インシデント対応_①準備編

インシデントマネジメントで必要な対応は大きく、
準備→検知分析→封じ込め根絶復旧→事後活動の4種類があります。

今回は準備について解説します。

まず、何を準備するべきかというと、以下のようなものがあります。

①文書（インシデントポリシーの定義）

インシデントポリシーの整備
・責任者はだれ？
・組織の役割は？
・インシデントとは？
・重要度を決めておく
・文書の周知徹底について

②体制（インシデントマネジメントにおける体制）

インシデント対応の組織を確立
・役割や責任は？
・関係部署も巻き込む
・リソース配分
・メンバー教育、訓練

③インシデント対応計画書の作成（インシデント発生時の対応手順）

インシデント発生時の計画立案と計画プロセス
・手順書作成
・窓口設置
・情報公開
・取り込み内容を提示
・エスカレーションフロー作成

④インシデント対応準備（インシデント対応に備えた準備）

調査分析できるようにツール導入
・運用対処（パッチ適用、構成情報、資産管理）
　　→ポートリスト、設計書、マニュアル、構成図、重要情報一覧、
　　 基準となるステータス、重要情報のハッシュ値控え

・検知分析ツールの準備（パケットアナライザ、証拠記憶ディスク準備）
　　→IDS（機器導入と運用）
　　→IPS（機器導入と運用）
　　→SIAM（機器導入と運用）
　　→アンチウイルス（機器導入と運用）
　　→ファイル改ざん検知（機器導入と運用）
　　→監視（機器導入と運用）
　　→ログ取得（OS、サービス、アプリ、ネットワーク）　（事前設定と運用）
　　→公開情報（運用）

・復旧準備（バックアップ、マスターデータ）
   →迅速な復旧には、OSイメージとデータバックアップが必要。物理的に予備を置くのもあり。