インシデント対応_①準備編
インシデントマネジメントで必要な対応は大きく、
準備→検知分析→封じ込め根絶復旧→事後活動の4種類があります。
![](https://assets.st-note.com/img/1677392318687-BTID6PJl5Z.png)
今回は準備について解説します。
まず、何を準備するべきかというと、以下のようなものがあります。
①文書(インシデントポリシーの定義)
![](https://assets.st-note.com/img/1677394099431-gxJL2S8MgG.png)
インシデントポリシーの整備
・責任者はだれ?
・組織の役割は?
・インシデントとは?
・重要度を決めておく
・文書の周知徹底について
②体制(インシデントマネジメントにおける体制)
インシデント対応の組織を確立
・役割や責任は?
・関係部署も巻き込む
・リソース配分
・メンバー教育、訓練
③インシデント対応計画書の作成(インシデント発生時の対応手順)
インシデント発生時の計画立案と計画プロセス
・手順書作成
・窓口設置
・情報公開
・取り込み内容を提示
・エスカレーションフロー作成
④インシデント対応準備(インシデント対応に備えた準備)
調査分析できるようにツール導入
・運用対処(パッチ適用、構成情報、資産管理)
→ポートリスト、設計書、マニュアル、構成図、重要情報一覧、
基準となるステータス、重要情報のハッシュ値控え
・検知分析ツールの準備(パケットアナライザ、証拠記憶ディスク準備)
→IDS(機器導入と運用)
→IPS(機器導入と運用)
→SIAM(機器導入と運用)
→アンチウイルス(機器導入と運用)
→ファイル改ざん検知(機器導入と運用)
→監視(機器導入と運用)
→ログ取得(OS、サービス、アプリ、ネットワーク) (事前設定と運用)
→公開情報(運用)
・復旧準備(バックアップ、マスターデータ)
→迅速な復旧には、OSイメージとデータバックアップが必要。物理的に予備を置くのもあり。