SP 800-61とは
NIST SP 800-61 Rev.3「Incident Response Recommendations and Considerations for Cybersecurity Risk Management」(2024年公開)は、サイバーセキュリティインシデントへの対応に関する推奨事項を示したガイドラインです。Rev.2(2012年公開)を12年ぶりに改訂し、現代の脅威環境とクラウド中心のIT環境に対応した内容に刷新されました。
Rev.3の主な変更点
| 変更点 | 内容 |
|---|---|
| タイトル変更 | 「Computer Security Incident Handling Guide」→「Incident Response Recommendations and Considerations」に変更。「ガイド」から「推奨事項」へ |
| リスク管理との統合 | インシデント対応をサイバーセキュリティリスク管理(NIST CSF 2.0のRespond/Recover機能)と統合 |
| フェーズモデルの更新 | 従来の4フェーズ(準備→検知/分析→封じ込め/根絶/復旧→事後活動)から、より柔軟なアプローチに更新 |
| クラウド/SaaS対応 | クラウド環境でのインシデント対応(CSPとの責任分界、ログ取得)に関する推奨事項を追加 |
| 自動化の推奨 | SOAR(Security Orchestration, Automation and Response)等による対応の自動化を推奨 |
インシデント対応プロセス
Rev.3では、インシデント対応をCSF 2.0の6つの機能と統合して説明しています。
| CSF機能 | インシデント対応での活動 |
|---|---|
| Govern(統治) | インシデント対応ポリシーの策定、役割・権限の定義、リソースの確保 |
| Identify(特定) | 保護すべき資産の特定、脅威情報の収集、リスク評価 |
| Protect(防御) | 予防的管理策の実装(MFA、EDR、パッチ管理、バックアップ) |
| Detect(検知) | 異常の検知(SIEM、EDRアラート、ネットワーク監視)、トリアージ |
| Respond(対応) | 封じ込め(隔離)、根絶(マルウェア除去)、証拠保全、関係者への通知 |
| Recover(復旧) | システム復旧、業務再開、事後レビュー(ポストモーテム)、改善策の実施 |
外部との連携
- 法執行機関:サイバー犯罪の場合は警察(サイバー犯罪対策課)への通報
- JPCERT/CC:日本のCSIRTの全国組織。インシデント情報の共有と技術支援
- 個人情報保護委員会:個人データの漏洩時に報告義務(日本の個人情報保護法)
- クラウドサービス事業者:クラウド環境のインシデントではCSPとの協力が不可欠
まとめ
SP 800-61 Rev.3(2024年)は、インシデント対応をCSF 2.0のリスク管理フレームワークと統合し、クラウド環境への対応と自動化を推奨する最新版です。中小企業は対応計画の策定と年1回の演習から始めましょう。