ー トリアージ :影響度分析 ー
はじめに
インシデントハンドリングにおける「影響度分析(Impact Analysis)」は、検知されたインシデントが業務や情報資産に与える影響を多角的に評 価し、次のトリアージ フェーズで実施する対応優先度の判断に必要な材料 を得るためのプロセスです。本稿では、このプロセスにおいて実施すべき評価項目や分析手法について整理します。
図1 影響度分析フェーズの位置付け
まず、ISMS に基づく管理策の指針として広く活用されているISO/IEC 27002:2022の中から、本稿で取り上げる「影響度分析」に特に関連が深いと思われる「5.25 情報セキュリティイベントのアセスメントと決定(Assessment and decision on information security events)」について確認しておきます。
ISO/IEC 27002:2022 5.25 Assessment and decision on information security events から引用 セキュリティインシデント に分類するか否かを決定することが望ましい。
本管理策では、検知された情報セキュリティインシデント を正確に評価・分類し、その重要度や影響度に応じて適切な優先順位を決定することが求められています。これにより、セキュリティリスクを効率的に管理し、被害の拡大を未然に防止することが可能となります。「対応すべきか否か」「どういう順番で対応すべきか」 を迅速かつ適切に判断する必要があります。これらの判断はトリアージ 影響度分析 が不可欠です。影響度分析の結果が、トリアージ における合理的かつ戦略的な意思決定を支える基盤となります。
リスク・フレーミング やスレット・フレーミング による事前準備
MITRE ATT&CKによるTTPs(戦術・技術・手順)の分析
CISA プレイブックにおける一連の問い(アタックベクター 、脆弱性 、永続化手法など)被害範囲、脆弱性 悪用状況、事業への影響、情報資産の損失、復旧の容易性などの具体的評価指標
上記を踏まえ、ナレッジベースやSIEMによる相関分析の活用、過去の事例・アセット情報との照合、さらに攻撃者の戦術・技術・手順(TTPs)を明確に整理・記録することで、効果的なトリアージ とその後のフェーズに役立つ情報が得られます。
具体的な実施例
ここでは、影響度分析フェーズにおいて実施すべき具体的な内容について考えます。影響度は時間の経過や対応の進展によって変化するため、インシデント対応の各段階で継続的に見直すことが必要です。そのためには、柔軟かつ継続的な情報収集体制とレビュー体制の整備・維持が求められます。フレームワーク を活用することで、攻撃者の戦術・技術・手順(TTPs)を把握し、被害拡大の恐れや今後のリスクを予測する手がかりとなります。CISA のインシデント対応プレイブックでは、攻撃の構造を理解するため、次のような観点で調査することが推奨されています:
初期アクセス手段(アタックベクター )は何か?
敵対者はどのように環境へアクセスし、どの脆弱性 を悪用しているか?
コマンド&コントロール や永続化はどのように行われているか?
侵害されたアカウントの特性(権限レベルなど)は?
偵察、ラテラルムーブメント、データの外部持ち出しが行われたか?それはどのような手段で?
1.影響を受けた範囲の特定
インシデントによる影響が及んだ範囲を正確に特定することは、影響度分析の基盤となる作業です。影響対象には、ネットワークセグメント、個別デバイス 、ユーザーアカウント、さらには業務プロセス全体が含まれる可能性があります。特に、制御系システムや基幹業務システムが関与している場合には、事業継続性への影響も含めて慎重に評価する必要があります。
2.脆弱性 および悪用状況の確認
インシデントに関連する既知または未知の脆弱性 が存在し、それらが実際に悪用された形跡の有無を調査します。特に、攻撃者がどのような方法で脆弱性 を突いて侵入や拡大を試みたかを把握することは、影響範囲の評価や封じ込め策の検討において重要です。ペイロード の展開*1 というような兆候が認められる場合は、直ちに封じ込めなどの対応が必要です。
3.情報資産への影響
攻撃によって組織の情報資産が受けた影響を評価します。影響の評価は、情報セキュリティの3要素(機密性、完全性、可用性)に基づいて行い、それぞれの観点でどのような損害が発生したのかを整理します。定量 的に評価します。たとえば、サービス停止件数や顧客対応の遅延による影響人数などを参考指標とします。
4.情報の損失・流出の有無
インシデントに伴い、情報が暗号化、削除、あるいは外部に持ち出された可能性の有無を調査します。特にランサムウェア などによりファイルが暗号化されている場合や、明らかな削除・改ざんの痕跡が見られる場合は、損失の有無および範囲の特定が優先事項となります。フォレンジック ツールを活用して、流出の有無と範囲をより正確に把握し、損失規模を見積もります。
5.復旧可能性と所要時間の見積もり
インシデントにより被害を受けたシステムやサービスについて、復旧の可否とその所要時間を見積もります。バックアップの有無や整合性、冗長構成の状況などを確認し、回復可能性の有無を確認します。トリアージ フェーズにおける優先順位決定のための材料として提供します。
6.経営層・関係部門との連携
分析結果に基づく重要な判断を行う際には、経営層や関係部門との緊密な連携が不可欠です。特に、法的対応や公表の要否、外部ステークホルダー への説明責任が伴うケースでは、適切な合意形成と判断の透明性が求められます。トリアージ フェーズで行いますが、本フェーズで得られた分析結果は、経営判断 に資する形態で、定性的および定量 的に整理し、報告することが望まれます。
7.分析精度と運用基盤の確保
影響度を客観的かつ一貫して評価するために、事前に評価基準(例:「高」「中」「低」)を定義し、関係者間で共有しておくことも有効です。例えば、業務停止時間、影響を受けたユーザー数、データの機密性などに基づいて分類基準を定めておくことで、評価結果のばらつきを抑えることができます。
blg8.hatenablog.com
さらに、本フェーズにおいては、分析に必要なインプットと、得られたアウトプットの整理も重要です。主なインプットとしては、SIEMログ、資産管理台帳、脅威インテリジェンス、ユーザー行動記録などがあり、これらを元に生成される評価結果(例:影響範囲マトリクスや被害サマリ)は、経営判断 や封じ込め計画の立案において活用されます。
まとめ
本稿では、インシデントハンドリングにおける「影響度分析」フェーズについて、その目的、実施すべき具体的な内容、および実務上の考慮事項について考えてみました。定量 的に評価するものであり、その評価結果は後続のトリアージ (優先順位決定)に向けた重要な判断材料として活用されます。限られたリソースの中で、どのインシデントから優先的に対応すべきかを判断するためには、影響度分析で得られた情報が不可欠です。影響範囲、損失の有無、復旧難易度などを多角的に評価することにより、次フェーズであるトリアージ において、より戦略的かつ合理的な優先順位判断を行うための基礎データを提供することが可能になります。トリアージ においては、本稿で整理した評価観点をもとに、組織としての判断基準に照らして優先順位を定め、迅速かつ適切な対応に結びつけることが求められます。影響度分析とトリアージ は連続したプロセスであり、前者の質が後者の妥当性を大きく左右します。
参考資料
本稿は、以下のガイドライン を参考にしています。より詳細な情報を得たい方や、正確性を重視される方は、以下の一次資料をご参照ください。
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
NIST SP 800-61 Revision 2: Computer Security Incident Handling Guide
NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response
NIST SP 800-184: Guide for Cybersecurity Event Recovery
CISA : Cybersecurity Incident & Vulnerability Response Playbooks Nov. 2021FIRST Computer Security Incident Response Team (CSIRT) Services Framework v2.1
脚注
