コンピュータセキュリティインシデント管理

コンピュータセキュリティ情報技術の分野において、コンピュータセキュリティインシデント管理とは、コンピュータまたはコンピュータネットワーク上のセキュリティイベントの監視と検出、そしてそれらのイベントに対する適切な対応の実行を指します。コンピュータセキュリティインシデント管理はインシデント管理の特殊な形態であり、その主な目的は、損害を与えるイベントやコンピュータ侵入に対する十分に理解され、予測可能な対応策を開発することです。[ 1 ]

インシデント管理には、プロセスと、それに従う対応チームが必要です。米国では、コンピュータセキュリティインシデント管理の定義は、国家インシデント管理システム(NIMS)に記載されている標準と定義に準拠しています。インシデントコーディネーターは、緊急セキュリティインシデントへの対応を管理します。自然災害など、緊急サービスの対応が必要な事態が発生した場合、インシデントコーディネーターは緊急サービスのインシデントマネージャーとの連絡役を務めます。[ 2 ]

インシデント対応計画

インシデント対応計画(IRP)は、サイバー攻撃に対する組織の対応を規定する一連のポリシーです。ネットワーク侵入検知システム(NIDS)やホストベース侵入検知システム(HIDS)(設定されている場合)などによってセキュリティ侵害が特定されると、この計画が開始されます。[ 3 ]データ侵害には法的影響が生じる可能性があることに注意することが重要です。地方および連邦の法律を理解することが不可欠です。[ 4 ]すべての計画は組織のニーズに固有のものであり、ITチームに属さないスキルセットが必要になる場合があります。[ 5 ]例えば、データ侵害の法的影響に対処するために弁護士を対応計画に含める場合があります。

前述のように、すべてのプランは独自のものですが、ほとんどのプランには次の内容が含まれます。[ 6 ]

準備

適切な準備には、インシデント対応チーム(IRT)の育成が含まれます。[ 7 ]このチームが活用すべきスキルとしては、侵入テスト、コンピュータフォレンジック、ネットワークセキュリティなどがあります。 [ 8 ]このチームは、サイバーセキュリティと最新の攻撃戦略の動向を常に把握しておく必要があります。[ 9 ]エンドユーザー向けのトレーニングプログラムも重要です。また、最近の攻撃戦略のほとんどはネットワーク上のユーザーを標的にしています。[ 6 ]

準備フェーズの一環として、インシデント対応計画を策定し、次の点に対処する必要があります。

  • 役割と責任
  • インシデント対応チーム(IRT)のメンバーとその職務を一覧表示します
  • 通信プロトコル
  • トレーニングと意識向上
  • ログ記録ポリシーと構成
  • イベントステータスの定義としきい値
  • 一般的なインシデントの種類に応じたプレイブックとランブック
  • 法的およびコンプライアンス上の考慮事項[ 10 ]

識別

インシデント対応計画のこの部分では、セキュリティイベントが発生したかどうかを特定します。[ 11 ]エンドユーザーから情報が報告された場合、または管理者が不審な点に気付いた場合、調査が開始されます。インシデントログはこのステップにおいて重要な部分です。チームの全メンバーがこのログを更新し、情報が可能な限り迅速に伝達されるようにする必要があります。[ 12 ]セキュリティ侵害が発生したことが確認された場合は、次のステップに進みます。[ 13 ]

封じ込め

このフェーズでは、IRTは侵害が発生した領域を隔離し、セキュリティイベントの範囲を限定します。[ 14 ]このフェーズでは、後のプロセスで分析できるように、情報をフォレンジック的に保存することが重要です。[ 15 ]封じ込めは、サーバールームを物理的に封じ込めるだけの単純なものから、ウイルスの拡散を防ぐためにネットワークをセグメント化するだけの複雑なものまであります。 [ 16 ]

根絶

ここで、特定された脅威は影響を受けるシステムから削除されます。[ 17 ]これには、悪意のあるファイルの削除、侵害されたアカウントの終了、またはその他のコンポーネントの削除が含まれます。[ 18 ] [ 19 ]一部のイベントではこの手順は必要ありませんが、この手順に進む前にイベントを完全に理解することが重要です。[ 20 ]これにより、脅威が完全に除去されることが保証されます。[ 16 ]

