セキュリティ管理手法-インシデント分析
問 題 《情報セキュリティアドミニストレータ午後対策》
Part3 セキュリティ管理手法 その18■第31回■(2002.11.26)
http://old.netsecurity.ne.jp/article/11/7590.html
を読んで下記問いに答えよ。
(1)インシデント分析(IAS)を組織が個別にやっているよりも、いく
つかの組織がインシデント情報を互いに共有するとどのようなメ
リットがあるか。
(2)インシデント分析の体制を促進するために行っておくと良いこと
は何か。
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)インシデント分析(IAS)を組織が個別にやっているよりも、いく
つかの組織がインシデント情報を互いに共有するとどのようなメ
リットがあるか。
>・迅速なインデント状況把握と防御を取る事が出来る。
>・より効果的なインシデント対応が出来る。
>と防御をとることができ、より効果的なインシデント対応ができる。
インシデントが発生した場合、被害状況や範囲を調査しなければなりません。
ここではインシデントに関する様々な情報や、操作記録ログなどの情報をもとに
原因を特定します。
事故分析に当たり、組織が個別に行うよりもいくつかの組織がインシデント情報を
お互いに共有することによって迅速かつ効果的な対応が取れることになります。
(2)インシデント分析の体制を促進するために行っておくと良いこと
は何か。
>・全てのセクション、あらゆる種類の脅威や被害に必要な物事、あるいは
> 特定のセクション、脅威、被害に必要な物事を揃えられるようにしておく。
>ションに対する、あらゆる種類の脅威や被害に必要な物事を揃えられる
>ようにしておく。
いくつかの組織がインシデント情報を互いに共有するために、
インシデント分析(IAS)のデータベースを構築し、過去の分析結果を蓄積します。
また、JPCERT/CCやIPAなどと連絡をとって事故原因を報告するとともに
事故を客観的に分析することも重要です。
(3)感想・調べたこと
>の踏み台になる事を防ぐ為、さらにはウィルスの感染による組織内ネットワーク
>への被害や組織外への感染拡大等の脅威から身を守る為、常にセキュリティーに
>関する情報を収集して必要な技術的対応や人的対応、またセキュリティーポリシ
>や各種情報資産の取扱規定など運用面での対応をバランスよく構築し継続的に維
>持向上していく事で強固なセキュリティーレベルが確保されるのは確かです。
> しかし、ネットワークセキュリティーにおいてあらゆる可能性から身を守る
>100%強固なものを作り上げる事は出来ません。セキュリティー管理において
>重要な事の一つとして、脅威にさらされた時の事を想定して、その被害を最小限
>に食い止める為に何をすれば良いかという視点がどれだけ重要かという事が良く
>わかりました。
セキュリティにおいて100%安全ということはありません。
必ず事故は起こるという立場にたち、緊急時対応計画を立てなければなりません。
避けられない緊急事態に直面した場合に、迅速な対応ができるかどうかにより
企業(組織)に対する社会的イメージは大きく左右します。
緊急事態に対し、迅速かつ的確な対応がとれれば損失は最小限に押さえられるし、
企業のイメージアップにもつながります。
逆に復旧が著しく遅れた場合は、イメージダウンにつながり経営的損失につながる
恐れがあります。
>ここまで来ると経験が無いのであまりピンと来ないのが実感です。
>やはり、ツールを利用するのが一番なのでしょうか?
>(調べてみたのですが、分析の為のツールは見つかりませんでした)
迅速かつ的確に対応できたらいいよね」ということを取り上げています。
それを実現するためにはデータベースを構築し、知識(あらゆる種類の脅威や被害の情報)
を共有化するということを押さえておけばいいと思います。
> 情報セキュリティ分野においては(security incident)、情報セ
> キュリティリスクが発生した事象をいう。
>incident response(インシデント対応):
> インシデントの発生に際して、それを検知し、関係組織と連絡を
> とり、被害の拡大を防ぐと共に、再発を防止するための原因究
> 明と改善を行う、一連の組織的活動をいう。
>IRT(Incident Response Team:インシデント対応チーム):
> CSIRT (Computer Security Incident Response Team) の通称
> /略称。
>CSIRT(Computer Security Incident Response Team):
> 定められた範囲内のサイトに関するセキュリティインシデントにつ
> いてコーディネーション、サポート、対応を行う者をいう。
用語を調べて頂きました。
インシデント対応は重要ですので、対応手順について再度確認しておいてください。
対応における一般的な作業項目の例は、
技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
が参考になります。
- 手順の確認
- 作業記録の作成
- 責任者、担当者への連絡
- 事実の確認
- スナップショットの保存
- ネットワーク接続やシステムの遮断もしくは停止
- 影響範囲の特定
- 渉外、関係サイトへの連絡
- 要因の特定
- システムの復旧
- 再発防止策の実施
- 監視体制の強化
- 作業結果の報告
- 作業の評価、ポリシー・運用体制・運用手順の見直し
sponsored link
このページ
のTOPへ
