災難が教えてくれることがあるとすれば、それは将来的に悪い状況に陥らないようにする方法です。そう思いませんか? しかし、インシデントレスポンスに関しては、ほとんどの組織がポストインシデント(インシデント後)レビュー(PIR)を実施していないか、実施しても効果がない傾向にあると、NVIDIAのインシデントレスポンス担当のFaranak Firozan氏は述べています。

　ISC2 Security Congress 2020(*1)にて、Faranak氏は PIR の構成要素と目標について発表しました。彼女は、セキュリティインシデントの原因、その影響、セキュリティ態勢を強化するために組織が学ぶことができる教訓を判断する上で、PIR の重要性を強調しました。

　PIRは、識別、改善、将来にわたっての防御という3つの主要な目的を達成します。どのような脆弱性がインシデントを引き起こしたのか、誰が何の影響を受けたのか、そしてインシデントへの対応について学んだことなどは、非常に貴重なものです。組織のセキュリティ姿勢を強化するための手がかりを提供してくれます。

　Firozan氏は、レビューを成功させるためには、セキュリティやインシデント対応を担当するチームだけでなく、経営陣の協力、明確な最終目標、関連するすべてのステークホルダーの参加などの要素が必要であると述べています。これらの要素がなければ、組織は何がインシデントの原因なのか、あるいはインシデントを防止するためにどのようなツール、ポリシー、およびプラクティスを導入すべきかを理解することができない可能性があります。

メトリクス

　Firozan氏によると、PIRに欠かせないのはメトリクスを収集する能力であり、それをレビューして追跡することで改善につなげることができるとしています。組織は、必要なリソースを割り当てるために、メトリクスを追跡し、それらのメトリクスをわかりやすい言葉で会社の経営陣に伝えるためのプラットフォームを導入する必要があります。

　メトリクスは、どの部署やネットワークコンポーネントがセキュリティ問題に苦しんでいるかを明らかにし、適切なコントロールを実施できるようにするそうです。例えば、データを見れば、数ヶ月間に発生したインシデントのほとんどが、ネットワークデバイス群から追跡可能であることがわかるかもしれません。あるいは、会計、財務、人事、DevOpsなどの特定の部門が特定のタイプのインシデントの原因になることもあります。このような知識がなければ、不可能ではないにしても、改善することは困難です。

　Firozan氏は、すべてのインシデントがPIRを必要とするわけではないとしています。インシデントの複雑さ、新規性、重大性などの要因に基づいて、レビューからどのような価値が期待できるかを判断する必要があります。しかし、PIR チームがレビューを行うことを決定した場合は、ステークホルダーの頭の中に新鮮な詳細情報があるうちに行った方が、有意義な決定に必要な情報を収集することができます。

*1:https://securitycongress.brighttalk.live/

原文記事: https://blog.isc2.org/isc2_blog/2020/11/isc2congress-post-incident-reviews-as-prevention-.html