CSAジャパン(日本クラウドセキュリティアライアンス)は6月3日、クラウド環境におけるインシデント・レスポンスのためのフレームワークをまとめた「クラウドインシデントレスポンス(CIR)フレームワーク」の日本語版を公開した。
同フレームワークは、クラウド環境におけるセキュリティ保護を推進する非営利法人「Cloud Security Alliance (CSA)」が5月4日に発表した「Cloud Incident Response(CIR)Framework」をCSAジャパンが翻訳したもの。全7章・38ページで構成され、クラウド環境におけるインシデントへの備えから、インシデントが発生した際の影響分析、封じ込め、根絶、復旧、そして事後処理や演習までの指針が明示されている。
悪質化し巧妙化するサイバー攻撃には予防的な措置だけでは対処しきれない。むしろサイバー攻撃を受け情報漏洩が発生する可能性を見越した対応が必要というのは、今や一般的な考え方である。
ただし、クライアント環境におけるインシデント・レスポンス・システムには、オンプレミスのインシデント・レスポンス・システムとは異なる「いくつかの重要な側面」があると、CSAは「Cloud Incident Response(CIR)Framework」の解説で指摘する。それは特に、ガバナンス、責任の共有、可視性の分野という。
「クラウドインシデントレスポンス(CIR)フレームワーク」では、組織のセキュリティ要件を評価し、適切なレベルのインシデント対応措置を選択する方法が説明されている。また、クラウドベンダーとの交渉方法やニーズに合わせたセキュリティ機能の選択、セキュリティに関する責任分担の解説もある。
「クラウドインシデントレスポンス(CIR)フレームワーク」の目次は以下のとおり。
1. はじめに
本書の目的
対象読者
2. 規範となる文献
3. 定義
4. CIRの概要
ガバナンス
責任共有
サービスプロバイダーの多様性
可視性
5. CIRフレームワーク
5.1 フェーズ1:準備とそれにともなうレビュー
5.1.1 文書化
5.2 フェーズ2:検知と分析
5.2.1 発生源
5.2.2 影響を特定するためのインシデント分析
5.2.3 証拠収集と取り扱い
5.3 フェーズ3:封じ込め、根絶、復旧
5.3.1 封じ込め計画の選択
5.3.2 根絶と復旧
5.4 フェーズ4:事後分析
5.4.1 インシデント評価
5.4.2 インシデントクロージングレポート
5.4.3 インシデント証拠の保管期間
6. 調整と情報共有
6.1 調整
6.1.1 関係者間の調整
6.1.2 契約と報告要件の共有
6.2 情報共有のテクニック
6.3 適切な情報共有
6.3.1 ビジネスインパクトに関する情報
6.3.2 技術情報
6.3.3 CSPダッシュボード
6.4 机上演習とインシデントシミュレーション
7. サマリー
・CSAジャパン「クラウドインシデントレスポンス(CIR)フレームワーク」日本語版
・CSA「Cloud Incident Response Framework」(原本、英語)
・CSAジャパン
[i Magazine・IS magazine]
