Microsoft Online Services インシデント対応フェーズ 1 - 準備について

  • 3 分

インシデント対応の責任を負うチームがわかったので、インシデント対応プロセスの各フェーズについて説明します。

準備により、インシデントが発生したときに迅速な対応が可能になり、そもそもインシデントを防ぐことさえできます。 Microsoft は、セキュリティ インシデントの準備に重要なリソースを捧げています。

トレーニング

Microsoft で働く各従業員は、セキュリティ インシデント対応に関する役割に適したトレーニングを受ける必要があります。 初任者研修は、新しい従業員が Microsoft で仕事を開始したときに実施され、その後毎年更新研修が行われます。 この研修は、従業員が Microsoft の基本的なセキュリティ アプローチを理解できるように設計されています。 トレーニングが完了すると、すべての従業員は次のことができるようになります。

  • セキュリティ インシデントを定義します。
  • セキュリティ インシデントを報告する役割と責任を説明します。
  • セキュリティ対応チームがセキュリティ インシデントにどのように対応するかを説明します。
  • 潜在的なセキュリティ インシデントを適切なセキュリティ対応チームにエスカレートする方法。
  • プライバシー、特にお客様のプライバシーについての特別な懸念を明確にします。
  • セキュリティ、プライバシー、エスカレーションの連絡先に関する追加情報にアクセスします。

一般的なセキュリティ トレーニングに加えて、インシデント対応に関与する従業員は、補足の役割ベースのセキュリティ トレーニングを受けます。

オンコール エンジニア (OCEs) の維持

セキュリティ対応チームを含むすべてのサービス運用チームは、オンコール ローテーションを維持して、24 時間 365 日利用可能なリソースがあることを確認します。 待機ローテーションには、アカウンタビリティを確保するための可用性とエスカレーション ポイントのバックアップが含まれています。 OCEs とその通話時間は、インシデントが管理されている同じダッシュボード内のサービス チームごとに一元的に一覧表示されます。 Microsoft のオンコール ローテーションを使用すると、Microsoft は、広範なイベントや同時イベントを含め、いつでもまたは大規模に効果的なインシデント対応をマウントできます。

OCEs は、セキュリティで保護された管理ワークステーションを使用して運用環境にアクセスし、アクセスは時間制限され、インシデント対応に必要なタスクにスコープが設定されます。

ツールとリソース

Microsoft セキュリティ対応チームは、セキュリティ インシデント対応に関連するすべてのツールとリソースを管理する責任を負います。 これらには、適切な手順と潜在的な問題を迅速かつ安全にエスカレーションする方法を待機中のエンジニアにすばやく通知するように設計されたオンライン ヘルプ リソースが含まれます。 インシデント対応リソースには、セキュリティ対応チームがさまざまなセキュリティの問題や攻撃の種類に対処するのに役立つカスタム ツール、スクリプト、プロセスも含まれています。 OCEs は、インシデント対応ツールとリソースへのアクセス資格を維持するために、毎年のトレーニングを完了し、最新のバックグラウンド チェックを取得する必要があります。

インシデント対応テスト

Microsoft は、環境の変化と新しいセキュリティ上の脅威を考慮して、インシデント対応計画を定期的にテスト、レビュー、更新します。 インシデント対応テスト手法では、Red Team と呼ぶセキュリティ侵入テスト担当者の内部チームからのリアルタイムで予測不可能な攻撃が使用されます。 Red Team では、さまざまな手法を使用して、検出なしで Microsoft Online Services システムの侵害を試みます。 Red Team の取り組みは、実際の攻撃をシミュレートし、Microsoft のセキュリティ対応チームの機能をテストします。

内部侵入テストのコンテキストでは、Microsoft のセキュリティ対応チームは Blue Team と呼ばれます。 ブルー チームは、インシデント対応プロセスを使用して、あたかも本物のセキュリティ インシデントであるかのように、レッド チーム攻撃を検出して対応します。 お客様のデータが侵入テストの対象になることはありませんが、これらの演習は、新しい種類のセキュリティの脅威を検出、防止、対応するための Microsoft Online Services の準備を整えるのに役立ちます。

レッド チームとブルー チームの定義が記載された 2 つのボックスがあります。レッド チーム: 高度な敵対者による攻撃をシミュレートするために、検出されずに弊社製品サービスへの侵入を企てるサイバーセキュリティの専門家。ブルー チーム: 洗練されたセキュリティ ツールや技術を駆使して、レッド チームの企てを検知し防衛するサイバー ディフェンダー

Microsoft では、進行中の内部侵入テストに加えて、"フラグのキャプチャ" イベント、1 回限りのテーブルトップ 演習、その他の即席イベントや組織化されたイベントなど、さまざまなインシデント対応演習を実施しています。 これらの演習は、進行中の内部侵入テストを補足し、実際のセキュリティ インシデントが発生した場合にすべてのチームが責任を果たすための適切な準備を確実にします。

証拠の保護

インシデント対応中に収集されたデータは機密であることが多く、安全性を維持する必要があります。 Microsoft のセキュリティ対応チームは、インシデント関連のすべての通信とドキュメントに対して適切な暗号化と情報保護を確保する責任を負います。 これには、調査中に収集された法医学的証拠を保管するための安全な証拠ロッカーの使用が含まれます。 チームは、一連の保管過程を含む法医学的証拠を処理するための承認されたプロセスに従い、すべてのインシデント関連の証拠が安全で変更されないままであることを保証します。

詳細情報