コンテンツにスキップ

インシデント管理リテイナーサービス ハンドブック🔗

はじめに🔗

Secureworksインシデント対応コンサルティング部門は、インシデント管理リテイナー契約のお客様向けに、緊急インシデント対応および事前対応サービスを提供する体制を整えています。インシデント管理リテイナー契約のお客様は、Secureworksコンサルティングサービスの全ポートフォリオにもアクセスできます。

本ドキュメントはRequest for Comments (RFC) 2350に基づいています。詳細はこちら(RFC 2350)をご参照ください。

通知用配布リスト🔗

本ドキュメントの最新版はオンラインで入手可能です。

更新や内容に関するご質問はirservices@secureworks.comまでご連絡ください。

連絡先情報🔗

チームの正式名称はSecureworksインシデント対応コンサルティングであり、Secureworks Incident Response、Secureworks IR、Secureworks IR Consultingという略称でも呼ばれます。

本セクションでは、世界各地のチームの連絡先情報および最適な連絡方法について記載しています。

住所🔗

グローバル本社/米国/アトランタオフィス 郵送先住所🔗

Secureworks/IR Consulting
1 Concourse Pkwy NE #500
Atlanta, GA 30328

英国/ロンドンオフィス 郵送先住所🔗

Secureworks/IR Consulting
One Creechurch Place
1 Creechurch Ln
London EC3A 5AY, United Kingdom

英国/エディンバラオフィス 郵送先住所🔗

Secureworks/IR Consulting
1 Tanfield
Edinburgh EH3 5DA, United Kingdom

日本/東京オフィス 郵送先住所🔗

Secureworks/IR Consulting
Solid Square East Tower 20F
580 Horikawa-cho, Saiwai-ku
Kawasaki, 212-8589

オーストラリア/シドニーオフィス 郵送先住所🔗

Secureworks/IR Consulting
Building 3, 14 Aquatic Drive
Frenchs Forest, Sydney
NSW, Australia 2086

タイムゾーン🔗

Secureworksインシデント対応は、技術的・非技術的な緊急インシデント対応活動において、協定世界時(UTC)およびUTCオフセットを活用しています。UTCの詳細についてはこちらをご参照ください。

グローバル本社/米国/アトランタオフィス タイムゾーン情報🔗

UTC-5, UTC-4。アトランタのタイムゾーン情報をご参照ください。

英国/ロンドンオフィス タイムゾーン情報🔗

UTC+0, UTC+1。ロンドンのタイムゾーン情報をご参照ください。

英国/エディンバラオフィス タイムゾーン情報🔗

UTC+0, UTC+1。エディンバラのタイムゾーン情報をご参照ください。

日本/東京オフィス タイムゾーン情報🔗

UTC+9。東京のタイムゾーン情報をご参照ください。

オーストラリア/シドニーオフィス タイムゾーン情報🔗

UTC+10, UTC+11。シドニーのタイムゾーン情報をご参照ください。

インシデント対応ホットライン番号🔗

Secureworksインシデント対応ホットライン(英語)へのお問い合わせは、こちらをご参照ください。

Secureworksインシデント対応ホットライン(日本語)へのお問い合わせは、こちらをご参照ください。

追加のSecureworksインシデント対応ホットライン案内については、こちらのリンクをご参照ください。

電子メールアドレス🔗

irservices@secureworks.comは、通常の営業時間(米国東部標準時/グリニッジ標準時の月曜から金曜 09:00-17:00、祝日を除く)に勤務しているSecureworksインシデント対応担当者にメールを転送します。

米国東部標準時/グリニッジ標準時の営業時間外にSecureworksインシデント対応への連絡を希望される場合は、インシデント対応ホットラインにお電話ください。

お客様連絡窓口セクションで指定された連絡方法にご注意ください。

セキュアな通信🔗

Secureworksインシデント対応は、デフォルトで暗号化されたメールサービスを利用し、外部関係者と機密情報をメールでやり取りします。

Secureworksインシデント対応が利用する暗号化メールサービスやその他のセキュアな通信手段についての詳細は、ご要望やサービス提供時にご案内いたします。

チームメンバー🔗

Secureworksインシデント対応チームのメンバーに関する追加情報は、サービス提供時にご案内いたします。

その他の情報🔗

Secureworksインシデント対応サービスの詳細は、Secureworksインシデント対応サービスWebサイトをご参照ください。

お客様連絡窓口🔗

緊急インシデント対応サービスについては、迅速な対応が必要な場合、Secureworksインシデント対応ホットラインへのお電話が主な連絡方法となります。

各サービス地域の電話番号は、前述のインシデント対応ホットライン番号セクションをご参照のうえ、24時間365日いつでもSecureworksインシデント対応ホットラインに初回連絡が可能です。

