10. インシデント対応
CSIRT関連機関
- CSIRT
- Computer Security Incident Response Team
- 企業や組織内に作られる専門チーム
- 発生前:脆弱性情報の収集からパッチ適用等の予防策など
- 発生時:インシデントハンドリング
- 発生後:再発防止策
- 代表者はPoC
- JPCERT/CC
- 日本の国際連携CSIRTコーディネーションセンター
- 分析センター
- CERT/CC
- 米国の国際連携CSIRT
- APCERT
- Asia Pacific Computer Emergency Response Team
- アジア太平洋地域における、コンピュータセキュリティインシデント対応組織の協力体制を構築する目的で設立されたフォーラム
- CSIRT協議会
- 日本のCSIRTの集まり
- FIRST
- Forum of Incident Response and Security Teams
- 世界的なCSIRTの集まり
- IPA/ISEC
インシデント発生前
- 情報収集と事象分析
- 脆弱性対応
- パッチの適用
- 情報提供
- 普及啓発活動、注意喚起
- 対応手順の決定
- プロセスの明確化
- マニュアルの整備
- 訓練の実施
インシデントハンドリング
- 検知/連絡受付
- 定期点検、保守作業
- 監視システムからのアラート
- 社員からの連絡、連絡窓口の設置
- トリアージ
- 優先順位付け
- 事前に判断基準は定めておく
- 情報収集/情報提供を要請
- 影響範囲の特定と必要に応じて応急対応
- 対応の要否の決定
- 利用者への注意喚起
- 優先順位付け
- インシデントレスポンス
- 事象分析
- 対応策の決定と対応計画の作成
- 対応策の実施
- 報告者への回答
- 報告/情報公開
- 取引先等関連したところに報告
- 監督官庁、捜査機関等への連絡
- メディアへのプレスリリース
インシデント発生後
- 再発防止策の検討
- 原因分析から再発防止策の検討
- ポリシの見直し、マニュアル改訂
インシデント関連キーワード
脆弱性対応の手順
- 情報収集
- 深刻度評価
- CVSS環境値
- 措置の実施
- 修正プログラム(パッチ)の適用
- 一時的にIPSやFWで攻撃が抑止できる場合は実施する
- 当該製品の利用をいったん停止する
- 事象分析
- 資産管理
- 利用しているハードウェア及びソフトウェアの正確な情報の把握
- 監視
- ID利用状況
- 各機器のログ
- 改ざん検知
- EDR
- 脆弱性診断
- ペネトレーションテスト
- 資産管理