「インシデントレスポンス」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。 '''読み方'...」)
 
 
(同じ利用者による、間の1版が非表示)
行9: 行9:
 
コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。
 
コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。
  
 +
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」が[[インシデントレスポンス]]です。「事後の対応」の検討や確認のための「事前の対応」も[[インシデントレスポンス]]に含まれます。
 +
== インシデントはなぜ起きるのか ==
 +
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。
 +
インシデントの原因には、どのようなものあるでしょうか?
 +
* 設計ミス
 +
* コーディングミス
 +
* 設定の不備
 +
* 未知の[[脆弱性]]([[ゼロデイ]])
 +
* パッチの当て忘れ
 
==  コンピューターセキュリティインシデント ==
 
==  コンピューターセキュリティインシデント ==
 
 
コンピューターのセキュリティインシデントとは、なんでしょうか?
 
コンピューターのセキュリティインシデントとは、なんでしょうか?
  
 
セキュリティインシデントには、以下の事象があげられます。
 
セキュリティインシデントには、以下の事象があげられます。
 
* リソースの不正な使用
 
* リソースの不正な使用
 +
** [[不正アクセス]]
 +
** [[脆弱性]]
 +
** アカウントの乗っ取り/なりすまし
 
* サービスの妨害行為
 
* サービスの妨害行為
 +
** [[DDoS攻撃]]
 
* データの破壊
 
* データの破壊
 
* 意図しない情報の開示
 
* 意図しない情報の開示
 +
** [[情報漏えい]]
 +
* [[フィッシング]]
 +
=== インシデントに該当しないもの ===
 +
以下は、インシデントに該当しない具体例です。
 +
* スパムメールの配信
 +
* ワンクリック詐欺
  
 
事象は、意図的な事象と偶発的な事象の両方を含みます。
 
事象は、意図的な事象と偶発的な事象の両方を含みます。
 +
== セキュリティインシデントに気づいていないケースも ==
 +
セキュリティインシデントに気づかないことが最大の問題です。
 +
インシデントに気が付かなければ、対応できず、放置することになります。
 +
その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。
 +
== インシデントレスポンスで重要なこと ==
 +
* いかに素早くインシデントを発見できるか
 +
* 適切に連絡し、調製できるか
 +
* 迅速に応急処置ができるか
 +
== インシデントレスポンスは誰が行うのか ==
 +
* CSIRT、 もしくは、専門のセキュリティチーム
 +
* 主管部署
 +
* 関係部門
 +
== インシデントレスポンスに必要なもの ==
 +
組織の体制の整備が必要です。
 +
* 対応手順
 +
* 訓練
 +
* セキュリティ対策チーム (CSIRT)
 +
 +
スタッフの資質が必要になります。
 +
* 知識や技術
 +
* 想定外の自体への対応能力
  
 
== JPCERT/CCにおける分類 ==
 
== JPCERT/CCにおける分類 ==
行32: 行71:
 
セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか?
 
セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか?
 
緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。
 
緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。
 +
=== ポリシーの作成 ===
 +
組織にとっての「インシデント」とはなにか、を考えます。
 +
* 守るべきものは、なにか?
 +
* 優先すべきものは、なにか?
 +
* 想定される影響は、なにか?
  
 +
システムの設計時に考慮や整理しておく項目をまとめておきます。
 +
* 提供するサービスは、どのようなものか?
 +
* アクセス制御をどのように行うか?
 +
* [[認証]]は、どのようになされるか?
 +
* 保守や管理体制
 +
=== 準備 ===
 
* 緊急時の連絡体制
 
* 緊急時の連絡体制
 
* 緊急時の手順
 
* 緊急時の手順
 
+
* ログの取得、保全、分析ツールの整備
 +
* バックアップ体制
 +
** [[冗長化]]
 +
** バックアップの作成
 +
=== インシデントを発見する ===
 +
* ログから分析する方法
 +
* データの改ざんや破壊の検出する方法
 +
=== インシデントから復旧するために ===
 +
* 復旧作業の責任者を決めておく
 +
* 作業記録の作成
 +
** インシデントの発見のきっかけ
 +
** インシデントの原因
 +
** インシデントに対する作業内容
 +
** 再発防止の内容
 +
* 復旧作業の手順
 +
** 状況の確認
 +
** スナップショットの保存
 +
** 影響範囲の特定
 +
** 復旧にかかる時間やコストの見積もり
 +
** 復旧見込み時刻の周知
 +
** インシデントの原因の特定
 +
* [[デジタルフォレンジック]]
 +
=== 復旧後の作業 ===
 +
* インシデントに関連している組織や顧客などへの連絡
 +
* プレスリリース
 +
* 所轄警察署への被害広告
 
