https://www.lanscope.jp/dl/pdf/incident_handling_cp.pdf

  • インシデントハンドリングとは「インシデントの発生から解決までの処理を行う活動」を指し、4つのフェーズに分かれます
    • 1.「検知/連絡受付」
    • 2.「優先順位付け(トリアージ)」
    • 3.「対応(インシデントレスポンス)」
    • 4.「報告/情報公開、事件後の対応」

検知/連絡受付

  • 自組織内での検知
  • 外部からの通報
  • 連絡受付の注意事項
    • [CSIRT(Computer Security Incident Response Team)とは?意味・定義 ITトレンド用語 ドコモビジネス NTTコミュニケーションズ](https://www.ntt.com/bizon/glossary/e-c/csirt.html)
      • セキュリティインシデントが発生した際に対応するチームのこと。
    • 通報者→窓口→CSIRTのルートで連絡が行われる場合に、窓口→CSIRTが漏れなく通知され必要あり
      • CSIRTが気づかない間に通報者がインシデント情報を公表する可能性があるため。
      • CSIRT に転送する手順と判断基準を用意しておき、普段から適切に指導する必要がある

優先順位付け(トリアージ)

  • トリアージを行う目的
    • インシデントの誤検知を判断する(インシデントと認識していたものが、実はインシデントではなかったというケースもあるため)
  • 一般的なトリアージの流れ
    • (1)事実関係の確認
    • (2)関係者への連絡
      • 対応すべきインシデントではない場合その判断の根拠を報告者・関係者に連絡(対応する場合は不要?)
    • (3)情報発信
      • 対応可否に関わらず、関係者に情報共有や注意喚起などを行う
    • (4)インシデント対応

対応(インシデントレスポンス)

  • STEP 1:インシデントの分析
    • 技術的な対応が可能なのかも判断
  • STEP 2-1:技術的な対応が困難な場合
    • 連携: 経営層。(対応計画を策定後に実施)
    • 共有: (必要に応じて)IT 関連部署
  • STEP 2-2:技術的な対応が可能な場合
    • 連携: IT 関連部署。(対応計画を策定後に実施)
    • 共有: (過程の対応を)経営層
  • STEP 3:外部機関への協力依頼
    • 技術的対応の可否に関わらず、対応計画の策定や実施について、下記と連携して対応の支援依頼や必要な情報提供をしてもらう
      • 外部専門機関
      • インシデントに関係している可能性のあるサイト(関係者)
  • STEP 4:確認
    • 対応計画の実施が終わったところで、改めて問題が解決しているかを確認
    • 解決していない場合は、STEP1から実施
  • STEP 5:回答
    • いつ: 問題が解決後
    • だれ: インシデントの報告者
    • なに: 事の顛末(自社の情報セキュリティポリシーに照らして可能な範囲)

4.報告/公開

  • 対応計画の策定および実施と並行して、下記にも必要に応じて報告を行います。
    • メディアや一般に向けたプレスリリース
    • 監督官庁
    • 組織内部