セミナーテキスト

  1. トップページ
  2. セミナー資料
  3. セミナーテキスト
  4. 第27章. サイバー攻撃を含む様々な事態に対する総合的な対応計画
  5. 27-2. NIST CSF 2.0 Respond (RS) 機能に基づく対応基準

27-2. NIST CSF 2.0 Respond (RS) 機能に基づく対応基準

Respond (RS) 機能は、検知されたサイバーセキュリティインシデントに対して行動を起こし、その影響を封じ込める能力を支援します。

27-2-1. インシデント管理体制の確立(RS.IM)

関連項目
5-2-3、15-2-5

 

インシデント発生時の混乱を最小限に抑え、組織的な対応を可能にするために、初動対応のプロトコルと役割分担を明確に定義しなければなりません。ハンドブックの「情報セキュリティインシデント対応」は、この体制を組織的に構築するための基準です。

 

検知後の対応フローは、ハンドブックの「事案発生→課題の抽出→再発防止策の実施までの流れ」に基づき具体化されます。初動対応では、検知後、速やかに情報セキュリティ責任者へ報告し、被害の拡大を防ぐための措置(封じ込め)を迅速に行う必要があります。

図107. 検知後の対応フロー

 

中小企業がRS.IMを効果的に実施するためには、役割分担・外部連携・訓練・改善の4点を重点として体制を整備することが重要です。
● 経営層、IT担当者、現場担当者それぞれの役割を明文化する。
● 報告と判断の流れを文書化する。
● 外部支援先(IPA、JPCERT/CC、セキュリティベンダー等)との連携を平時から整備する。
● 年1回程度の訓練(机上演習)を実施し手順の有効性を検証、改善に反映する。
● 事後レビューを行い、得られた知見を手順や教育に反映し継続的な改善を図る。
 

これらの取組を継続することで、RS.IMは単なる対応手順の整備にとどまらず、組織の危機対応力を高める実践的な仕組みとなります。

 

詳細理解のため参考となる文献(参考文献)
NIST Cybersecurity Framework (CSF) 2.0(2024年版) https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf
IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」 https://www.ipa.go.jp/security/guide/sme/about.html
IPA「中小企業のためのセキュリティインシデント対応の手引き」 https://www.ipa.go.jp/security/sme/ps6vr7000001buco-att/ps6vr7000001bucx.pdf
JPCERT/CC「インシデント対応依頼フォーム」 https://www.jpcert.or.jp/form/

27-2-2. インシデントの分析と軽減策(RS.AN, RS.MI)

関連項目
5-2-3、5-3-3、18-2-13

 

インシデント対応の初期段階で最も重要となるのは、原因究明と影響範囲の特定、そして攻撃者が残した痕跡(証拠)の保全です。この分析能力(RS.AN)を担保するためには、システムにおけるログ(記録)の存在が不可欠となります。技術的対策における「ロギング」は、分析能力を支える前提要件であり、事後分析(フォレンジック調査)の成功に不可欠な証拠を保護するために、ログの長期保存と保護を確実に行う必要があります。

 

軽減策(Mitigation, RS.MI)の実行は、被害の拡大を防ぐために決定的な役割を果たします。ランサムウェア攻撃などに対する軽減策として示された、VPN接続への多要素認証(MFA)実装や、重要なサーバーへの接続をジャンプサーバー経由に制限するといった技術的対策は、攻撃者の侵入経路や横展開を断ち切る上で、サイバーレジリエンス能力に直結する重要な基準となります。

 

中小企業がRS.ANおよびRS.MIを実践的に運用するためには、「記録」「封じ込め」「改善」の3段階を明確に整備することが重要です。RS.ANとRS.MIは単なる事後対応の手順ではなく、組織全体のサイバーレジリエンス強化プロセスとして機能します。

 

詳細理解のため参考となる文献(参考文献)
NIST Cybersecurity Framework (CSF) 2.0(2024年版) https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf
IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」 https://www.ipa.go.jp/security/guide/sme/about.html
IPA「中小企業のためのセキュリティインシデント対応の手引き」 https://www.ipa.go.jp/security/sme/ps6vr7000001buco-att/ps6vr7000001bucx.pdf
JPCERT/CC「インシデント対応依頼フォーム」 https://www.jpcert.or.jp/form/

 

27-1. サイバーレジリエンスのライフサイクルと対応計画の策定
目次に戻る
27-3. NIST CSF 2.0 Recover (RC) 機能に基づく復旧基準
目次に戻る