「インシデントレスポンス」の版間の差分
行10: | 行10: | ||
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」が[[インシデントレスポンス]]です。「事後の対応」の検討や確認のための「事前の対応」も[[インシデントレスポンス]]に含まれます。 | 「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」が[[インシデントレスポンス]]です。「事後の対応」の検討や確認のための「事前の対応」も[[インシデントレスポンス]]に含まれます。 | ||
− | |||
== インシデントはなぜ起きるのか == | == インシデントはなぜ起きるのか == | ||
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 | なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 | ||
行33: | 行32: | ||
** [[情報漏えい]] | ** [[情報漏えい]] | ||
* [[フィッシング]] | * [[フィッシング]] | ||
− | |||
=== インシデントに該当しないもの === | === インシデントに該当しないもの === | ||
以下は、インシデントに該当しない具体例です。 | 以下は、インシデントに該当しない具体例です。 | ||
− | * | + | * スパムメールの配信 |
− | * | + | * ワンクリック詐欺 |
事象は、意図的な事象と偶発的な事象の両方を含みます。 | 事象は、意図的な事象と偶発的な事象の両方を含みます。 | ||
− | |||
== セキュリティインシデントに気づいていないケースも == | == セキュリティインシデントに気づいていないケースも == | ||
セキュリティインシデントに気づかないことが最大の問題です。 | セキュリティインシデントに気づかないことが最大の問題です。 | ||
行50: | 行47: | ||
* 迅速に応急処置ができるか | * 迅速に応急処置ができるか | ||
== インシデントレスポンスは誰が行うのか == | == インシデントレスポンスは誰が行うのか == | ||
− | * | + | * CSIRT、 もしくは、専門のセキュリティチーム |
* 主管部署 | * 主管部署 | ||
* 関係部門 | * 関係部門 | ||
行57: | 行54: | ||
* 対応手順 | * 対応手順 | ||
* 訓練 | * 訓練 | ||
− | * セキュリティ対策チーム ( | + | * セキュリティ対策チーム (CSIRT) |
スタッフの資質が必要になります。 | スタッフの資質が必要になります。 | ||
行114: | 行111: | ||
* プレスリリース | * プレスリリース | ||
* 所轄警察署への被害広告 | * 所轄警察署への被害広告 | ||
− | |||
== 関連項目 == | == 関連項目 == | ||
− | * | + | * CSIRT |
* [[SOC]] | * [[SOC]] | ||
* [[不正アクセス]] | * [[不正アクセス]] | ||
* [[情報漏えい]] | * [[情報漏えい]] | ||
* [[脆弱性]] | * [[脆弱性]] | ||
− | <!-- | + | <!-- vim: filetype=mediawiki |
− | vim: filetype=mediawiki | + | |
--> | --> |
2015年9月22日 (火) 15:02時点における最新版
インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。
読み方
- インシデントレスポンス
- いんしでんとれすぽんす
- Incident Response
- いんしでんとれすぽんす
目次
概要
コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」がインシデントレスポンスです。「事後の対応」の検討や確認のための「事前の対応」もインシデントレスポンスに含まれます。
インシデントはなぜ起きるのか
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 インシデントの原因には、どのようなものあるでしょうか?
コンピューターセキュリティインシデント
コンピューターのセキュリティインシデントとは、なんでしょうか?
セキュリティインシデントには、以下の事象があげられます。
インシデントに該当しないもの
以下は、インシデントに該当しない具体例です。
- スパムメールの配信
- ワンクリック詐欺
事象は、意図的な事象と偶発的な事象の両方を含みます。
セキュリティインシデントに気づいていないケースも
セキュリティインシデントに気づかないことが最大の問題です。 インシデントに気が付かなければ、対応できず、放置することになります。 その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。
インシデントレスポンスで重要なこと
- いかに素早くインシデントを発見できるか
- 適切に連絡し、調製できるか
- 迅速に応急処置ができるか
インシデントレスポンスは誰が行うのか
- CSIRT、 もしくは、専門のセキュリティチーム
- 主管部署
- 関係部門
インシデントレスポンスに必要なもの
組織の体制の整備が必要です。
- 対応手順
- 訓練
- セキュリティ対策チーム (CSIRT)
スタッフの資質が必要になります。
- 知識や技術
- 想定外の自体への対応能力
JPCERT/CCにおける分類
- ブルーブ、スキャン、不審なアクセス
- サーバープログラムの不正な中継
- 送信ヘッダの詐称した電子メールの配送
- システムへの親友
- サービス妨害攻撃につながる攻撃
- その他
インシデントレスポンスに備える
セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? 緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。
ポリシーの作成
組織にとっての「インシデント」とはなにか、を考えます。
- 守るべきものは、なにか?
- 優先すべきものは、なにか?
- 想定される影響は、なにか?
システムの設計時に考慮や整理しておく項目をまとめておきます。
- 提供するサービスは、どのようなものか?
- アクセス制御をどのように行うか?
- 認証は、どのようになされるか?
- 保守や管理体制
準備
- 緊急時の連絡体制
- 緊急時の手順
- ログの取得、保全、分析ツールの整備
- バックアップ体制
- 冗長化
- バックアップの作成
インシデントを発見する
- ログから分析する方法
- データの改ざんや破壊の検出する方法
インシデントから復旧するために
- 復旧作業の責任者を決めておく
- 作業記録の作成
- インシデントの発見のきっかけ
- インシデントの原因
- インシデントに対する作業内容
- 再発防止の内容
- 復旧作業の手順
- 状況の確認
- スナップショットの保存
- 影響範囲の特定
- 復旧にかかる時間やコストの見積もり
- 復旧見込み時刻の周知
- インシデントの原因の特定
- デジタルフォレンジック
復旧後の作業
- インシデントに関連している組織や顧客などへの連絡
- プレスリリース
- 所轄警察署への被害広告