オペレーション
インシデント対応の実施では、オペレーションが中核となります。ここで、セキュリティインシデントへの対応と修復が行われます。オペレーションには、検出、分析、封じ込み、根絶、復旧 の 5 つのフェーズが含まれます。これらのフェーズと目標の説明を表 3 に記載しています。
表 3 – オペレーションフェーズ
| [Phase] (フェーズ) | 目標 |
|---|---|
| 検出 | 潜在的なセキュリティイベントを特定します。 |
| 分析 | セキュリティイベントがインシデントかどうかを判断し、インシデントの範囲を評価します。 |
| 封じ込め | セキュリティイベントの範囲を最小限に抑え、制限します。 |
| 根絶 | セキュリティイベントに関連する不正なリソースやアーティファクトを削除します。セキュリティインシデントの原因となった緩和策を実装します。 |
| 復旧 | システムを既知の安全な状態に復元し、これらのシステムを監視して脅威が再発しないことを確認します。 |
これらのフェーズは、効果的かつ堅牢な方法で対応するために、セキュリティインシデントに対応して運用する際の指針となるはずです。実際に実行するアクションは、インシデントによって異なります。例えば、ランサムウェアが関係するインシデントは、パブリック Amazon S3 バケットに関連するインシデントとは異なる対応手順を踏む必要があります。さらに、これらのフェーズは必ずしも連続して発生するわけではありません。封じ込みおよび根絶後は、分析に戻って対策が効果的だったかどうかを把握する必要があるかもしれません。