回復

この段階では、システムは元の動作状態に戻されます。[ 21 ]この段階では、データの復旧、ユーザーアクセス情報の変更、将来の侵入を防ぐためのファイアウォールルールやポリシーの更新などが行われる可能性があります。[ 22 ] [ 23 ]このステップを実行しないと、システムは将来のセキュリティ脅威に対して脆弱なままになる可能性があります。[ 16 ]

学んだ教訓

このステップでは、このプロセスで収集された情報が、将来のセキュリティに関する意思決定に使用されます。[ 24 ]このステップは、将来のセキュリティイベントを確実に防止するために不可欠です。この情報を活用して管理者のトレーニングを強化することは、このプロセスにとって非常に重要です。[ 25 ]このステップは、セキュリティイベントを経験した他の組織から提供される情報を処理するためにも使用できます。[ 26 ]

参照

参考文献

  1. ^ 「ISO 17799|ISO/IEC 17799:2005(E)」 .情報技術 - セキュリティ技術 - 情報セキュリティマネジメントのための実践規範. ISO著作権事務局. 2005年6月15日. pp.  90– 94.
  2. ^ 「NIMS - インシデント・コマンド・システム」 .国家インシデント管理システム. 国土安全保障省. 2004年3月1日. 2007年3月18日時点のオリジナルよりアーカイブ。 2007年4月8日閲覧
  3. ^ Fowler, Kevvie (2016)、「コンピュータセキュリティインシデント対応計画の策定」データ侵害の準備と対応、Elsevier、pp.  49– 77、doi : 10.1016/b978-0-12-803451-4.00003-4ISBN 978-0-12-803451-42021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  4. ^ Bisogni, Fabio (2016). 「州のデータ侵害通知法の限界を証明する:連邦法は最も適切な解決策か?」 . Journal of Information Policy . 6 : 154–205 . doi : 10.5325/jinfopoli.6.2016.0154 . JSTOR 10.5325/jinfopoli.6.2016.0154 . 
  5. ^ 「各パートの計画を理解する」Turbo Flow、Productivity Press、pp.  21– 30、2017年7月27日、doi : 10.1201/b10336-5ISBN 978-0-429-24603-62021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  6. ^ a bウィルズ、レナード(2019年2月27日)「サイバーインシデント対応の簡潔なガイド」アメリカ法曹協会
  7. ^ジョンソン、レイトンR.(2014)、「パート1.インシデント対応チーム」コンピュータインシデント対応およびフォレンジックチーム管理、エルゼビア、pp.  17– 19、doi10.1016 / b978-1-59749-996-5.00038-8ISBN 978-1-59749-996-52021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  8. ^ 「コンピュータインシデント対応とフォレンジックチームの管理」 .ネットワークセキュリティ. 2014 (2): 4. 2014年2月. doi : 10.1016/s1353-4858(14)70018-2 . ISSN 1353-4858 . 
  9. ^ 「サイバーセキュリティの脅威の現状と将来の動向」サイバーセキュリティ、ラウトレッジ、pp.  304– 343、2015年4月16日、doi : 10.1201/b18335-12ISBN 978-0-429-25639-42021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  10. ^ Cichonski, Paul; Millar, Thomas; Grance, Tim; Scarfone, Karen (2012-08-06).コンピュータセキュリティインシデント対応ガイド(報告書). 米国国立標準技術研究所.
  11. ^情報技術。セキュリティ技術。情報セキュリティインシデント管理、BSI英国規格、doi : 10.3403/30268878u 、 2021年6月5日閲覧
  12. ^ターナー、ティム(2011年9月7日)、「私たちの始まり:成功物語の始まりとなったチームメンバー」すべてのレベルでワンチーム、プロダクティビティプレス、pp.  9– 36、doi10.4324/9781466500020-2ISBN 978-0-429-25314-02021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  13. ^エルランガー、レオン(2002年)『防御戦略』PCマガジン、p.70。
