インシデント対策

■ インシデント対策。

  どんなに万全な対策を取ったとしても、
  セキュリティ事故の発生を皆無にすることは困難である。
  このため、次善の対策として、
  事故が発生したときの措置を明確にしておくことが望ましい。

  セキュリティ事故は常に予想に反して発生するものであり、
  あらかじめ対処方針が明確になっていなければ、
  冷静な対応ができず、混乱を助長させてしまう。
  何も起こらないうちに対応方針を決めておくべきである。
  
  (1) 事前の準備。

    事前に対策チームを編成し、
    連絡方法、指揮系統、優先順位などを明確にしておく。

  (2) 攻撃の検知。

    攻撃と疑わしい事象を検知したら、
    システムの動作が通常と違っている部分を特定し、
    攻撃か否かを判断する。

  (3) ネットワークの遮断。

    攻撃を受けていると判断された場合、
    まず最初にネットワークを遮断する。

  (4) 対策チームの召集。

    指揮者に連絡し、次いで対策要員を召集する。
    ここまでは、第一報を受けた対策チームのメンバーが行なう。

  (5) 状況の確認。

    システムの状態を観察しながらし、
    ハードディスクまたはメモリのバックアップを取る。
    また、システムログ、ファイルのタイムスタンプなどを見て、
    破壊や改ざんが行なわれているか調査する。

  (6) 原因・弱点の調査。

    事象が観測されたサーバ以外も、同じ調査を行う。
    システムログ自体が改ざんされていなければ、
    その内容から侵入経路や実行したコマンドを把握する。

  (7) 対策と復旧。

    システムの復旧と再侵入への対策を行う。
    セキュリティホールが原因であれば、
    ソフトウェア、機器、サービスなどの開発元に確認し、
    バージョンアップなどを行う。

  (8) 社会への報告。

    被害の影響する範囲などを明確にし、
    既に行なった対策を含めて、顧客や一般に報告する。
    同時に、警察やIPA/ISECなどの公的機関にも報告する。

以上。

2004/03/02 am