「インシデントレスポンス」の版間の差分

提供: セキュリティ
移動: 案内検索
 
行10: 行10:
  
 
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」が[[インシデントレスポンス]]です。「事後の対応」の検討や確認のための「事前の対応」も[[インシデントレスポンス]]に含まれます。
 
「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」が[[インシデントレスポンス]]です。「事後の対応」の検討や確認のための「事前の対応」も[[インシデントレスポンス]]に含まれます。
 
 
== インシデントはなぜ起きるのか ==
 
== インシデントはなぜ起きるのか ==
 
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。
 
なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。
行33: 行32:
 
** [[情報漏えい]]
 
** [[情報漏えい]]
 
* [[フィッシング]]
 
* [[フィッシング]]
 
 
=== インシデントに該当しないもの ===
 
=== インシデントに該当しないもの ===
 
以下は、インシデントに該当しない具体例です。
 
以下は、インシデントに該当しない具体例です。
* [[スパムメール]]の配信
+
* スパムメールの配信
* [[ワンクリック詐欺]]
+
* ワンクリック詐欺
  
 
事象は、意図的な事象と偶発的な事象の両方を含みます。
 
事象は、意図的な事象と偶発的な事象の両方を含みます。
 
 
== セキュリティインシデントに気づいていないケースも ==
 
== セキュリティインシデントに気づいていないケースも ==
 
セキュリティインシデントに気づかないことが最大の問題です。
 
セキュリティインシデントに気づかないことが最大の問題です。
行50: 行47:
 
* 迅速に応急処置ができるか
 
* 迅速に応急処置ができるか
 
== インシデントレスポンスは誰が行うのか ==
 
== インシデントレスポンスは誰が行うのか ==
* [[CSIRT]]、 もしくは、専門のセキュリティチーム
+
* CSIRT、 もしくは、専門のセキュリティチーム
 
* 主管部署
 
* 主管部署
 
* 関係部門
 
* 関係部門
行57: 行54:
 
* 対応手順
 
* 対応手順
 
* 訓練
 
* 訓練
* セキュリティ対策チーム ([[CSIRT]])
+
* セキュリティ対策チーム (CSIRT)
  
 
スタッフの資質が必要になります。
 
スタッフの資質が必要になります。
行114: 行111:
 
* プレスリリース
 
* プレスリリース
 
* 所轄警察署への被害広告
 
* 所轄警察署への被害広告
 
 
== 関連項目 ==
 
== 関連項目 ==
* [[CSIRT]]
+
* CSIRT
 
* [[SOC]]
 
* [[SOC]]
 
* [[不正アクセス]]
 
* [[不正アクセス]]
 
* [[情報漏えい]]
 
* [[情報漏えい]]
 
* [[脆弱性]]
 
* [[脆弱性]]
<!--
+
<!-- vim: filetype=mediawiki
vim: filetype=mediawiki
+
 
-->
 
-->

2015年9月22日 (火) 15:02時点における最新版

インシデントレスポンス (Incident Response)とは、コンピューターセキュリティインシデントに対応することです。

読み方

インシデントレスポンス
いんしでんとれすぽんす
Incident Response
いんしでんとれすぽんす

概要

コンピューターセキュリティインシデントが発生しないように、未然に防ぐための「事前の対応」(防御)は、実施すべきです。しかしながら、問題は起きてしまうこともあるため、コンピューターセキュリティインシデントが発生した際に、「事後の対応」が求められます。この「事後の対応」のことをインシデントレスポンスと言います。

「インシデントは起こる」という前提にたち、インシデントの拡大を防ぐための「事後の対応」がインシデントレスポンスです。「事後の対応」の検討や確認のための「事前の対応」もインシデントレスポンスに含まれます。

インシデントはなぜ起きるのか

なぜ、インシデントはおきるのでしょうか?人は、間違いを犯す生き物であるからです。 インシデントの原因には、どのようなものあるでしょうか?

  • 設計ミス
  • コーディングミス
  • 設定の不備
  • 未知の脆弱性(ゼロデイ)
  • パッチの当て忘れ

コンピューターセキュリティインシデント

コンピューターのセキュリティインシデントとは、なんでしょうか?

セキュリティインシデントには、以下の事象があげられます。

インシデントに該当しないもの

以下は、インシデントに該当しない具体例です。

  • スパムメールの配信
  • ワンクリック詐欺

事象は、意図的な事象と偶発的な事象の両方を含みます。

セキュリティインシデントに気づいていないケースも

セキュリティインシデントに気づかないことが最大の問題です。 インシデントに気が付かなければ、対応できず、放置することになります。 その結果、データ侵害やデータ破壊、踏み台に利用される、といった事象へつながっていきます。

インシデントレスポンスで重要なこと

  • いかに素早くインシデントを発見できるか
  • 適切に連絡し、調製できるか
  • 迅速に応急処置ができるか

インシデントレスポンスは誰が行うのか

  • CSIRT、 もしくは、専門のセキュリティチーム
  • 主管部署
  • 関係部門

インシデントレスポンスに必要なもの

組織の体制の整備が必要です。

  • 対応手順
  • 訓練
  • セキュリティ対策チーム (CSIRT)

スタッフの資質が必要になります。

  • 知識や技術
  • 想定外の自体への対応能力

JPCERT/CCにおける分類

  1. ブルーブ、スキャン、不審なアクセス
  2. サーバープログラムの不正な中継
  3. 送信ヘッダの詐称した電子メールの配送
  4. システムへの親友
  5. サービス妨害攻撃につながる攻撃
  6. その他

インシデントレスポンスに備える

セキュリティインシデントが発生した場合に、どのように対処したらよいでしょうか? 緊急事態が起きたときに、冷静に対処するためには、事前の準備が訓練を行っておくべきです。

ポリシーの作成

組織にとっての「インシデント」とはなにか、を考えます。

  • 守るべきものは、なにか?
  • 優先すべきものは、なにか?
  • 想定される影響は、なにか?

システムの設計時に考慮や整理しておく項目をまとめておきます。

  • 提供するサービスは、どのようなものか?
  • アクセス制御をどのように行うか?
  • 認証は、どのようになされるか?
  • 保守や管理体制

準備

  • 緊急時の連絡体制
  • 緊急時の手順
  • ログの取得、保全、分析ツールの整備
  • バックアップ体制

インシデントを発見する

  • ログから分析する方法
  • データの改ざんや破壊の検出する方法

インシデントから復旧するために

  • 復旧作業の責任者を決めておく
  • 作業記録の作成
    • インシデントの発見のきっかけ
    • インシデントの原因
    • インシデントに対する作業内容
    • 再発防止の内容
  • 復旧作業の手順
    • 状況の確認
    • スナップショットの保存
    • 影響範囲の特定
    • 復旧にかかる時間やコストの見積もり
    • 復旧見込み時刻の周知
    • インシデントの原因の特定
  • デジタルフォレンジック

復旧後の作業

  • インシデントに関連している組織や顧客などへの連絡
  • プレスリリース
  • 所轄警察署への被害広告

関連項目