Secureworksインシデント対応担当者は、ホットライン担当者から通知を受け、お客様と連携して無償のスコーピングコールを実施します。状況の性質と範囲を評価後、推奨される対応方針および必要に応じて請求対象となる工数見積もりをSecureworksインシデント対応担当者よりご案内します。

事前対応サービスや緊急性の低いご要望については、Secureworksのチケットシステムを利用してコールバック依頼や情報提供依頼を提出できます。

Secureworksチケットシステムの案内はこちらをご参照ください。

事前対応サービスや緊急性の低いご要望については、irservices@secureworks.com宛にメールを送信することでコールバック依頼や情報提供依頼を提出できます。緊急のご連絡はメールでエスカレーションしないでください。

すべてのコミュニケーションは英語または日本語で行われます。

メールはフィルタリングや遅延の影響を受けやすい不完全な通信手段であるため、期待した返信がない場合は、サービス提供地域のインシデント対応ホットラインにお電話でフォローアップしてください。

可能な限り、サービスリクエスト報告フォームセクションに記載の情報をご提供ください。

憲章🔗

ミッションステートメント🔗

Secureworksインシデント対応の主なミッションは、サイバーセキュリティ緊急事態のリスク軽減のため、サービスレベル合意(SLA)を締結したお客様にインシデント対応サービスを提供することです。Secureworksインシデント管理リテイナーサービスには、緊急インシデント対応サポートおよびサイバーセキュリティ体制検証サービスが含まれており、サイバーセキュリティ緊急事態のリスクと影響を低減します。

加えて、Secureworksインシデント対応は、サイバーセキュリティ緊急事態への備えや対応に関して、ベストエフォートでのサポートを提供する場合があります。

対象顧客🔗

Secureworksインシデント対応の対象顧客は以下の通りです。

  • Secureworksインシデント管理リテイナー契約のお客様
  • Secureworksにオンデマンドの事前対応サービスまたは緊急インシデント対応サービスを依頼するグローバル組織

提携🔗

さまざまな民間、商業、政府系のセキュリティ情報共有組織と提携しています。

Secureworksインシデント対応は、以下の組織から認定・認可を受けています。

  • SecureworksはFIRST(Forum of Incident Response and Security Teams)のメンバーです。詳細はSecureworks FIRSTチームプロファイルをご参照ください。
  • Secureworksは英国National Cyber Security Centre(NCSC)よりCyber Incident Response(CIR)スキームプロバイダーとして認定されています。詳細はSecureworks CIRプロファイルをご参照ください。
  • Secureworksは米国National Security Agency/Central Security Services(NSA/CSS)より、NSA/IAD National Security Cyber Assistance Program(NSCAP)に基づくCyber Incident Response Assistance(CIRA)プロバイダーとして認定されています。詳細はNSA/CSS NSCAP CIRA認定企業をご参照ください。

権限🔗

Secureworksインシデント対応は、お客様との契約およびサービスリクエストに基づき、インシデント管理リテイナーサービスを提供します。

運用モデル🔗

インシデントの種類とサポートレベル🔗

Secureworksは、情報システムやデータに影響を及ぼすサイバーセキュリティ緊急事態に対して、緊急インシデント対応サービスを提供しています。

お客様の組織で以下のようなサイバーセキュリティ緊急事態が発生し、緊急の支援が必要な場合は、Secureworksインシデント対応までご連絡ください(以下は一例です)。

  • 業務妨害攻撃— ネットワーク、システム、アプリケーションの正常な機能を妨害または阻害するために、リソースを無効化または破壊する攻撃。
  • 不正アクセス— 個人または組織が許可なくネットワーク、システム、アプリケーション、データ、その他リソースに論理的アクセスを得た場合。
  • 不正なコード— オペレーティングシステムまたはアプリケーションに不正なソフトウェアがインストールされ、感染した場合。
  • 不適切/不正な利用— 利用者が組織の許容されるコンピュータ利用ポリシーに違反した場合。
  • 情報の喪失— 不正アクセス、不正なコード、不適切/不正な利用によって発生した情報の重大な損失(原因や範囲が不明な場合を含む)。

Secureworksインシデント管理リテイナーでは、お客様が契約期間中の任意の時点で、必要に応じて適切なサービスコンポーネント、優先度、対応方針を指定できます。

Secureworksの担当者は、以下の優先順位(降順)に従って割り当てられます。

  • インシデント管理リテイナー契約のお客様向けの緊急インシデント対応サポート
  • インシデント管理リテイナー契約のお客様向けの事前インシデント対応サポート
  • Secureworksインシデント対応およびコンサルティングサービスにオンデマンドで緊急インシデント対応または事前対応サービスを依頼するその他の組織

Secureworksインシデント対応とのすべてのやり取りは、顧客担当者からURGENTまたはEMERGENCYとして明示的に伝えられない限り、通常優先度として扱われます。

協力・連携・情報開示🔗

Secureworksインシデント対応は、情報共有トラフィックライトプロトコル(TLP)の利用をサポートしています。WHITE、GREEN、AMBER、REDのタグが付与された情報は、適切に取り扱われます。TLPの詳細はFIRST TLPガイダンスをご参照ください。

すべての受信情報は、優先度にかかわらずSecureworksインシデント対応が機密として取り扱います。

機密情報を含まない通常のコミュニケーションには、暗号化されていないメールや電話などの従来の手段を使用します。

機密性の高い状況を報告する場合は、その旨を明示的に(例:メールの件名にSENSITIVEと記載)し、可能であれば暗号化もご利用ください。

インシデント情報の「知る必要がある」範囲への限定および情報漏洩防止のため、機密状況について誰が話す権限を持つかをSecureworksインシデント対応担当者にご指示ください。

Secureworksインシデント対応は、各コンサルティング案件ごとにコードネームを割り当て、案件の性質を秘匿します。

コミュニケーションと認証🔗

セキュアな通信セクションをご参照ください。機密情報が関与するすべてのケースで暗号化の利用を強く推奨します。組織のメッセージング基盤が侵害された疑いがある場合は、アウトオブバンドの通信チャネルの利用を強く推奨します。

サービス🔗

Secureworksインシデント管理リテイナーは、インシデント対応およびサイバーセキュリティ体制検証のさまざまなシナリオやニーズに対応する幅広いサービスを提供しています。追加のサービス情報は、その他の情報セクションに記載のSecureworksウェブサイトをご参照ください。

サービス条件やサービス内容の詳細については、お客様のインシデント管理リテイナーサービス契約書をご参照ください。

Secureworksインシデント管理リテイナーサービス説明書のコピーは、こちらのリンクをご参照ください。

サービスリクエスト報告フォーム🔗

Secureworksインシデント対応がサービスリクエストを受領後、担当者がご連絡し、ご相談内容についてヒアリングを行います。お客様は、影響範囲、既知のイベントのタイムライン、実施済みの対応などについて、Secureworksインシデント対応とのスコーピングプロセスにご協力ください。

お客様連絡窓口セクションで指定された通信手段を用いて、以下の情報をご提供ください。

サービスリクエストのチケットまたはメールの件名は、以下の通りとしてください。 Incident Management Request Service Request: <組織名>

サービスチケットの説明欄またはメール本文には、以下の情報もご記載ください。

  • 組織名:
  • 影響を受けた組織拠点(都市/州/国を含めて記載してください):
  • 担当者氏名:
  • 担当者主電話番号:
  • 担当者副電話番号:
  • 担当者メールアドレス:
  • リテイナーサービスの種別(事前対応サービス、緊急インシデント対応サービス):
  • リクエスト内容(緊急インシデント対応の場合は、脅威インジケーター、現在の状況[発生中、封じ込め済み、将来的な脅威]、業務への影響情報を含めてください):
  • リクエストの緊急度(緊急/非緊急):
  • スコーピングコール希望日時(現地タイムゾーンで日付と時間を指定してください):

Secureworksチケットシステム案内については、こちらのリンクをご参照ください。