インシデント対応計画 - インシデント対応計画
セキュリティインシデント発生時の対応手順を体系化した計画。検知・封じ込め・根絶・復旧・教訓の 5 フェーズで構成される。
概念図
実例
インシデント対応の 5 フェーズ実行例
bash
1. Detect: SIEM alert triggered
2. Contain: Isolate affected host
3. Eradicate: Remove malware
4. Recover: Restore from backup
5. Review: Post-incident report重大度別の対応時間基準
bash
Severity 1 (Critical): Response within 15 min
Severity 2 (High): Response within 1 hour
Severity 3 (Medium): Response within 4 hours
Severity 4 (Low): Response within 24 hoursインシデント対応の 5 フェーズ
検知(Detection): SIEM、IDS/IPS、ログ監視などでインシデントを検知する。誤検知を減らすためにアラートの閾値を適切に設定する
封じ込め(Containment): 被害の拡大を防ぐ。短期的封じ込め(ネットワーク隔離)と長期的封じ込め(パッチ適用)がある
根絶(Eradication): マルウェアの除去、侵入経路の特定と遮断、脆弱性の修正を行う
復旧(Recovery): システムを正常な状態に戻す。バックアップからの復元、サービスの段階的再開を行う
教訓(Lessons Learned): インシデントの振り返りを行い、対応手順の改善や再発防止策を策定する
計画策定のベストプラクティス
- 役割と責任の明確化: インシデント対応チーム(CSIRT)のメンバーと各自の役割を定義する
- 連絡体制の整備: エスカレーションパス、社内外の連絡先リストを最新に保つ
- 定期的な訓練: 机上演習(Tabletop Exercise)やレッドチーム演習を実施して対応力を検証する
- 重大度分類の定義: インシデントの深刻度に応じた対応基準を設ける
- 証拠保全手順: フォレンジック調査に備えて証拠の収集・保管方法を定める