ストーリー
佐
佐藤CTO
セキュリティインシデントはいつか必ず起きる。問題は”起きるかどうか”ではなく”起きた時にどれだけ速く対応できるか”だ
佐
佐藤CTO
準備なしにインシデントに対応しようとすると、パニックと混乱が広がる。事前に計画を立て、訓練しておくことが被害を最小化する鍵だ
NISTインシデント対応フレームワーク
6つのフェーズ
graph LR
P["準備<br/>Preparation"] --> D["検知<br/>Detection"]
D --> C["封じ込め<br/>Containment"]
C --> E["根絶<br/>Eradication"]
E --> R["復旧<br/>Recovery"]
R --> L["教訓整理<br/>Lessons"]
L -->|継続的改善| P
classDef prepare fill:#0d6efd,stroke:#0a58ca,color:#fff
classDef detect fill:#f5a623,stroke:#c47d10,color:#fff
classDef contain fill:#e94560,stroke:#c23050,color:#fff
classDef recover fill:#198754,stroke:#146c43,color:#fff
class P prepare
class D detect
class C,E contain
class R,L recover| フェーズ | 主な活動 | 担当 |
|---|---|---|
| 準備 | 体制構築、ツール整備、訓練 | セキュリティチーム全体 |
| 検知 | 監視、アラート、トリアージ | SOC / オンコール |
| 封じ込め | 被害拡大の防止、隔離 | インシデントコマンダー |
| 根絶 | 原因の除去、パッチ適用 | エンジニアリングチーム |
| 復旧 | サービス復旧、正常性確認 | SRE / インフラチーム |
| 教訓整理 | ポストモーテム、改善策策定 | 全関係者 |
インシデント重大度分類
| レベル | 名称 | 基準 | 対応時間 | エスカレーション |
|---|---|---|---|---|
| P1 | Critical | データ漏洩、全サービス停止 | 15分以内 | CTO + 経営層 |
| P2 | High | 一部サービス停止、セキュリティ侵害の疑い | 30分以内 | セキュリティリード |
| P3 | Medium | パフォーマンス劣化、不審なアクティビティ | 2時間以内 | チームリード |
| P4 | Low | 軽微な異常、情報収集段階 | 翌営業日 | 担当エンジニア |
インシデント対応体制
役割と責任(RACI)
| 役割 | 責任 |
|---|---|
| インシデントコマンダー(IC) | 全体統括、意思決定、エスカレーション判断 |
| テクニカルリード | 技術調査の指揮、対応策の立案 |
| コミュニケーションリード | 社内外への情報発信、ステータスページ更新 |
| スクライブ(記録係) | タイムライン記録、議事録作成 |
| サブジェクトマターエキスパート | 専門領域の調査・対応 |
War Room の運用
War Room 設置基準: P1 または P2 インシデント
構成:
- 専用Slackチャンネル: #incident-YYYY-MM-DD-概要
- ビデオ通話: 常時接続(Zoom/Meet)
- ドキュメント: インシデントノート(Google Doc / Notion)
ルール:
1. ICの指示に従う
2. 調査結果は必ずチャンネルに記録
3. 推測と事実を明確に区別する
4. 30分ごとにステータス更新コミュニケーション計画
社内コミュニケーション
| タイミング | 対象 | 内容 | チャネル |
|---|---|---|---|
| 検知直後 | インシデント対応チーム | 初期情報、War Room案内 | Slack + PagerDuty |
| 30分ごと | 経営層(P1/P2) | ステータス更新 | メール + Slack |
| 解決後 | 全社 | インシデントサマリー | メール |
| 1週間以内 | 関係者 | ポストモーテム | ドキュメント共有 |
社外コミュニケーション
| 対象 | タイミング | 内容 |
|---|---|---|
| ユーザー | 影響確認後速やかに | ステータスページ更新 |
| 規制当局 | 法定期限内(72時間等) | 個人情報漏洩の場合 |
| パートナー | 影響がある場合 | 個別連絡 |
インシデント対応プレイブック例
Webアプリケーション侵害の場合
1. 検知・トリアージ(15分)
□ アラートの確認と重大度判定
□ 影響範囲の初期評価
□ インシデントコマンダーの任命
2. 封じ込め(30分)
□ 該当サーバーのネットワーク隔離
□ 侵害されたアカウントの無効化
□ WAFルールの緊急追加
□ フォレンジック用のログ・メモリダンプ取得
3. 根絶(2-4時間)
□ 攻撃経路の特定
□ バックドアの除去
□ 脆弱性のパッチ適用
□ 影響を受けた認証情報のローテーション
4. 復旧(1-2時間)
□ クリーンな環境からの再デプロイ
□ サービスの段階的復旧
□ 監視強化(24時間)
5. 教訓整理(1週間以内)
□ タイムラインの整理
□ ポストモーテムの実施
□ 改善アクションアイテムの策定まとめ
| ポイント | 内容 |
|---|---|
| フレームワーク | NIST の6フェーズに沿って体系的に対応する |
| 重大度分類 | P1-P4で対応速度とエスカレーション先を明確化 |
| 体制 | IC、テクニカルリード、コミュニケーションリード等の役割を事前定義 |
| コミュニケーション | 社内外の連絡先・タイミング・内容を計画化 |
次のステップへ
次はセキュリティ文化の醸成について学びます。
推定読了時間: 25分