「インシデントレスポンス」の版間の差分
提供: セキュリティ
(ページの作成:「インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。 '''読み方'...」) |
|||
| (同じ利用者による、間の1版が非表示) | |||
| 行9: | 行9: | ||
コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。 | コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。 | ||
| + | 「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」が[[インシデントレスポンス]]です。「事後の対応」の検討や確認のための「事前の対応」も[[インシデントレスポンス]]に含まれます。 | ||
| + | == インシデントはなぜ起きるのか == | ||
| + | なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 | ||
| + | インシデントの原因には、どのようなものあるでしょうか? | ||
| + | * 設計ミス | ||
| + | * コーディングミス | ||
| + | * 設定の不備 | ||
| + | * 未知の[[脆弱性]]([[ゼロデイ]]) | ||
| + | * パッチの当て忘れ | ||
== コンピューターセキュリティインシデント == | == コンピューターセキュリティインシデント == | ||
| − | |||
コンピューターのセキュリティインシデントとは、なんでしょうか? | コンピューターのセキュリティインシデントとは、なんでしょうか? | ||
セキュリティインシデントには、以下の事象があげられます。 | セキュリティインシデントには、以下の事象があげられます。 | ||
* リソースの不正な使用 | * リソースの不正な使用 | ||
| + | ** [[不正アクセス]] | ||
| + | ** [[脆弱性]] | ||
| + | ** アカウントの乗っ取り/なりすまし | ||
* サービスの妨害行為 | * サービスの妨害行為 | ||
| + | ** [[DDoS攻撃]] | ||
* データの破壊 | * データの破壊 | ||
* 意図しない情報の開示 | * 意図しない情報の開示 | ||
| + | ** [[情報漏えい]] | ||
| + | * [[フィッシング]] | ||
| + | === インシデントに該当しないもの === | ||
| + | 以下は、インシデントに該当しない具体例です。 | ||
| + | * スパムメールの配信 | ||
| + | * ワンクリック詐欺 | ||
事象は、意図的な事象と偶発的な事象の両方を含みます。 | 事象は、意図的な事象と偶発的な事象の両方を含みます。 | ||
| + | == セキュリティインシデントに気づいていないケースも == | ||
| + | セキュリティインシデントに気づかないことが最大の問題です。 | ||
| + | インシデントに気が付かなければ、対応できず、放置することになります。 | ||
| + | その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。 | ||
| + | == インシデントレスポンスで重要なこと == | ||
| + | * いかに素早くインシデントを発見できるか | ||
| + | * 適切に連絡し、調製できるか | ||
| + | * 迅速に応急処置ができるか | ||
| + | == インシデントレスポンスは誰が行うのか == | ||
| + | * CSIRT、 もしくは、専門のセキュリティチーム | ||
| + | * 主管部署 | ||
| + | * 関係部門 | ||
| + | == インシデントレスポンスに必要なもの == | ||
| + | 組織の体制の整備が必要です。 | ||
| + | * 対応手順 | ||
| + | * 訓練 | ||
| + | * セキュリティ対策チーム (CSIRT) | ||
| + | |||
| + | スタッフの資質が必要になります。 | ||
| + | * 知識や技術 | ||
| + | * 想定外の自体への対応能力 | ||
== JPCERT/CCにおける分類 == | == JPCERT/CCにおける分類 == | ||
| 行32: | 行71: | ||
セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? | セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? | ||
緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。 | 緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。 | ||
| + | === ポリシーの作成 === | ||
| + | 組織にとっての「インシデント」とはなにか、を考えます。 | ||
| + | * 守るべきものは、なにか? | ||
| + | * 優先すべきものは、なにか? | ||
| + | * 想定される影響は、なにか? | ||
| + | システムの設計時に考慮や整理しておく項目をまとめておきます。 | ||
| + | * 提供するサービスは、どのようなものか? | ||
| + | * アクセス制御をどのように行うか? | ||
| + | * [[認証]]は、どのようになされるか? | ||
| + | * 保守や管理体制 | ||
| + | === 準備 === | ||
* 緊急時の連絡体制 | * 緊急時の連絡体制 | ||
* 緊急時の手順 | * 緊急時の手順 | ||
