|
5.8.1 初期対応手順 |
|
|
| セキュリティインシデントとは、事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故のことをいいます。このセキュリティインシデントが発生した場合の報告・連絡体制が明確になっており、関係する全員に徹底されていることが重要です。 |
|
5.8 セキュリティ被害を受けたときの処置 |
||||||||||||
|
セキュリティを確保しないことで発生する不利益として、@ データの破壊、改ざん、流出、A コンピュータ資源の盗用、B サービスの妨害などがあります。ここでは、それぞれ代表的な例をあげていますが、個々の組織の状態に応じて、具体的な影響はかなりの数に上ることになります。
|
|
5.8.1 初期対応手順 |
|
|
| セキュリティインシデントとは、事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故のことをいいます。このセキュリティインシデントが発生した場合の報告・連絡体制が明確になっており、関係する全員に徹底されていることが重要です。 |
| (1) 報告すべき事象 | ||||||||||
|
まず報告すべきセキュリティインシデントは何かを明確に定義しておきます。ISO27001の規格では、情報セキュリティインシデントのほかに情報セキュリティに関連するかもしれない状況を情報セキュリティ事象として、適切な管理者への報告を義務づけています。当てはまる具体的な事例を明示しておくと理解しやすくなります。
|
||||||||||
| (2) 報告・連絡体制 | ||||||||||
|
報告・連絡体制はきちんと文書化して、関係者全員に配布しておくことが大事です。特にリモートアクセス環境でのオフィス情報システムの使用に当たっては、その連絡体制を確立し、その有効性を確認しておく必要があります。リモートでの使用中に情報セキュリティインシデントに遭遇した場合は、身近にすぐ相談する相手がいない場合が多いので、具体的に報告する手順と報告する相手を明確にし、直ちに取るべき処置方法を文書化し常に携帯するようにします。また、セキュリティインシデントの内容は時代とともに変わり、連絡方法なども変わるので、組織変更や人事異動などのときはもちろん、それ以外でも定期的な見直しが必要になります。見直した結果は直ちに関係者全員に連絡し、連絡体制に不備が生じないように気をつけます。 |
||||||||||
| (3) コンピュータウィルスなどの被害時の対応 | ||||||||||
|
クラッキングやウィルス、不正アクセスなどの被害に遭遇した場合、「まず通信配線を抜いて被害を受けた機器をネットワークから切り離す」のが大前提といわれています。 |
||||||||||
| (4) 一般的対応手順 | ||||||||||
|
対応手順は下記のIPA
およびJPCERT サイトに詳しい資料があるので参照してください。 |
|
5.8.2 リカバリーと再発防止 |
||
| (1) リカバリー | ||
|
|
||
|
セキュリティインシデントが発生し、その結果として何らかの業務が影響を受けた場合には早急にリカバリーを図る必要があります。日ごろからセキュリティインシデントに対しての対策を考慮しておき、インシデント発生時の業務への影響を最小限にするような工夫も必要ですが、もしインシデントにより業務への少なからぬ影響が発生した場合には早急に対策を検討し、リカバリー策を講じます。
A もっとも確実な初期化、再インストール
いずれの場合にも、事前に決められているポリシーに従い速やかに的確に対処することが重要です。 |
||
| (2) 再発防止 | ||
|
セキュリティインシデントが発生した場合には、その原因を追究し再発防止を心がけます。発生の原因には直接的な原因のほかにその背景に真の原因がある場合が多いものです。直接的な原因を除去する対策だけでは、同じインシデントの再発は防止できても、形を変えた同じようなインシデントが発生する可能性は十分あります。真の原因を追究し、その対策を立てなければ、真の原因から派生した形を変えたインシデントが再発する可能性は大きくなります。 |
.PNG)