事故の分析 《演習問題》
オリジナル
社外に公開しているWebサーバに不正侵入され、改ざんが検知された 時に取るべき行動として適切なものはどれか。 ア 書き換えられたページを本来の形に復旧し、書き換えられた内 容は消去する。 イ 改ざんが行われたディスク、メモリダンプを保存し、被害状況 の調査、事故分析を行う。 ウ IDSを導入する。 エ セキュリティに関する社内教育の回数を増やす。
解 説
解答
イ 改ざんが行われたディスク、メモリダンプを保存し、被害状況
の調査、事故分析を行う。
コンピュータセキュリティインシデントへの対応における事故の分析では、
事故による被害の状況や範囲を調査し、損害と影響を調査します。
事故に関するさまざまな情報や、操作、アクセスの記録などの情報をもとに
事故の原因を特定します。
情報セキュリティの事故分析には専門的知識を要する場合がありますので、
JPCERT/CCやIPAの情報を参考にしたり、そのスペシャリストを招集し対応する
必要があります。
◇JPCERT/CC とは。。。
Japan Computer Emergency Response Team/Coordination Center
(コンピュータ緊急対応センター)の略称。
非営利団体で、特定の政府機関や企業からは独立し、中立の組織として活動しています。
JPCERT/CCは、インターネットを介して発生する侵入やサービス妨害などの
コンピュータセキュリティ・インシデントについて、日本国内のサイトに
関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止
のための対策の検討と助言などを、技術的な立場から行っています。
JPCERT/CCは、FIRSTに加盟している日本唯一のCSIRTです。
対応における一般的な作業項目の例は、
技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
が参考になります。
- 手順の確認
- 作業記録の作成
- 責任者、担当者への連絡
- 事実の確認
- スナップショットの保存
- ネットワーク接続やシステムの遮断もしくは停止
- 影響範囲の特定
- 渉外、関係サイトへの連絡
- 要因の特定
- システムの復旧
- 再発防止策の実施
- 監視体制の強化
- 作業結果の報告
- 作業の評価、ポリシー・運用体制・運用手順の見直し
> 容は消去する。
き換えられた内容は証拠保全しなければなりません。
sponsored link
このページ
のTOPへ
