8.3 不正アクセスを受けた場合の対処方法
前のページへ

8.3.1 セキュリティポリシーにしたがったインシデント対策

システムへの侵入行為または兆候を発見したならば、管理者の独自の判断で対応するのではなく、事前に定められているセキュリティポリシーのインシデント対応手順にしたがい対策を実施することが望ましい。

このインシデント対応手順のセキュリティポリシーは、対象システムの規模や使用目的、情報の機密度、運用コストなどにより異なってくるが、基本となる対応システムは大きくは変わらない。本モデルでは、インシデントが発生した場合の一般的な対応手順を解説する。

1) インシデントの発生

インシデント(システムへの侵入など)を発見した場合、不正アクセスを受けたサーバーをネットワークから物理的に遮断する。これは、サーバーを隔離することで、不正アクセスの被害をこれ以上拡大させないためである。

2) セキュリティ対策委員会へ報告

インシデントが発生したことをセキュリティ対策委員会へ報告する。このセキュリティ対策委員会とは、システムや組織のセキュリティ対策推進を担う組織であり、組織内に必ず設置する必要がある。また、セキュリティ対策委員会メンバーは複数人で構成し、緊急連絡が取れるような体制を築くことが望ましい。

3) 被害状況と原因の調査

セキュリティ対策委員会の指示にしたがい、不正アクセスによる被害状況と不正アクセスの原因を調査する。調査結果から、対策方法とシステムの復旧方法を決定する。

4) 対策と復旧の方法

調査結果を基にセキュリティ対策委員会が、管理者に対して対策方法とシステムの復旧方法を指示する。対策方法がセキュリティパッチの適用であった場合、「8.1.2 セキュリティ維持作業」の「2) パッチ適用」で示したような手順に基づきパッチ適用作業を実施する。

不正アクセスの原因や被害状況が正確に判明しない場合や被害が広範囲に及んでいる場合は、システムの部分的な復旧作業を行わず、OSのインストールから行う、クリーンなシステムの再構築が必要である。再構築には、OSインストール、パッチ適用、データや各種設定ファイルなどの復旧作業が含まれる。

対策や復旧作業を実施した場合、セキュリティ対策委員会がそのセキュリティ対策情報をドキュメント化し、管理する必要がある。

5) 被害の届け出

セキュリティ関連団体では、セキュリティ対策方法の助言やインシデントに関係している他組織への交渉、不正アクセスの追求などをサポートしてくれる。このようなセキュリティ関連団体へ報告することも、ひとつのセキュリティ対策である。また、団体によって運営方針が異なるので、インシデントの状況によって適した団体へ報告する必要がある。

セキュリティ関連団体:

  情報処理振興事業協会 セキュリティセンター(IPA/ISEC):
   http://www.ipa.go.jp/security/index.html

  コンピュータ緊急対応センター(JPCERT/CC):
   http://www.jpcert.or.jp/

  都道府県警察本部のハイテク犯罪相談窓口:
   http://www.npa.go.jp/police_j.htm

このようなインシデント対策は複雑であるので、自組織のみで対応することが困難である場合は、セキュリティサービスを提供している企業に相談することもセキュリティ対策の1つの方法である。

 参考資料
  情報処理振興事業協会 セキュリティセンター(IPA/ISEC)
  「情報セキュリティセミナー実施報告インシデントマネジメント(スピーカーズノート)」:
   http://www.ipa.go.jp/security/awareness/administrator/incident.pdf

 

前のページへ
目次へ
ログの監査
第8章の目次


Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.