インシデント対応_③封じ込め根絶復旧編

１．封じ込め

インシデント発生後の検知、分析（事象、原因、対策、時系列整理）後は、封じ込めが必要です。事件を迅速に封じ込めるには、まず手順や訓練を事前に準備、実施できているか、意思決定までのステップや役割が事前に決まっているかが非常に重要です。許容範囲やレベル、ルール、基準が決まっていると各担当は、迅速に封じ込めできます。

２．証拠保全

攻撃者は攻撃後にログを消去し証拠を残さない方法を使うケースがあります。ログが残っていない場合、ほとんどのケースで原因がわからなくなります。そうならないために証拠となるログデータや検体はしっかり保全しないといけません。（裁判で持ちいる場合もある）
揮発性データとなるメモリの状態や、ディスクダンプの取得はしっかり取得できるように訓練が必要です。
取得した証拠を調査するには、メモリフォレンジック、ログフォレンジック、ハードディスクのデジタルフォレンジックなどを用います。

３．復旧手順

RPO,PTOの明確化。手順の準備。判断条件の設定があると迅速に復旧できます。