  14. ^ 「ベオグラードのメインストリートで。このイベントは絶対的に行われた」Radical Street Performance、Routledge、pp.  81– 83、2013年11月5日、doi : 10.4324/9781315005140-28ISBN 978-1-315-00514-02021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  15. ^ホワイト、マーク・D. (2013). 「なぜ選択がそれほど重要なのか、そしてそれを維持するために何ができるのか」. 『選択の操作』 . パルグレイブ・マクミラン. pp.  127– 150. doi : 10.1057/9781137313577_7 . ISBN 978-1-137-31357-7
  16. ^ a b c「コンピュータセキュリティインシデント対応ガイド」(PDF) Nist.gov 2012年。
  17. ^ Borgström, Pernilla; Strengbom, Joachim; Viketoft, Maria; Bommarco, Riccardo (2016年4月4日). 「表S3:有意でないパラメータが除去されていない線形混合モデルの結果」 . PeerJ . 4 : e1867. doi : 10.7717/peerj.1867/supp-3 .
  18. ^ペンフォールド、デイビッド(2000年)「ファイルとディレクトリの選択、コピー、移動、削除」ECDLモジュール2:コンピュータの使用とファイルの管理、ロンドン:シュプリンガーロンドン、pp.  86– 94、doi10.1007/978-1-4471-0491-9_6(2025年7月11日非アクティブ)、ISBN 978-1-85233-443-7{{citation}}: CS1 maint: DOIは2025年7月時点で非アクティブです(リンク) CS1 maint: ISBN付きの作業パラメータ(リンク
  19. ^ Gumus, Onur (2018). ASP.NET Core 2の基礎:このサーバーサイドWebアプリケーションフレームワークでクロスプラットフォームアプリと動的Webサービスを構築する. Packt Publishing Ltd. ISBN 978-1-78953-355-2. OCLC  1051139482 .
  20. ^ 「生徒は学習内容を理解しているのか?」指導のトラブルシューティング』ラウトレッジ、pp.  36– 40、2005年2月25日、doi : 10.4324/9780203416907-8ISBN 978-0-203-41690-72021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  21. ^エンティックナップ、レオ(2013)「映画はどこで修復されるのか、どこから来たのか、誰が修復するのか?」『Film Restoration』、パルグレイブ・マクミラン、pp.  45– 70、doi10.1057/9781137328724_3ISBN 978-1-137-32872-4{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  22. ^ Liao, Qi; Li, Zhen; Striegel, Aaron (2011-01-24). 「ファイアウォールルールは公開可能か - ゲーム理論的観点から」 .セキュリティとコミュニケーションネットワーク. 5 (2): 197– 210. doi : 10.1002/sec.307 . ISSN 1939-0114 . 
  23. ^フィリップ・ブックマン、デイビッド・J・グリーンウォルド、ニルファー・フォン・ビスマルク(2013年)。欧州証券規制に関する第12回年次研究会:現在の市場における取引成立の課題の克服プラクティザイジング・ロー・インスティテュート。ISBN 978-1-4024-1932-4. OCLC  825824220 .
  24. ^ 「図1.8. 社会保障費は増加している一方で、自己資金は減少している」 doi : 10.1787 /888932459242 . 2021年6月5日閲覧。
  25. ^ 「情報ガバナンス:重要な第一歩」Safeguarding Critical E-Documents、ホーボーケン、ニュージャージー州、米国:John Wiley & Sons、Inc.、pp.  13– 24、2015年9月19日、doi10.1002/9781119204909.ch2ISBN 978-1-119-20490-92021年6月5日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  26. ^ He, Ying (2017年12月1日). 「情報セキュリティインシデント学習の課題:中国の医療機関における産業事例研究」(PDF) .医療と社会福祉のための情報科学. 42 ( 4): 394– 395. doi : 10.1080/17538157.2016.1255629 . PMID 28068150. S2CID 20139345 .  

さらに読む

「 https://en.wikipedia.org/w/index.php?title=Computer_security_incident_management&oldid=1334059252」より取得