| − | + | * ログの取得、保全、分析ツールの整備 | |
| + | * バックアップ体制 | ||
| + | ** [[冗長化]] | ||
| + | ** バックアップの作成 | ||
| + | === インシデントを発見する === | ||
| + | * ログから分析する方法 | ||
| + | * データの改ざんや破壊の検出する方法 | ||
| + | === インシデントから復旧するために === | ||
| + | * 復旧作業の責任者を決めておく | ||
| + | * 作業記録の作成 | ||
| + | ** インシデントの発見のきっかけ | ||
| + | ** インシデントの原因 | ||
| + | ** インシデントに対する作業内容 | ||
| + | ** 再発防止の内容 | ||
| + | * 復旧作業の手順 | ||
| + | ** 状況の確認 | ||
| + | ** スナップショットの保存 | ||
| + | ** 影響範囲の特定 | ||
| + | ** 復旧にかかる時間やコストの見積もり | ||
| + | ** 復旧見込み時刻の周知 | ||
| + | ** インシデントの原因の特定 | ||
| + | * [[デジタルフォレンジック]] | ||
| + | === 復旧後の作業 === | ||
| + | * インシデントに関連している組織や顧客などへの連絡 | ||
| + | * プレスリリース | ||
| + | * 所轄警察署への被害広告 | ||
== 関連項目 == | == 関連項目 == | ||
| + | * CSIRT | ||
* [[SOC]] | * [[SOC]] | ||
| − | <!-- | + | * [[不正アクセス]] |
| − | vim: filetype=mediawiki | + | * [[情報漏えい]] |
| + | * [[脆弱性]] | ||
| + | <!-- vim: filetype=mediawiki | ||
--> | --> | ||
2015年9月22日 (火) 15:02時点における最新版
インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。
読み方
- インシデントレスポンス
- いんしでんとれすぽんす
- Incident Response
- いんしでんとれすぽんす
目次
概要
コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」がインシデントレスポンスです。「事後の対応」の検討や確認のための「事前の対応」もインシデントレスポンスに含まれます。
インシデントはなぜ起きるのか
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 インシデントの原因には、どのようなものあるでしょうか?
コンピューターセキュリティインシデント
コンピューターのセキュリティインシデントとは、なんでしょうか?
セキュリティインシデントには、以下の事象があげられます。
インシデントに該当しないもの
以下は、インシデントに該当しない具体例です。
- スパムメールの配信
- ワンクリック詐欺
事象は、意図的な事象と偶発的な事象の両方を含みます。
セキュリティインシデントに気づいていないケースも
セキュリティインシデントに気づかないことが最大の問題です。 インシデントに気が付かなければ、対応できず、放置することになります。 その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。
インシデントレスポンスで重要なこと
- いかに素早くインシデントを発見できるか
- 適切に連絡し、調製できるか
- 迅速に応急処置ができるか
インシデントレスポンスは誰が行うのか
- CSIRT、 もしくは、専門のセキュリティチーム
- 主管部署
- 関係部門
インシデントレスポンスに必要なもの
組織の体制の整備が必要です。
- 対応手順
- 訓練
- セキュリティ対策チーム (CSIRT)
スタッフの資質が必要になります。
- 知識や技術
- 想定外の自体への対応能力
JPCERT/CCにおける分類
- ブルーブ、スキャン、不審なアクセス
- サーバープログラムの不正な中継
- 送信ヘッダの詐称した電子メールの配送
- システムへの親友
- サービス妨害攻撃につながる攻撃
- その他
インシデントレスポンスに備える
セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? 緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。
ポリシーの作成
組織にとっての「インシデント」とはなにか、を考えます。
- 守るべきものは、なにか?
- 優先すべきものは、なにか?
- 想定される影響は、なにか?
システムの設計時に考慮や整理しておく項目をまとめておきます。
- 提供するサービスは、どのようなものか?
- アクセス制御をどのように行うか?
- 認証は、どのようになされるか?
- 保守や管理体制
準備
- 緊急時の連絡体制
- 緊急時の手順
- ログの取得、保全、分析ツールの整備
- バックアップ体制
- 冗長化
- バックアップの作成
インシデントを発見する
- ログから分析する方法
- データの改ざんや破壊の検出する方法
インシデントから復旧するために
- 復旧作業の責任者を決めておく
- 作業記録の作成
- インシデントの発見のきっかけ
- インシデントの原因
- インシデントに対する作業内容
- 再発防止の内容
- 復旧作業の手順
- 状況の確認
- スナップショットの保存
- 影響範囲の特定
- 復旧にかかる時間やコストの見積もり
- 復旧見込み時刻の周知
- インシデントの原因の特定
- デジタルフォレンジック
復旧後の作業
- インシデントに関連している組織や顧客などへの連絡
- プレスリリース
- 所轄警察署への被害広告