🎓 レベル:標準 | 重要度:A(必須) 📎 前提:ログと監視(SIEM/SOC) ⚠️ プロセスの版は更新される(要最新確認)。本稿は NIST SP 800-61 の4段階を基準に整理。
要点(BLUF)
- インシデント対応(IR)は、侵害時に慌てず一貫して動くための定型プロセス。事故の最中に手順を考えないために、平時に決めておく。
- NIST SP 800-61 の4段階:準備 → 検知と分析 → 封じ込め・根絶・復旧 → 事後活動。最後の学びが次の準備に戻る循環。
- 最重要は準備。連絡体制・権限・手順・バックアップが平時に整っているかが、被害の大小を分ける。
概念:事故の最中に設計しない
インシデントは緊張と時間制約の中で進みます。その場で「誰に連絡?」「どう隔離?」を考えていては被害が広がります。だから平時に手順を決め、訓練しておく。これがインシデント対応プロセスの目的です。NIST CSF 2.0(セキュリティガバナンスとフレームワーク(NIST CSF 2.0))の Respond/Recover を具体化したものです。
仕組み:NIST SP 800-61 の4段階
| 段階 | 目的 | 主な活動 |
|---|---|---|
| 1. 準備(Preparation) | 事前に備える | 体制・連絡網・手順書・権限・バックアップ・訓練 |
| 2. 検知と分析(Detection & Analysis) | 本物の事案か見極める | アラート確認・トリアージ・影響範囲の把握 |
| 3. 封じ込め・根絶・復旧(Containment, Eradication & Recovery) | 止めて・除き・戻す | 隔離・原因除去・クリーンな状態へ復旧 |
| 4. 事後活動(Post-Incident Activity) | 学ぶ | 根本原因分析・再発防止・手順の改善 |
補足:NIST はインシデント対応を CSF 2.0 の機能(特に Govern/Respond/Recover)に整合させる方向で更新を進めています(要最新確認)。段階の本質(備える→気づく→止める→学ぶ)は変わりません。
flowchart LR
P["1 準備(体制・手順・バックアップ)"] --> D["2 検知と分析(トリアージ)"]
D --> C["3 封じ込め・根絶・復旧"]
C --> A["4 事後活動(根本原因・改善)"]
A -->|"教訓を次の備えへ"| P
仕組み:封じ込めの考え方
段階3は順序が大切です。
- 封じ込め(Containment):まず広がりを止める。影響範囲を隔離し、横移動(ファイアウォールとセグメンテーション)を断つ。ただし証跡を壊さない配慮も要る(フォレンジックの基礎)。
- 根絶(Eradication):原因(侵入経路・残された不正な仕掛け)を取り除く。
- 復旧(Recovery):クリーンと確認できた状態から、バックアップ等で正常運用へ戻す。監視を強化して再発を確認。
「急いで全部消して復旧」は、原因が残ったまま再侵害されたり、証拠を失ったりします。止める→原因を断つ→確認して戻すの順を守ります。
防御側の使い方/設定
- 平時に IR 計画を作る:役割(指揮・技術・広報・法務)、連絡網、判断権限、エスカレーション基準を明文化。
- 手順書(Playbook)を用意:典型シナリオ別に初動を定型化。検知(ログと監視(SIEM/SOC))からの導線を作る。
- バックアップと復旧を検証:戻せることを定期的にテスト(可用性=情報セキュリティとは(CIAとAAA))。バックアップ自体も保護する。
- 訓練(机上演習):手順が実際に回るか、年に数回は通しで確認する。
- 事後に必ず学ぶ:非難でなく原因究明。改善を次の準備へ反映(PDCA)。
なぜ安全か:時間を味方につけ、学習で強くなる
IR プロセスが効くのは2点です。(1) 平時の準備により、事故時の判断と初動が速くなり、被害が拡大する前に封じ込められる。検知(ログと監視(SIEM/SOC))が早いほど効果が増す。(2) 事後活動で毎回の事故を改善に変えるため、同じ手口に二度はやられにくくなる。守りが経験を通じて強くなる循環を作ります。
仕組みの直観
インシデント対応は火災対応です。火が出てから消火器の場所や避難経路を考えては手遅れ。平時に消火器を配置し、避難訓練をし、通報手順を貼っておく(準備)。出火したら、まず延焼を止め(封じ込め)、火元を消し(根絶)、安全確認後に再開(復旧)、最後に原因を調べて再発防止(事後)。火事のたびに防火体制が改善されるのと同じです。
⚠️ よくある誤解・設定ミス
- 準備を軽視する:事故時に手順が無く右往左往。平時に計画・訓練を。
- いきなり全消去・復旧:原因が残り再侵害、証跡も消失。封じ込め→根絶→復旧の順で。
- バックアップを検証しない:いざ戻せない/バックアップも暗号化被害。復旧テストと保護を。
- 事後活動を飛ばす:学ばなければ同じ事故を繰り返す。根本原因分析を必ず。
- 連絡・権限が不明確:誰が判断するか曖昧だと初動が遅れる。役割を事前に決める。
対応 lab
組織プロセスが主題のため lab は置きません。机上演習のシナリオは security-study/exercises/ に記録します。
関連
- 検知からの導線 → ログと監視(SIEM/SOC)
- 証跡の保全 → フォレンジックの基礎
- 横移動を止める封じ込め → ファイアウォールとセグメンテーション