== 関連項目 ==
 
== 関連項目 ==
 +
* CSIRT
 
* [[SOC]]
 
* [[SOC]]
<!--
+
* [[不正アクセス]]
vim: filetype=mediawiki
+
* [[情報漏えい]]
 +
* [[脆弱性]]
 +
<!-- vim: filetype=mediawiki
 
-->
 
-->

2015年9月22日 (火) 15:02時点における最新版

インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。

読み方

インシデントレスポンス
いんしでんとれすぽんす
Incident Response
いんしでんとれすぽんす

概要

コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。

「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」がインシデントレスポンスです。「事後の対応」の検討や確認のための「事前の対応」もインシデントレスポンスに含まれます。

インシデントはなぜ起きるのか

なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 インシデントの原因には、どのようなものあるでしょうか?

  • 設計ミス
  • コーディングミス
  • 設定の不備
  • 未知の脆弱性(ゼロデイ)
  • パッチの当て忘れ

コンピューターセキュリティインシデント

コンピューターのセキュリティインシデントとは、なんでしょうか?

セキュリティインシデントには、以下の事象があげられます。

インシデントに該当しないもの

以下は、インシデントに該当しない具体例です。

  • スパムメールの配信
  • ワンクリック詐欺

事象は、意図的な事象と偶発的な事象の両方を含みます。

セキュリティインシデントに気づいていないケースも

セキュリティインシデントに気づかないことが最大の問題です。 インシデントに気が付かなければ、対応できず、放置することになります。 その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。

インシデントレスポンスで重要なこと

  • いかに素早くインシデントを発見できるか
  • 適切に連絡し、調製できるか
  • 迅速に応急処置ができるか

インシデントレスポンスは誰が行うのか

  • CSIRT、 もしくは、専門のセキュリティチーム
  • 主管部署
  • 関係部門

インシデントレスポンスに必要なもの

組織の体制の整備が必要です。

  • 対応手順
  • 訓練
  • セキュリティ対策チーム (CSIRT)

スタッフの資質が必要になります。

  • 知識や技術
  • 想定外の自体への対応能力

JPCERT/CCにおける分類

  1. ブルーブ、スキャン、不審なアクセス
  2. サーバープログラムの不正な中継
  3. 送信ヘッダの詐称した電子メールの配送
  4. システムへの親友
  5. サービス妨害攻撃につながる攻撃
  6. その他

インシデントレスポンスに備える

セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? 緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。

ポリシーの作成

組織にとっての「インシデント」とはなにか、を考えます。

  • 守るべきものは、なにか?
  • 優先すべきものは、なにか?
  • 想定される影響は、なにか?

システムの設計時に考慮や整理しておく項目をまとめておきます。

  • 提供するサービスは、どのようなものか?
  • アクセス制御をどのように行うか?
  • 認証は、どのようになされるか?
  • 保守や管理体制

準備

  • 緊急時の連絡体制
  • 緊急時の手順
  • ログの取得、保全、分析ツールの整備
  • バックアップ体制

インシデントを発見する

  • ログから分析する方法
  • データの改ざんや破壊の検出する方法

インシデントから復旧するために

  • 復旧作業の責任者を決めておく
  • 作業記録の作成
    • インシデントの発見のきっかけ
    • インシデントの原因
    • インシデントに対する作業内容
    • 再発防止の内容
  • 復旧作業の手順
    • 状況の確認
    • スナップショットの保存
    • 影響範囲の特定
    • 復旧にかかる時間やコストの見積もり
    • 復旧見込み時刻の周知
    • インシデントの原因の特定
  • デジタルフォレンジック

復旧後の作業

  • インシデントに関連している組織や顧客などへの連絡
  • プレスリリース
  • 所轄警察署への被害広告

関連項目