番号 | 項目 | 内容 |
---|---|---|
1 | イベント認知・連絡受付 | (1)検知システムでインシデントと自動判定されたイベントを認知 (2)ヘルプデスク経由やDNSサービスを利用した外部連絡によるイベント受付 |
2 | トリアージ | (1)B社が対応すべきか判断。必要に応じて連絡元への回答 (2)インシデント判定マニュアルに基づき、最終判定と優先順位づけ |
3 | インシデントレスポンス | (1)グループ内発生インシデントについて、該当会社のシステム管理者などと連携、および被害の極小化・拡大防止を図る対応 (2)外部ウェブサイトに影響が及ぶ場合の外部組織との情報交換と必要な対応 |
4 | グループ内通知。監督官庁への報告など | (1)グループ内で被害の極小化・拡大防止を図るための注意喚起 (2)必要に応じての監督官庁への報告、メディアなど一般向け対応 |
イベント | グループ内の情報セキュリティに影響を及ぼし、重大な情報セキュリティ事故につながる恐れがある事象 |
インシデント | 重大な情報セキュリティ事故に至り、グループに多大な被害を与える事象 |
- 各社検知システムで検知されたイベントは、インシデントかどうか自動判定する
- インシデントと判定されるとB社CSIRTへも自動通知される
- イベント検知基準、インシデント自動判定基準は検知システム上で設定
- 一度だけ見直しを実施。それ以降は見直しがなされていない。
検知システムで問題が発生する恐れがある
新技術を利用した攻撃などの可能性があるイベントを検知できない
【解説】 情報セキュリティインシデントは、技術の進歩により新しいものが次から次へとでてくる。 従って、自動判定基準がみなおされていないと、新技術をつかった攻撃に対応できなくなる。
- CSIRTには専任社員とシステム部兼任社員が存在。
- トリアージ用にインシデント判定マニュアルがある
- 確認事項や方法の記載があるが、高いスキルを持つ技術者向け
- 一部詳細な記述がなく省略されている
- 兼任社員がトリアージを常に正確に行うのは困難と思われる
- 確認事項や方法の記載があるが、高いスキルを持つ技術者向け
確認事項によってはトリアージが適切に行われないおそれがある
・判定マニュアルに詳細な記述がない部分について、その確認方法をインタビューする
・実際に兼任社員が行った詳細な記述が記載されていない確認方法が必要なトリアージの記録を査閲する
- 子会社の一つでインシデントレスポンスを行ったとき、トラブルが発生した
- ネットワーク機器がバージョンアップにより、生成するログ形式が変わっていた
ログが使用できず、被害範囲の特定や対応策の検討に時間を要する
↓
インシデントハンドリングの完了が遅れた
現在の運用のままでは、インシデントが発生した場合、
再度インシデントハンドリングに支障をきたす可能性がある
- B社CSIRT設置と外部関連組織との連携体制を構築後、定期的な情報交換、組織リストの更新を行っていない。
- 運用規定としては連携体制の維持・強化を定めている
B社内または外部でインシデントが発生した場合、外部関連組織との連携が迅速かつ有効におこなわれない可能性がある
最新コメント