましいことですが、これには時間がかかります。

感染したHostをネットワークから切り離す等、根本的な解決にはなっていなくても先に応急処置を行うべきです。

応急処置が完了して被害の甚大化を軽減できた後にMalwareの撤去にあたります。

最後はPost Incident Activity(事後の振り返り)です。

これも説明は不要です。何事もやりっ放しではなく振り返りと改善が重要ですね。

このフレームワークは営業にも応用できますね。

営業担当者が"案件発掘しました! 月額xx円規模の超大型案件です!"と言ってもそれが本当なのか嘘なのか誰も判断できません。

なるべく多くの人の目と高精度なSaaSサービスを利用して、本当にビジネスになる案件にだけ集中したいですね。