セキュリティインシデント時スピード感を持ち対応できるよう、対策を調べてみました。
発言は全て個人のもので所属する組織の見解ではありません。
目的
有事に備え(インシデント発生前、発生後のマニュアル)
想定するセキュリティインシデント
- 情報漏洩
- マルウェア感染
- サービス不能攻撃(DoS、DDoS、EDoS)
- 紛失、故障等
事前に準備が必要なこと
- 従業員のセキュリティ意識向上の努力
- 適切なマルウェア対策
- 使用製品のセキュリティ情報を収集・対策
- 適切なログ取得
- 侵入検知システムによる監視
- 適切なバックアップ、遠隔への保存
- サービスの復旧優先度を定める
- 優先度3
- 業務が停止することは許されない
- 優先度2
- 24時間以内に復旧しなければならない
- 優先度1
- 3日以内に復旧しなければならない
- 優先度0
- インシデント発生時は停止しても良い
- 優先度3
- 社内向けに攻撃訓練を行う
- 標的型メール送付訓練など
有事に備えインシデントレスポンスを行う
- インシデント発生時を想定し、
インシデント発生の疑いがある場合(従業員の対応)
- 早急に社内のセキュリティ委員会、担当者に連絡
- PCが感染していると思われる場合、下記の対処を行う
- ネットワークから隔離(感染拡大を防ぐ)
- PCの電源は切らない(シャットダウンすると証拠が消える場合も)
インシデント報告を受けた際(セキュリティ担当者)
- 日時を記録し管理する
- 状況把握し、対応方法を指示する
- インシデント発生の真偽
- 被害を発見した日時
- 被害の拡大範囲
- 被害内容
- 被害原因
- 対応方法
- 報告する
- 情報システム部
- 広報担当
- プロバイダー(何のため?)
対応完了後
- 優先度を元にバックアップからシステムを復元する
- OS、アプリケーションの入れ替え、設定変更など
- 再発防止計画の作成
引用、参考元
- JNSA セキュリティポリシーWG 作成ポリシーサンプル