米 CISA がリリースした Playbook:脆弱性とインシデントへの対応を明示

CISA Releases Incident and Vulnerability Response Playbooks

2021/11/17 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、バイデン大統領が5月に署名した大統領令を受けて、インシデント対応と脆弱性対応に焦点を当てた2つの Cyber Security Playbook を公開した。国家のサイバー・セキュリティを向上させる大統領令により、CISA に与えられた役割は、民間機関が脆弱性対応やインシデント対応を計画/実施する際に役立つ、プレイブックを開発することになっていた。

このプレイブックは、連邦政府機関と請負業者向けに作成されたものだが、CISA によると、重要インフラ組織や民間企業にも有用な情報だとのことだ。具体的には、各機関のシステム/データ/ネットワークに影響を与えるインシデントや脆弱性を特定し、調整/修復/回復させ、緩和策を追跡するための、標準的な手順を提供することを目的としている。

インシデント対応プレイブックは、横方向への移動/データの流出/複数のユーザーやシステムを巻き込んだネットワーク侵入/アカウントの侵害などの、深刻な結果をもたらす可能性のある悪質なサイバー活動が確認された場合に、各機関がとるべき手順を網羅している。

インシデント対応計画の第一段階は、準備のためのステップとされている。インシデント対応の方針と手順の文書化や、疑わしい活動や悪意の活動を検知するためのシステムの導入、人員配置計画の策定、サイバー脅威と通知手順に関するユーザーの教育、潜在的な悪意の活動を積極的に特定するための脅威インテリジェンスの活用などが含まれる。

検知/分析段階では、CISA および IT 部門リーダーへの報告や、インシデントの宣言、調査範囲の決定、データの収集/保存、技術的分析などを行うことなどが必要となる。

封じ込めの段階では、影響を受けるシステムやネットワーク・セグメントの隔離や、法的根拠としてのフォレンジック画像の撮影、ファイアウォールのフィルタリング更新、不正なアクセスのブロック、ポートや関連するサーバーやサービスの停止、パスワードの変更、暗号鍵のローテーションなどが必要となる。また、熟練した機能を持つ高度な SOC の場合には、脅威アクターの活動に対する監視も必要となる。

撲滅と回復の段階では、侵害された IT システムの修復や、影響を受けたシステムの再マップ化、ハードウェアの再構築、侵害されたファイルの置き換え、パッチのインストール、パスワードのリセット、封じ込め活動に対する攻撃者の反応の兆候の確認、システムのネットワークへの再接続、周辺のセキュリティの強化、システムのテスト、異常な動作の監視などが含まれる。

インシデント後の活動としては、インシデントの文書化や、リーダーへの通知、今後のインシデントを防ぐための対策、今後のインシデント対応活動の改善などが挙げられている。

脆弱性対応プレイブックで説明されるのは、緊急性/優先度の高い脆弱性に対応する際に、従うべきハイレベルなプロセスである。この文書で説明される脆弱性対応プロセスへの準備としては、識別/評価/修復/報告活動などが挙げられている。

推奨事項として挙げられているのは、効果的な脆弱性管理手法が遵守されていることの確認や、積極的に悪用されている脆弱性に対する積極的な確認、環境内に存在する脆弱性の把握と影響に関する判断、脆弱性なパッチの適用、脆弱性の緩和、CISA との情報の共有および他組織への支援などとなる。

文中にもある大統領令については、6月14日に「米大統領令 2021:クラウドとゼロトラストとサプライチェーン」という記事をポストしていますが、そこで参照されている原文は Executive Order on Improving the Nation’s Cybersecurity となります。また、訳文に関しては、まるちゃんの情報セキュリティ気まぐれ日記が参考になります。とても助かりますね 🙂 なお、11月15日の「米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名」も、関連する情報だと思います。

%d bloggers like this: