インシデントレスポンス
インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。
読み方
- インシデントレスポンス
- いんしでんとれすぽんす
- Incident Response
- いんしでんとれすぽんす
目次
概要
コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」がインシデントレスポンスです。「事後の対応」の検討や確認のための「事前の対応」もインシデントレスポンスに含まれます。
インシデントはなぜ起きるのか
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 インシデントの原因には、どのようなものあるでしょうか?
コンピューターセキュリティインシデント
コンピューターのセキュリティインシデントとは、なんでしょうか?
セキュリティインシデントには、以下の事象があげられます。
インシデントに該当しないもの
以下は、インシデントに該当しない具体例です。
- スパムメールの配信
- ワンクリック詐欺
事象は、意図的な事象と偶発的な事象の両方を含みます。
セキュリティインシデントに気づいていないケースも
セキュリティインシデントに気づかないことが最大の問題です。 インシデントに気が付かなければ、対応できず、放置することになります。 その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。
インシデントレスポンスで重要なこと
- いかに素早くインシデントを発見できるか
- 適切に連絡し、調製できるか
- 迅速に応急処置ができるか
インシデントレスポンスは誰が行うのか
- CSIRT、 もしくは、専門のセキュリティチーム
- 主管部署
- 関係部門
インシデントレスポンスに必要なもの
組織の体制の整備が必要です。
- 対応手順
- 訓練
- セキュリティ対策チーム (CSIRT)
スタッフの資質が必要になります。
- 知識や技術
- 想定外の自体への対応能力
JPCERT/CCにおける分類
- ブルーブ、スキャン、不審なアクセス
- サーバープログラムの不正な中継
- 送信ヘッダの詐称した電子メールの配送
- システムへの親友
- サービス妨害攻撃につながる攻撃
- その他
インシデントレスポンスに備える
セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? 緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。
ポリシーの作成
組織にとっての「インシデント」とはなにか、を考えます。
- 守るべきものは、なにか?
- 優先すべきものは、なにか?
- 想定される影響は、なにか?
システムの設計時に考慮や整理しておく項目をまとめておきます。
- 提供するサービスは、どのようなものか?
- アクセス制御をどのように行うか?
- 認証は、どのようになされるか?
- 保守や管理体制
準備
- 緊急時の連絡体制
- 緊急時の手順
- ログの取得、保全、分析ツールの整備
- バックアップ体制
- 冗長化
- バックアップの作成
インシデントを発見する
- ログから分析する方法
- データの改ざんや破壊の検出する方法
インシデントから復旧するために
- 復旧作業の責任者を決めておく
- 作業記録の作成
- インシデントの発見のきっかけ
- インシデントの原因
- インシデントに対する作業内容
- 再発防止の内容
- 復旧作業の手順
- 状況の確認
- スナップショットの保存
- 影響範囲の特定
- 復旧にかかる時間やコストの見積もり
- 復旧見込み時刻の周知
- インシデントの原因の特定
- デジタルフォレンジック
復旧後の作業
- インシデントに関連している組織や顧客などへの連絡
- プレスリリース
- 所轄警察署への被害広告
関連項目
ツイート