インシデント・ハンドリングとは
セキュリティー被害への対応策を体系化したもの
5段階に分類して記述する
現状調査、原因究明、被害拡大防止をインシデント・レスポンスと言う
これだけでは不十分で事前の準備と事後の不備見直しを含んで
インシデント・ハンドリングと言う
準備 被害発生を前提に行動指針を決めておく
(1)対応方針の策定
被害が発生した場合について、周知徹底のために明文化しておく
緊急度をレベル分けし、レベルごとに行動基準を作成しておく
レベル分けの基準例
・被害のタイプによるレベル分け
外部からの攻撃、内部の不正行為による情報漏洩 等々
・被害の重要度によるレベル分け
被害にあったシステム、漏洩したデータ 等々
・必要時間によるレベル分け
システム停止時間、システム復旧時間 等々
(2)担当者の任命
誰が中心になって被害に対するかを決めておく
対策チームのメンバーは被害の種類によって変えていく
担当の基準例
・ウィルス感染の場合
現場のITエンジニアで十分
・顧客情報または機密情報の漏洩の場合
上位の意思決定者の存在が不可欠となる
広報担当や法務担当が必要になる
(3)連絡体制の整備
緊急時に必要なメンバーを招集できるよう整備しておく
連絡先リストを作成する(常に最新の状態に更新すること)
対策窓口を設置し周知徹底させる
(4)経営層の承認
人員や予算の確保に経営層の承認や関与が必要である
緊急時に関連部署への協力要請等に欠かせない
事前に被害額を見積もったり、他の事例を紹介しておく
発見 セキュリティー被害かどうかを迅速に確かめる
(1)セキュリティー被害発生の確認
単純な運用ミスでないかを確認する
・大量のシステムエラー
・システムの停止や誤動作
・警告メッセージの表示
・ユーザからの通報
被害の種類を特定する
・証拠を収集する
・自分の目で確認する
・アクセスログの調査
(2)関係者への連絡
セキュリティー対策窓口に連絡する
窓口担当者は、対処方針に従ってメンバーを招集する
弁護士、警察官、プロバイダー等も必要なら招集する
(3)証拠の保全
メモリー、ディスク等のデータをバックアップする
取得時刻を明らかにしておく
特定のデータ(ログも含む)は消失・改竄を防ぐ
原因特定と被害拡大防止 被害状況次第ではシステム停止も検討する
(1)原因の特定
ログ等の情報から原因を分析し特定する
セキュリティー侵害の手法を熟知している技術的なスキルが必要になる
セキュリティーポリシー等のルールにも詳しい必要がある
(2)システムの停止
そのまま運用するか、停止するかを決める
内部ユーザーや外部ユーザーに連絡する
管理者のユーザーIDやパスワードを変更後再発行する
関連するシステムの管理者パスワードも変更する
(3)問題点の解析
原因の特定とシステムの脆弱性を解析する
・OSにセキュリティーホールがあった
・アプリケーションプログラムのミス
・通信ポートが開いていた
・ネットワーク設定のミス
商用の解析ツールを使用する
日ごろから使用経験を積んでおく
復旧 原因を排除し、システムを復元する
(1)原因の排除
同じ原因で被害に遭うことを防ぐために対策を打つ
・外部からの進入の場合には、進入経路を絶つ
バックドアや盗聴ツールを疑って探し出し手を打つ
・ウィルスやワームの進入の場合には、パッチを当てる
場合によっては、ウィルスソフトベンダーの手を借りなければならない
(2)防御策の強化
個別に対応する
・DoS攻撃には、IPアドレスでフィルタリングする
対象アドレスが多すぎる場合は、新しいサーバーに移設する
・不正進入の場合には、不要なサービスの停止やパスワードを変更する
・内部からの情報漏洩の場合には、アクセス権限や入退室ルールを見直す
(3)システムの修復
バックアップデータからシステムを復旧する
被害の原因を一緒に戻してしまわないようにする
(4)システムの検証
正常な状態であるかどうかを検証する
専門家のツールを使って検証する、ことも考慮しておく
(5)システムの監視
復旧させた後も、暫くは監視を強化する
事後検討 振り返って、今後の被害を防止する
(1)事後検討レポートの作成
被害の原因や内容、講じた対策、使用したリソース、費用、人員等々をまとめておく
(2)反省会の実施
上記レポートをレビューする
恒久的な対策等を検討する
表面的な原因でなく、根本原因を把握して対応する
(3)改善策の実施
恒久的な改善策を施す
暫定的な改善策に陥らないように工夫が必要
他のシステムへも実施する
コメントを残す