【Bisight解説】侵害後に求められるレジリエンス：サイバーインシデント後の6つの対応ステップ｜ブログ(サイバー領域)

この記事はBitsightのブログを日本語に翻訳したものです。

原題：Resilience After the Breach: 6 Cyber Incident Response Best Practices
https://www.bitsight.com/blog/6-cyber-security-incident-response-best-practices

概要

Bitsightの調査部門であるTRACEが発表した「2025 State of the Underground（アンダーグラウンド動向レポート）」によると、2024年のランサムウェア活動はさらに拡大を続けました。
漏えいサイトに掲載された被害組織の数は前年比25%増、またランサムウェアグループが運営する漏えいサイトの数は53%増となっています。さらに、アンダーグラウンドフォーラム上で共有されたデータ侵害の件数も43%増加し、そのうち約5件に1件は米国企業が被害者でした。

これらの結果は、サイバー攻撃の活動が依然として増加傾向にあることを明確に示しています。
防御体制が堅牢な組織であっても、侵害を完全に防ぐことは難しいのが現実です。
しかし、レジリエンス（回復力）の高い組織と、対応に苦慮する組織とを分けるのは「攻撃の有無」ではなく、「攻撃を受けた後の対応力」です。

Bitsightの脅威インテリジェンスによれば、体系的な事後対応プロセスを採用している組織は、回復が早く、業務やブランドへのダメージを最小限に抑え、再侵害の可能性も低い傾向があります。
本記事では、サイバーインシデント発生直後に企業が取るべき主要なステップを解説します。

フィッシング ― 攻撃者が最も多く利用する「入口」

いまもなお、フィッシングは攻撃者が最も多く利用する侵入経路です。
実行が容易で、検知が難しく、従業員の油断を突く手法であるため、あらゆる組織にとって重大な脅威となっています。
では、どのように防御すればよいのでしょうか。

特に有効なアプローチは、次の2つです。

従業員教育
まず、従業員教育は認識を高めることから始まります。フィッシングメールの特徴を学び、疑わしいメッセージを報告する文化を根づかせることで、攻撃の成功率を大幅に下げることができます。
ブランド保護
ブランド保護は、攻撃の発信源そのものに対処するアプローチです。攻撃者が利用する偽のランディングページやログインポータル、悪意のあるウェブサイト、SNS上のなりすましアカウントなどを特定し、削除することで被害を防ぎます。

攻撃者が企業ブランドを悪用し、信頼できる存在を装うことは珍しくありません。その結果、ユーザーが個人情報（Personally Identifiable Information / PII）や認証情報、さらには金銭までも渡してしまうケースが後を絶ちません。
こうした偽サイトやなりすましアカウントを継続的に監視し、速やかに削除するブランド保護の取り組みは、フィッシング対策の中でも極めて重要です。それは社内の従業員を守るだけでなく、顧客、ビジネスパートナー、そして企業の評判そのものを守ることにもつながります。

Bitsightによるフィッシング対策支援

Bitsightは、単に脅威を「検知」するだけではありません。フィッシングの脅威を可視化の範囲から完全に排除し、実際のリスクとして存在しない状態へと導くことを目指しています。
その中核となるのが、Bitsightの「Brand Intelligenceモジュール」です。このモジュールを利用することで、企業は自社ブランドを狙った悪意あるコンテンツを自動的に検出・削除する自動テイクダウンサービスを活用できます。

この仕組みがどのように違いを生み出しているのか、主なポイントは次のとおりです。

スピードが命
フィッシング攻撃の平均的な存続期間はわずか6時間。迅速な対応が極めて重要です。
迅速な遮断
検出から24時間以内に73%以上の攻撃サイトが無効化されています。
圧倒的な実績
これまでに2,500万件以上の自動テイクダウンを成功させています。
グローバルな対応力
地理的な制約を受けず、中国やロシアなど対応が難しい地域でも成果を上げています。
SNS上でも高い成功率
主要ソーシャルメディアにおける平均成功率は85%以上を達成しています。

これらの取り組みにより、Bitsightは偽のログインページ、なりすましドメイン、悪意あるSNSアカウントなどを迅速に削除します。
被害が発生する前にフィッシング攻撃を封じ、組織とブランドを信頼するすべての人々を守ります。

サイバーインシデント対応における6つのベストプラクティス

もし攻撃を受けてしまった場合、どのように対応し、そこから何を学ぶべきでしょうか。
ここでは、Bitsightが推奨する6つの実践ステップを紹介します。

Step 1：封じ込めと駆除

最優先すべきは、被害の拡大を防ぐことです。

封じ込め
影響を受けたシステムを隔離し、攻撃者の横展開を防ぎます。すでに侵入が広がっている場合は、ネットワーク全体を分割（例：財務系 vs 人事系）したり、侵害されたアカウントを無効化、C2通信のブロック、永続化の仕掛けを調査する必要があります。
駆除
マルウェアを除去し、侵害アカウントをリセットまたは削除、脆弱性を修正します。

Step 2：フォレンジック調査と原因分析

侵入の経路を特定することは、再発防止のために不可欠です。

初期侵入経路を特定（例：フィッシング、脆弱なサービス、認証情報の窃取など）
攻撃者のTTP（Tactic, Technique, Procedure / 戦術・技術・手順）をMITRE ATT&CKにマッピングし、防御ギャップを把握
ログやシステムイメージなど、フォレンジック証拠を保全

