ー 報告・共有 ー はじめに 具体的な実施例 1.経営層への報告 2.規制当局への報告 3.法執行機関への連携 4.業界ISAC・他組織への共有 まとめ 参考資料 脚注 はじめに インシデントハンドリングにおける「報告・共有」フェーズは、主に復旧までの対応…
ー 復旧 ー はじめに 具体的な実施例 1.ログ監査と試験運用 2.通信経路とサービス再開の段階的実施 3.関係者間の調整と承認プロセス 4.その他の留意点 まとめ 参考資料 脚注 はじめに 復旧は、インシデントによって影響を受けたシステムや業務を通常…
ー 根絶 ー はじめに 具体的な実施例 1.マルウェアの完全除去 2.バックドアおよびC2通信の遮断 3.資格情報の無効化・再発行 4.初期アクセス手段の除去 5.被害端末の再構築(必要に応じて) まとめ 参考資料 脚注 はじめに 前回の記事「インシデン…
ー 持続的封じ込め ー はじめに 具体的な実施例 1.恒久的な通信遮断の実施 2.アクセス制御の見直しと再構成 3.マルウェアの残存痕跡の徹底排除 4.ログ監視体制の強化と再設計 まとめ 参考資料 脚注 はじめに インシデントハンドリングにおける「持続…
ー トリアージ:優先順位決定 ー はじめに 具体的な実施例 1.評価マトリクスによる優先順位付け 2.スコアリングモデルの活用 3.経営層との連携と事業リスクの考慮 まとめ 参考資料 脚注 はじめに インシデントハンドリングにおいて「優先順位決定(Pri…
ー トリアージ:影響度分析 ー はじめに 具体的な実施例 1.影響を受けた範囲の特定 2.脆弱性および悪用状況の確認 3.情報資産への影響 4.情報の損失・流出の有無 5.復旧可能性と所要時間の見積もり 6.経営層・関係部門との連携 7.分析精度と運…
ー トリアージ:適格性判断 ー はじめに 具体的な実施例 1.適格性判断のための評価基準 2.実施例 例1)未知の外部IP宛てのアウトバウンド通信 例2)大量のファイルアクセス 例3)PowerShell実行 まとめ 参考資料 脚注 はじめに インシデントハンドリング…
ー 短期的封じ込め ー はじめに 具体的な実施例 1.短期的封じ込めの具体例 2.初動対応を支える平時からの備え 3.封じ込めを優先すべき兆候 まとめ 参考資料 脚注 はじめに インシデントハンドリングにおいて「短期的封じ込め(Short-term Containment…
ー 初期分析 ー はじめに 具体的な実施例 1.初期分析の目的と役割 2.分析の実施例 3.分析の正確性と情報の連携 4.証拠の保全 まとめ 参考資料 脚注 はじめに インシデントの兆候が検知されたからといって、その全てに対応することは現実的ではなく、…
ー セキュリティイベントの検知 後編 ー はじめに 具体例な実施例 3.アノマリベースアプローチ 3.1.ベースラインの設定 3.2.コンテキストの理解 3.3.脅威ハンティングの活用 3.4.脅威インテリジェンスの活用 4.アクティブディフェンスに…
ー セキュリティイベントの検知 前編 ー はじめに 具体例な実施例 1.シグネチャベースアプローチ 1.1.シグネチャベースアプローチの特徴 1.2.痛みのピラミッド 2.イベントの検知精度の調整 2.1.方針の立案 2.2.検知精度の評価 2.3.…
ー インシデントハンドリングの全体像 ー はじめに インシデント対応時の主なプロセス 1)NIST SP800-61 Rev.2 2)CISA Cybersecurity Incident & Vulnerability Response Playbooks 3)ISO/IEC 27035-1:2016 具体的な実施例 ① 検知(Detection) ② 初期…
ー インシデントからの学びと改善 ー はじめに 具体的な実施例 1.ナレッジの記録とプレイブックへの反映 2.対応プロセスの振り返りと再発防止策の策定 3.組織固有知識のドキュメント化 4.外部委託先との情報共有 まとめ 参考文献 はじめに 今回は、…
ー インシデント対応演習の実施 ー はじめに インシデント対応演習とは 演習の必要性 具体的な実施例 ステップ1:演習プロジェクトの構築 ステップ2:情報収集と設計 ステップ3:シナリオの作成 ステップ4:演習の実施 ステップ5:実施結果のレビュー ステッ…
ー インシデント対応結果の評価 ー はじめに 具体的な実施例 1.レビュー会議の開催 2.KPI/メトリクスによる対応評価 3.対応記録・証拠のレビュー まとめ 参考文献 はじめに 本ブログシリーズでは、セキュリティインシデント管理における「対応結果の評…
