はじめに
情報セキュリティマネジメントにおいて重要なのは、インシデントが発生したときの一連の対応サイクルです。
本記事では、セキュリティ対策のライフサイクルを 「予防 → 検知 → 追跡 → 回復 → 改善」 の流れで整理します。
1. 予防(Prevention)
- 目的:攻撃や事故を未然に防ぐ
-
例:
- アクセス制御(ID/パスワード、MFA、多要素認証)
- 権限管理(最小権限の原則)
- OS・ソフトウェアのパッチ適用
- マルウェア対策ソフトの導入
- セキュリティ教育やポリシー策定
2. 検知(Detection)
- 目的:インシデントを早期に発見する
-
例:
- IDS/IPS、EDR/XDRによる挙動監視
- SIEMによるログ監視・相関分析
- アラート・異常検知システム
3. 追跡(Tracing / Investigation)
- 目的:攻撃経路・原因・影響範囲を明らかにする
-
例:
- ログの集中管理・保全(改ざん防止)
- デジタルフォレンジックス調査
- 攻撃経路や利用された脆弱性の特定
4. 回復(Recovery)
- 目的:被害からの迅速な復旧と業務継続
-
例:
- バックアップからのリストア
- 被害端末・システムの隔離・再構築
- DR(Disaster Recovery)計画、BCP(事業継続計画)の実行
5. 改善(Improvement / Feedback)
- 目的:再発防止とセキュリティ成熟度の向上
-
例:
- インシデント対応後のレビュー
- セキュリティポリシーの改善
- PDCAサイクルによる継続的改善
全体フロー
まとめ
- セキュリティ対策は 単発ではなくライフサイクル として回すことが重要。
- 各フェーズの活動を正しく理解すれば、SG試験や実務のインシデント対応に直結する。