Introduction | Spirit | History | Technology | Human Resource | Formation |
いま、セキュリティを脅かしている事象に対応する
インシデントレスポンス
インシデントレスポンスはCSIRTの活動の中核であり、その支援はJPCERT/CCの活動の原点です。JPCERT/CCでは、国内外から日々提供されるインシデント報告等の情報をもとに、主として日本国内に関連したインシデントの発生状況を把握するとともに、インシデント被害の拡大防止や再発防止を目的として、技術的な支援や、対応に必要な調整を行っています。
インシデントレスポンスとは
インシデントレスポンスとはインシデントに対応する活動全般のことですが、一言でインシデントレスポンスといっても、実際の活動としては、インシデントの発見から、必要な情報やデータの収集、緊急対応の実施、影響範囲や原因の特定、関係各所との調整、復旧対応などにいたるまで、その活動は多岐にわたります。
また、対応が必要なインシデントの種類も様々です。フィッシング、Webサイト改ざん、マルウエア感染、DDoS攻撃、標的型攻撃など、日々様々に発生するインシデントについて、優先度を決定するとともに、発生したインシデントに応じた対応を進める必要があります。
例えば、同じマルウエア感染であっても、オンラインバンキングのアカウントを窃取するマルウエアに感染した場合と、その組織固有の重要情報を窃取するために特別に作りこまれた標的型攻撃用のマルウエアに感染した場合とでは、インシデント対応の方法は異なるでしょう。また、同じフィッシングであっても、自組織のブランドが悪用された場合、自組織が管理するサイトにフィッシングサイトが立ち上げられた場合、自組織内のユーザがフィッシングサイトに誘導されてしまった場合とでは、それぞれとるべき対応は異なります。
もちろん、インターネットを介したインシデントに国境はなく、自組織のみでインシデント対応が完結することもまれなため、対外的なコミュニケーションが可能な窓口機能を用意することもインシデント対応における重要なポイントの一つです。
JPCERT/CCのインシデントレスポンス支援サービス
図1:インシデントの関係者間の調整を行い、攻撃の中止や再発防止策等を講じます。
JPCERT/CCは日本国内の組織が関わるインシデント報告の受付窓口として、インシデントレスポンスの対応作業支援、発生状況の把握、手口の分析、再発防止のための対策の検討と助言などを行っています。
インシデント報告の受付状況などを分析した結果、広く同種のインシデントの発生が懸念される場合には、注意喚起情報などを発行し、対応を呼びかけます。
自組織や主として日本国内の組織が関連するインシデントを発見した場合に、JPCERT/CCにインシデント報告をすることで、インシデントの相談や問題解決のための調整を依頼することができます。JPCERT/CCでは、国内関係組織との調整対応はもとより、国際的なCSIRT連携を活用して海外組織との調整も行い、問題解決を支援しています。また、海外からの相談や対応依頼にもとづいて、国内組織へのインシデントの調整連絡や技術支援を行うこともあります。
JPCERT/CCからの連絡によって、組織に関連したインシデントが初めて認識されるケースも少なくありません。
インシデント対応依頼の詳細(コチラ)をご覧ください。
Introduction | Spirit | History | Technology | Human Resource | Formation |