 |
|
|
Part3 セキュリティ管理手法 その18■第31回■(2002.11.26)
前回は監視およびインシデント対応の途中までを説明した。今回は引き続いてインシデント対応について説明する。
[インシデント対応2]
前持った対応計画と、熟練の人員が適切な配置があれば、望まざるインシデントが発生しても、拙速な判断をすることなく、事象追跡に用いる証拠とインシデントの原因を特定する情報が集められ、重要な資産を防御する仕組みが迅速かつ有効に機能し、インシデントそのものに必要なコストだけでなく、その対応に要するコストも低減することができる。さらに、組織のイメージ低下を最小限にすることができる。
どんな組織においても、インシデント対応計画を用意し、効率的なインシデント分析ができるようにしておかなければならない。
考慮しなければならないことには次のような項目がある。
・準備:予め記述された予防措置、証拠保全、イベントログのメンテナンス、渉外などを含むインシデント対応ガイドラインと手順、その他必要ドキュメントやビジネス継続計画
・告知:インシデント対応のための手順、手段、責任体制および、告知範囲
・評価:インシデント調査とその深刻さの判断に関しての手順と責任分担
・管理:インシデント対応と担当し、被害を食い止め、収束させ、上部組織へ報告する手順と責任分担
・復旧:通常業務への復帰のための手順と責任分担
・事後処理:法的処置や状況分析を含めたインシデント後のアクションについての手順と責任分担
インシデント分析(IAS)を組織が個別にやっているよりも、いくつかの組織がインシデント情報を互いに共有すれば、より広範囲な情報源からの警報を受け取って迅速なインデント状況把握と防御をとることができ、より効果的なインシデント対応ができるということは強調されるべきであろう。
この体制が促進されるためには、IASデータベースがまず構築され、そして全てのセクション、あらゆる種類の脅威や被害に必要な物事、あるいは特定のセクション、脅威、被害に必要な物事を揃えられるようになっていかなければならない。
組織内部、組織間いずれのIASも、互いに連携されたIASは、インシデント情報の記録について同じ類型、基準、構成になるはずである。このことによって分析や比較が容易になる。同構造のIASを利用することにより、より包括的な結論を導き出すことができるようになる。なかんずく、個別にIASを運用して得られるインデント警報よりも、より確実な基盤によって迅速な警報を得られることがあげられる。
office
office@ukky.net
http://www.office.ac/
(詳しくはScan Incident Reportをご覧ください)
http://shop.vagabond.co.jp/m-sir01.shtml
|
|
    |
|
|