incidentの直訳は事件、出来事ですが、広義では事故、自然災害、不祥事やテロ、企業買収など
企業運営に大きな影響を与える事象を指します。
コンピュータセキュリティのインシデントに絞ると、
不正アクセス、情報漏えい、ウィルス感染などが発覚した場合や、
疑わしき兆候やシステム設定ミスの発見された場合を
「インシデントが発生した」といいます。
これに対応するには、組織的な対応が必要で、インシデントが発生が起き得ることを想定して、さまざまな対策を図る必要があります。
インシデントには次のように分けて対応するとよいでしょう。
・事前対策
・事件発生時対応(インシデント対応)
・発生後の対応と見直し
・日常業務 定期的作業
事前に連絡体制と対応手順を決めておきます。
そのために以下のことを決めておくとよいでしょう。
・担当者、その権限と責任範囲
・優先順位
・トレーニング
・対応手順書
・インシデント対策用の日常運用計画(可用性対策:バックアップやログ管理)
被害拡大を防ぐための短期的処理と、
発生原因を取り除く中期的処理、
そして、再発防止や計画の見直しなどの長期的処理に分けて考えるとよいでしょう。
(1)インシデント発生状況の分析 短期的処理
(2)インシデント発生を知らなければならない関係者への連絡
(3)インシデント発生状況の情報収集と保全(記録,保存)
(4)インシデントを回避するための短期的な処理(ネットワークの隔離やサーバ停止)
これより中期的処理
(5)発生要因の特定と暫定対策(要因となる設定値の変更や対応パッチの適用)
(6)システムを通常の運用に戻す(バックアップなどでシステムを復旧)
これより長期的処理
(7)根本的対応策など、再発防止策
上記で、インシデントが発生した場合の手順を示しました。 この中で、システム復旧に関連することに着目して、補足説明します。
最初に行う保全
インシデント発生より時間が経つと、失われる情報が多々あります。
また、被害の拡大を防ぐためにも短時間で記録しなければなりません。
収集項目をリストアップしてことや、専用ツールを準備するなど
事前に手順を決めておくべきです。なお、一連の状況情報は、
スナップショットと呼ばれて、次のような項目があります。
・画面イメージ
・ネットワークのセッション状況
・各種のログ
・動作中プログラムの状況と、対応する作業状況、ログインユーザー情報
・ハードディスクのイメージ
・その他、気づいた状況
インシデントからの隔離(短期的な処置)
状況情報の保全直後に行う処置で、
不正アクセスの場合は、侵入経路を遮断します。
ウィルス感染の場合は、感染が拡がらないように経路を遮断します。
具体的には物理的にケーブルを抜くなどの処置が有効で、
全体の業務システムをできるだけ継続できるように、
遮断する必要があります。つまり始めからインシデントに
対応できるようなネットワーク構成にしなければなりません。
なお業務上、遮断できない場合は、監視強化や、機能を限定など
暫定処置を施す対応もあります。
(メールで感染するケースが多いので、復旧が完了するまでメールを
使えなくする処置をすべきでしょう)
通常の運用に戻す中期期的な処置
バックアップしてある情報でインシデント前に戻します。
ここで、どのように侵入したかがわからないと、
どの時期のバックアップでリストアしたらよいか判断できません。
インシデント発生直前では、インシデントが発覚していないだけで
その要因がバックアップデータに含まれている可能性があるからです。
確実に安全な時期のバックアップデータが判明しない場合や、
対応パッチや修正プログラムで適応出来できない場合は、
OSからインストールし直すことになります。