インシデントに対応する

インシデントがシステムのリソースを 圧倒したり、 被害を甚大にしたりしないためには、 迅速な封じ込めが重要です。 それには、必要な対処について 事前承認を取り付けておくことが 有効です。 また、迅速な封じ込めができれば、 その後の対応も十分に 練り上げることができます。 封じ込めのためにシステムを切り離す場合、 インシデントの種類に応じた 対応計画があらかじめ準備されていると、 意思決定をスムーズに 行うことができます。 対応計画は、主要なインシデントの タイプ別に策定して、事前承認を 取り付けておきましょう。 ほとんどのインシデントでは、 封じ込めや復旧のための作業と 並行して、攻撃の出どころと 意図を継続的に調査する必要があります。 これが、インシデントレスポンダーの 主な仕事となります。 IT やネットワークのチームが主導して 封じ込めと復旧の作業を進める間にも、 幅広いセンサー情報にアクセスして、 ネットワークの可視化を行うことが、 全面的な解明のために不可欠です。 インシデントが重大な場合、 「MIM」と呼ばれる重大インシデント管理の プロセスが開始されます。 運営には IT やネットワークの 運用チームがあたることが多く、 これを MIM マネージャーが指揮します。 主要なステークホルダーとの 対面会議や電話会議を定期的に行いながら、 インシデントの解決に向けた進捗と、 社内外へのメッセージの内容や 発信方法などについて報告して 意見を聞いた上で、 MIM マネージャーが最終決定を下します。 インシデント発生時に証拠集めを行うのは、 何よりもインシデントの解決を 図るためですが、その後の法的手続きでも 証拠が必要となることがあります。 そのような場合に備えて、 証拠は適切なフォレンジック手続きを 踏みながら収集し、証拠保全の一貫性が 証明できる記録を作成することが重要です。 インシデントの封じ込めが完了した後に、 マルウェアの削除、悪用された ユーザーアカウントの無効化、 脆弱性に対処するパッチの適用 といった根絶の手続きが 必要となることもあります。 そのインシデントで影響を受けた システムに限らず、同様の攻撃で 影響を受ける可能性がある すべてのシステムに同様の対策を行うことが 必要です。 例えば、管理者アカウントを 初期設定のままで使用している サーバーが１台でも残っていれば、 インシデントの再発を 待っているようなものです。 最後に、インシデント対応において 最重要でありながら忘れられがちな原則は、 対応を続けながらも別のインシデントへの 警戒を怠らないことです。 サイバー犯罪では、一見派手な攻撃に 注意を引き付けておいてから、 ネットワークの別の部分に ひっそりと本当の攻撃を仕掛けることが 多いからです。