「一時停止を決断しやすいシステム」が被害拡大を防ぐ ガートナーが企業のインシデント対応について提言：企業が押さえておくべき3つの重要事項とは

ガートナージャパンは、インシデントレスポンスの強化に向けて企業が押さえておくべき3つの重要事項を発表した。脅威が複雑化する中、個別の問題に対処するだけでは問題の本質が見えないため、「全体を俯瞰する視点が重要だ」としている。

[＠IT]

　ガートナージャパンは2023年7月20日、インシデントレスポンスの強化に向けて企業が押えておくべき3つの重要事項を発表した。

全体俯瞰による検知、止めやすいシステム、そして復旧支援サービス

　ランサムウェア感染などによるセキュリティ被害はとどまるところを知らない。だが、ガートナージャパンによると「自社のインシデント対応（インシデントレスポンス）に対しては漠然とした不安を抱えている企業が多く見られる」という。

　同社が2023年2月に実施した調査によると、56％の企業がCSIRT（Computer Security Incident Response Team）を設置していたが、そのうち67％が「迅速なインシデント対応に自信がない」と回答した。

CSIRTの設置状況とインシデント対応の“自信”について（提供：ガートナージャパン）

　こうした中、企業はインシデントとどのように向き合うべきか。ガートナージャパンの矢野 薫氏（シニアディレクターアナリスト）は「早く探し出し、早く閉じ込め、早く元に戻すことが重要だ」と指摘している。

全体を俯瞰し、インシデントを予見する

　ガートナージャパンは「セキュリティの脅威が複雑化する中、個別の領域で発生した単体のアラートだけを見ていても、それが示す本当の意味までは捉えられなくなっている。インシデントの早期発見に必要なのは、全体俯瞰による新しい視座だ」と指摘している。

　矢野氏は「事象に対処するのではなく、事象により引き起こされる結果について積極的予見の姿勢を持つことが、セキュリティにおけるレジリエンスを追求する上での第一歩となる」と述べている。

「一時停止」を決断しやすい仕組みにする

　インシデントレスポンスでは、セキュリティ脅威を自社のシステム環境から隔離することも重要だ。その際、経営に求められるのは「システムの一時停止を決断すること」だ。矢野氏は「コンティンジェンシプラン（代替案）が十分に整備されている場合は、インシデントの原因が不確定の場面でも、脅威の隔離とそれに伴うシステムの一時停止といった難しい決断に対処しやすくなる」と述べている。

外部の支援サービスを活用して素早く復旧する

　ガートナージャパンによると、国内企業が活用している外部のSOC（Security Operation Center）サービスの多くが、インシデントの「検知」のフェーズを対象にしているという。その場合、外部の支援が必要なインシデントへの「対応」と「復旧」のフェーズは、思うようにカバーされないことになる。

　矢野氏は、「大規模なサプライチェーンの一部を構成している企業や、クリティカルな社会基盤を提供しているような企業の場合は、身近にある従来型サービスに固執せず、対応と復旧のフェーズにおける支援内容が具体的にコミットされているサービスを検討することが肝要だ」と述べている。