インシデント対応計画
読み方:インシデントタイオウケイカク
インシデント対応計画とは
インシデント対応計画とはサイバー攻撃に備えて、すぐに異常を検知しシステム障害の復旧ができるように事前に計画立てることです。
インシデント対応計画により、 企業の情報資産、社会的評価や利益を守ることにつながります。
インシデント対応計画の策定フェーズ
- 対応準備
インシデント対応を行う人材(情シス兼務がほとんど)と指揮を執る人材をあてがい、他の従業員も含め、各々の緊急時の対応手順を定めます。また、未然に予防する手法の検討も行いつつ、起こることを前提に専用のツールやシステムの導入もしていきます。
- インシデントの検知と分析
不審な挙動や潜在的脅威がないか監視をし、発見されたインシデントを特定する段階です。ログやセキュリティツールなどにより収集されたデータから分析し誤検知を除外します。そのうち対応に相当する基準を満たしたインシデントに優先順位をつけ、インシデントの特定をしていきます。 - インシデントの封じ込め・排除・復旧
まずは特定したインシデントの封じ込めを行い、被害拡大を防ぎます。すでに感染したデバイスをオフラインにし、インターネットから切り離した隔離により拡散を防止します。また、同時にインシデントの影響を受けてないシステム保護も行います。バックアップを取ることでデータ消失を防ぎ、証拠保全なども封じ込め段階で行います。
次に封じ込めた脅威をシステムから完全に取り除き、完全修復を行う根絶段階に移ります。マルウェアの排除に加え、システム上に正規のアクセス権を持つユーザ以外が存在しない状態にしていくなど脅威根絶を能動的に行います。その後、脅威の痕跡が全システムから完全に絶たれていることを確認(影響受けている、受けていない問わずすべてのシステムに対して)したのちに復旧段階となります。
復旧段階では脅威の影響受けていたシステムを通常通り運用していきます。そのため各種デバイスやオンラインと再接続、およびバックアップによるシステムの再構築などを行っていきます。 - 事後対応
インシデント対応後はインシデント発生時に行った各自の行動について、改善および再発防止を目的に検討していきます。
インシデント対応計画の関連語
- IT-BCP
IT-BCPとはITシステムにおけるBCP対策のことで、BCP対策とは「Business Continuity Planning」の接頭語であり、組織における通常通りの事業継続が災害やテロなどにより脅かされた時に迅速な復旧、復元するための対策を指します。インシデント対応計画もIT-BCPもサイバー攻撃に備え、インシデントに対応していくものですが、対応するインシデントの程度が異なります。 インシデント対応計画は軽微なものを対象としていくことが多いのに対し、IT-BCPは重大なインシデントを前提に対象としていきます。