はじめに 具体的な実施例 1.「チケット」の活用 2.インシデントハンドリング全体のマネジメント手法 2.1.起票 2.2.記録 2.3.ステータス管理 2.4.クローズ 3.ナレッジ共有と継続的改善への接続 3.1.ナレッジの整理と共有 3.2.…
ー 計画と準備(技術的管理策編)後編 ー 検知設計と精度管理 はじめに 具体的な実施例 1.検知方式の選定方針(シグネチャベースとアノマリベース) 2.検知精度のトレードオフと受容基準の設定 3.監視ログとイベント検知方針の整合性確保 4.コンテキ…
ー 計画と準備(技術的管理策編)前編 ー イベント監視体制の整備 はじめに 具体的な実施例 1.監視体制構築方針 2.監視対象と収集データの選定 3.監視対象の優先順位付けとリスクベース評価 4.収集データの取扱い方針の策定 5.検知設計方針の明確…
ー 計画と準備(物理的管理策編) ー はじめに 具体的な実施例 1.アクセス履歴管理 2.フォレンジックラボの整備 2.1.フォレンジックラボとは? 2.2.整備すべき主な要素 3.移動可能な証拠取得キットの配備 4.資産管理・ラベリングの徹底 まと…
ー 計画と準備(人的管理策編) ー はじめに 具体的な実施例 1. 各役割に求められる力量の設定 2. 力量の管理 3. 実際の力量管理の例:インシデントハンドラー まとめ 参考文献 はじめに 本ブログでは、インシデント対応のための準備にフォーカスして何を実…
ー 計画と準備(組織的管理策編)④ ー 情報連携と通報体制の整備 はじめに 本シリーズの構成 コミュニケーションポリシーを事前に定めておくことの意義 具体的な実施例 1.目的と適用範囲 2.社内コミュニケーション方針 2.1.情報セキュリティイベント…
ー 計画と準備(組織的管理策編)③ ー 文書化されたルールと手順による対応の標準化 はじめに 具体的な実施例 1.ルール及び手順の整備 1.1.インシデント対応計画と手順 1.2.手順の標準化(SOPとプレイブック) 1.3.インシデント管理プロセスの…
ー 計画と準備(組織的管理策編)② ー 方針と体制の整備による計画的対応の基盤構築 はじめに インシデント対応方針の策定と周知の意義 インシデントの定義と共通認識の確立 組織体制の構築と役割・責任の明確化 体制モデル(NIST SP800-61より) 有事を意識…
ー 計画と準備(組織的管理策編)① ー 組織的管理策の重要性について はじめに 本シリーズの構成 具体的な実施例 1. 方針の整備 2. 体制の整備及び役割・責任の明確化 3. コミュニケーション管理計画 4. 力量管理 5. 利害関係者との連携および共有 まと…
ー 計画と準備(概要編) ー はじめに PLANプロセスの重要性と各種ガイドラインの位置づけ 本シリーズの構成 まとめ 参考文献 はじめに 今回から、「インシデントマネジメントにおける計画と準備」について、主要なガイドライン(ISO、NISTなど)に基づき、…
はじめに 1.インシデントマネジメントが重要視される背景 1.1.サイバー攻撃の進化と多層防御の必要性 1.2.脅威の多様化への対応 1.3.内部脅威リスクの顕在化 1.4.法令・規制への対応 2.規格・ガイドラインでの扱われ方 2.1.Cybersec…
はじめに 1.人の脆弱性を突く攻撃が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 2.ディープフェイクのサイバー攻撃への利用が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 3.アカウント…
はじめに 1.管理策の概要 2.具体的な実施例 2-1)合意文書による遵守事項の維持 a)監視手法 b)レビュー内容 c)評価内容 2-2)セキュリティ事象、インシデント、及び問題に対する適切な管理 a)監視手法 b)レビュー内容 c)評価内容 2-3)供…
はじめに 管理策の概要 具体的な実施例 1.取得したICT製品に関する構成情報の理解 2.取得したICT製品のセキュリティ機能とその設定に関する理解 3.取得したICT製品の完全性・真正性の確保 4.その他 クラウドサービスの利用 まとめ 参考資料 脚注 は…
はじめに 1.管理策の概要 2.具体的な実施例 2.1.供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする 1)情報の特定 2)リスクアセスメント ① 作成(Creat) ② 保存(Store) ③ 使用(Use) ④ 共有(Share) ⑤ ア…
