インシデント対応体制の確立
続いて、セキュリティインシデントの特定、調査、封じ込めといった有事の対応体制を確立しておくことが重要である。
迅速かつ正確なインシデント対応を実現するためには、事前に対応手順を整備し、有事に備えた連絡体制の構築がポイントである。緊急時対応を担うCSIRTを整備している企業も増えてきているが、連絡体制や対応手順の確立のためにも、定期的な予行演習と手順の見直しを実施することで、効果的な対応が可能になる。証拠保全の重要性は先に述べたとおりであるが、インシデント対応プロセス全体に対する、手順と体制の確立が成否を分けるといえるだろう。
また、サイバー攻撃の詳細な調査に専門的な知識が要求される場合、社外のセキュリティベンダーなどへ依頼するケースもあるだろう。そのような場合に注意しなければならないのは、調査依頼先の選定や契約締結するのに時間を要し、初動対応が遅れてしまうという点である。インシデントが起こってから外部専門家を探していては、対応が後手に回ってしまうおそれがある。
どのようなケースで外部専門家へ依頼することになるのか、スムーズに外部専門家と連携が取れる体制が構築されているか、予め検討しておくことが望ましい。
事後調査を目的とした網羅的なログの記録、保管
端末やネットワーク機器のログは、不正アクセスを時系列で分析することに役立てることができるため、調査の前提となるデータである。ログが記録、保管されていなければ事後の調査が難しくなってしまう。調査に必要となるログの記録、保管は想定リスクに基づいた基準を設け、組織全体で網羅的に記録されていることがポイントである。
サイバー攻撃を受け、組織外に情報を持ち出されたおそれがある場合、インターネット境界のファイアウォールやプロキシのようなネットワーク機器のログ、被害にあったPCやサーバのログを調査することになる。