編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

WannaCryやStruts2も--攻撃増加で見直すインシデント対応の4フェーズ - (page 2)

遠藤宗正 (デジタルアーツ)

2017-07-11 06:00

1.準備フェーズで行うべきこと

 準備フェーズには、いざインシデントが発生した際に、迅速に対応が取れるよう日頃から準備しておく各種活動に加え、インシデントの発生を予防するために、システムやネットワーク、アプリケーションを安全な状態に保つ日々の取り組みも含まれています。準備のための具体的な活動としては、以下のようなアクションがNISTのガイドで定められています。

準備のための具体的な活動
  • 事件処理に役立つツールやリソースの準備
  • 連絡先情報や報告手段の明文化
  • ハードとソフト、フォレンジックソフトの準備
  • 対応マニュアル、ネットワーク図、資産リストなどの作成やメンテナンス
  • 媒体やパッチ、バックアップイメージなどの管理
予防活動について
  • パッチ管理
  • ホストセキュリティ
  • ネットワークセキュリティ
  • ユーザーの意識向上とトレーニング

2.検知・分析フェーズで行うべきこと

 検知・分析フェーズについてNISTガイドでは、まず大きく分けて「前兆」と「兆候」の2種類のイベントを検知する必要があると定義しています。前兆とは、「インシデントが将来起こるかもしれないというサイン」で、一方の兆候は「インシデントが既に起きたか、もしくは現在起こっている可能性を示すサイン」のことを指します。

 NISTガイドでは、前兆と兆候それぞれを捉えるために監視すべき対象と、もし捉えた場合にその内容を迅速に分析し、適切なアクションを取るための指針を提示しています。前兆と兆候の検知、そして、それらの分析のためには、以下のようなアクションが求められます。

検知・分析フェーズのアクション''
検知・分析フェーズのアクション

3.封じ込め・根絶・復旧フェーズで行うべきこと

 封じ込め・根絶・復旧のフェーズでは、一次対策としてインシデントの原因を突き止め、そこから影響がさらに広く拡散することを防ぐ措置を講じます。次にインシデントの原因を完全に除去した上で、当該インシデントの影響範囲や被害を評価し、インシデント発生前の状況へと環境を復旧するための作業を行います。NISTガイドでは、具体的に以下のようなアクションをとることを求めています。

封じ込め・根絶・復旧フェーズのアクション''
封じ込め・根絶・復旧フェーズのアクション

4.教訓フェーズで行うべきこと

 インシデントを根絶し、その被害から完全に復旧した後には、今回の対応で得られた教訓を普段の取り組みに反映させ、インシデントレスポンスの継続的な改善につなげていくことが大事です。多くの場合、インシデントから復旧した時点で安心してしまい、改善活動の取り組みが疎かになりがちです。

 しかし、インシデント対応ライフサイクルを継続的に回していきながら取り組みの質を向上させていくためには、このフェーズは決して欠かすことができません。それぞれのフェーズのさらに具体的な対策方法は、情報処理推進機構やJPCERT コーディネーションセンターが日本語でガイド(PDF)を公開していますので、ぜひそちらをご参照ください。

遠藤宗正
デジタルアーツ株式会社
2012年よりウェブフィルタリング製品のプロダクトマネージャーとして従事。内部情報漏えい対策のウェブフィルタリングという製品ポジションから、外部からの悪意ある攻撃対策まで包含できる製品にシフトすべく、他社製品との連携も視野に入れて、セキュリティ市場の動向を日々うかがう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]