Step 3：コミュニケーションと通知

明確かつ迅速な情報共有は、混乱や評判リスクを最小限に抑える鍵です。

社内対応：経営層・従業員間での認識を統一
外部対応：規制・契約上の報告義務（例：SEC、GDPRなど）を遵守
顧客対応：透明性のある情報提供で信頼を維持

Step 4：復旧と事業継続

安全を確認した上で、業務を再開することが求められます。

検証済みのクリーンバックアップからシステムを復元
ビジネスクリティカルなサービスを優先的に再稼働
再侵入や永続化の試みを継続的に監視

Step 5：振り返りと防御強化

すべてのインシデントは、組織を強くする機会です。

インシデント対応の成果と課題（うまくいった点、うまくいかなかった点、対応が遅れた点など）の振り返り
実際の攻撃手法に基づき、プレイブックや検知ルールを更新
業界水準と比較し、自社の回復スピードを評価

Step 6：継続的な監視と脅威ハンティング

インシデントを封じ込めても、リスクは完全には消えません。

不審なログイン、C2通信、再侵入の兆候を継続的に監視
永続化の仕掛けを積極的にハンティング
ダークウェブ上での盗難データ流通を脅威インテリジェンスで追跡

脅威アクターのマッピングと追跡

攻撃者の行動を既知の脅威グループと照合・マッピングすることは、インシデントをより深く理解するうえで非常に重要です。
この分析によって、攻撃の背景や目的を把握し、適切なリスク対応方針を導くことができます。

技術的な視点
観測されたTTP（戦術・技術・手順）を、MITRE ATT&CKの脅威グループやランサムウェア集団と照らし合わせます。
たとえば、横展開におけるCobalt Strikeの使用（Lateral Tool Transfer, T1570、攻撃ツールの横展開）、二重恐喝型ランサムウェア（Data Encrypted for Impact, T1486、業務停止を目的としたデータ暗号化）、そしてリークサイトへの情報公開といった手法は、ClopやMedusaなどのランサムウェアグループが採用している戦術と一致します。
こうしたマッピングは、攻撃者の特定や戦術パターンの理解に大きく役立ちます。
経営的な視点
経営層の観点では、今回の侵入が無差別的なサイバー犯罪なのか、金銭目的の犯罪グループによるものなのか、あるいは国家主導の活動に関連している可能性があるのかを見極めることが重要です。
この文脈を明確にすることで、経営判断に基づくリスク評価と意思決定をより適切に行うことができます。

事例：金融サービス業における侵害

ある中規模の金融サービス企業が、未修正のVPN脆弱性を攻撃者に悪用され、ランサムウェア攻撃を受けました。

技術的な視点
攻撃者は、公開アプリケーションの脆弱性を悪用（Exploit Public-Facing Application, T1190、公開アプリの脆弱性悪用）して侵入し、認証情報のダンプリング（OS Credential Dumping, T1003.001、メモリから認証情報を抽出）により権限を昇格させ、ランサムウェアを展開（Data Encrypted for Impact / Ransomware, T1486、業務停止を目的としたデータ暗号化）しました。
東西トラフィック（内部ネットワーク内の通信）の監視が限定的だったため、封じ込め対応が遅れたことが被害拡大の一因となりました。
非技術的な視点
社内コミュニケーションが統一されておらず、経営層には明確な対応フレームワークが存在しませんでした。
その結果、顧客へのデータ保全に関する情報提供が遅れる事態となりました。

Bitsightが支援する「レジリエンス強化」への具体的アプローチ

技術チーム向け

Bitsightの「Continuous Monitoring（継続的モニタリング）」は、攻撃者に悪用される前に、保護のVPNや設定不備のクラウドインフラなど、公開されたサービスの脆弱性を検出します。
インシデント発生後も、Bisightのプラットフォームが残存するエクスポージャー（露出）やリスクの高い設定を検知し、チームが迅速に脆弱性を解消し、再発を防止できるよう支援します。

経営層・取締役会向け

Bitsightは、複雑な技術データを理解しやすいサイバーリスクレーティングとして可視化します。
これらのレーティングに加え、業界ベンチマークを活用することで、経営層は自社のリスク状況の全体像を把握し、復旧の進捗を追跡するとともに、セキュリティ投資や優先順位付けの判断をより正確に行うことができます。

企業全体に対して

Bitsightの「Brand Intelligenceモジュール」は、フィッシングやブランドなりすましへの先回り防御を提供します。自動テイクダウンサービスにより、偽のウェブサイト、ログインページ、悪意あるSNSアカウントを迅速に削除します。これにより、企業ブランド、顧客、そして評判をグローバルに保護します。

サイバーインシデントへの対応

サイバー攻撃は、システムの復旧が完了した時点で終わるものではありません。真のレジリエンスが問われるのは、組織がどれだけ学び、適応できるかという点にあります。セキュリティ運用に体系的な事後対応プロセスを組み込むことで、企業は防御力を強化し、再発のリスクを減らし、長期的なレジリエンスを築くことができます。

Bitsightの脅威インテリジェンスによれば、最もレジリエントな組織とは、インシデントを完全に回避する組織ではなく、発生したインシデントを有効なインテリジェンスへと変換できる組織です。
得られた教訓こそが、セキュリティ態勢を向上させるための重要な要素となります。

Bisightとは

Bitsightは、自社から海外子会社、取引先までを含むサプライチェーン全体のサイバーリスクを可視化・管理するプラットフォームです。
250〜900点のレーティングスコアで、組織の「攻撃されやすさ」を直感的に把握でき、経営層の意思決定にも活用できます。

詳しくは、こちらのページをご覧ください。

Bitsight

この記事をシェア

【Bisight解説】侵害後に求められるレジリエンス：サイバーインシデント後の6つの対応ステップ

概要