【メモ】技術者として知っておくべきインシデント対応の流れ
はじめに
セキュリティ技術入門トラックの後半では、脆弱性や防御設計だけでなく、異常が起きたあとにどう動くかも押さえる必要があります。
なぜなら、実務では「防ぎ切れなかったときにどう被害を抑えるか」まで含めて守りだからです。1
この章では、検知、分類、優先度判断、隔離、封じ込め、根絶、復旧、再発防止という流れを、入門段階の全体像として整理します。
インシデント対応は一発勝負ではない
インシデント対応は、「異常を見つけて終わり」でも、「端末を止めて終わり」でもありません。
実際には、次の流れで進みます。1
- 検知する
- 何が起きているかを分類する
- 優先度を判断する
- 被害拡大を止める
- 原因や侵害要素を取り除く
- 業務を戻す
- 再発防止につなげる
この流れを知らないと、目の前の作業だけで手一杯になり、全体最適を崩しやすくなります。
検知
検知は、ログ、監視、アラート、利用者報告、外部通知などから始まります。
ここで重要なのは、「怪しいかもしれない」を早く拾うことです。
技術職としては、次の視点を持つ必要があります。
- 何がいつもと違うか
- どのシステム、どのアカウント、どの端末に関係するか
- 単発の異常か、継続的な異常か
検知は、確定診断ではなく、対応を始める入口です。
分類
異常を見つけたら、まず何系の問題かを整理します。1
たとえば、次のような分類があります。
- 認証、アカウントの問題
- マルウェアや不審実行
- Webアプリの侵害疑い
- 権限不正利用
- 誤設定や誤共有
- 情報漏えい疑い
分類の目的は、名前をきれいに付けることではありません。
どの担当とどの初動が必要かを早く見分けることです。
優先度判断
すべての異常に同じ重さで対応すると、重要なものを取り逃しやすくなります。
そのため、この段階では次の観点で優先度を考えます。1
- 影響範囲はどれくらいか
- 顧客や業務への影響はあるか
- 被害が広がる速度は速いか
- 重要資産や本番環境に届いているか
「珍しいから重大」ではなく、事業影響と拡大性で見るのが基本です。
隔離と封じ込め
隔離
隔離は、被害を広げないために対象を切り離すことです。
端末、アカウント、通信経路、プロセスなどが対象になります。
封じ込め
封じ込めは、同種の被害が他へ広がらないようにすることです。
たとえば、該当アカウントの停止、共有停止、ルール変更、管理権限の見直しなどがここに入ります。
隔離と封じ込めでは、業務影響も出るため、独断で広く止めるのではなく、方針をそろえて進める必要があります。
根絶
根絶は、「原因となっているものを取り除く」段階です。1
たとえば、次のようなものです。
- 不正なプロセスや設定の除去
- 漏えいした認証情報の失効と再発行
- 脆弱性の修正
- 不要権限の剥奪
封じ込めだけで安心すると、同じ入口から再侵害されることがあります。
止めたあとに、なぜ起きたかまで戻って見る必要があります。
復旧
復旧は、単に動かし直すことではありません。
安全性を確認したうえで、段階的に通常運用へ戻すことです。
ここで考えたいのは、次の点です。
- 本当に原因を除去できたか
- 再開してよい範囲はどこか
- 監視を強める必要はあるか
- 利用者や関係部署へどう案内するか
再発防止
インシデント対応は、収束で終わりではありません。
なぜ起きたか、なぜ防げなかったか、なぜ検知や初動に時間がかかったかを振り返る必要があります。1
見直し対象は次のようなものです。
- 設計
- 実装
- 権限
- ログ
- 監視
- 手順
- 教育
再発防止が弱いと、同じような事故が形を変えて繰り返されます。
起こしやすい誤り
目の前の対処だけで終わる
止まった、消えた、再起動した、で終わると、原因と再発防止が残りません。
優先度判断をしない
全部を同じ緊急度で見ると、本当に重要なものに集中できなくなります。
根絶前に復旧を急ぐ
早く戻したい気持ちは強いですが、原因が残っていれば再発します。
日常で意識したい原則
- 検知、分類、優先度判断を分けて考える
- 隔離と封じ込めで拡大を抑える
- 根絶と復旧を混同しない
- 事後振り返りまで含めて対応と考える
ミニ確認
- 検知と分類はどう違うか
- 優先度判断で見るべき観点は何か
- 隔離と根絶の違いは何か
- 再発防止で見直すべき対象には何があるか