<インシデントマネジメント①~インシデントマネジメントの概要を理解する~>
今回から複数回に分けてインシデントマネジメントについて備忘録的にご紹介をしていこうと思います。ちなみにインシデントマネジメントに関わる知識は情報処理安全確保支援士の資格維持に必要な講習の内容にもなっており、これから情報処理安全確保支援士資格や情報セキュリティマネジメント資格を勉強される方にも有益な内容かと思います! ^^)
さて、第一回目はインシデントマネジメントとは?的な内容を書いていきたいと思います。まずはじめに、インシデントマネジメントは以下の要素で構成されますので覚えておいてください!
~平時のお話~
・脆弱性対応
→自組織の資産管理や関連する脆弱性情報を日頃から取集しておくこと
・事象分析
→収集した情報を更に分析をし、有益で新しい発見をすること
・普及啓発
→言葉のまま。
(試験的なポイントは、「定期的な実施」と「結果のレビュー・改善」をすること)
・注意喚起
→言葉のまま。長期休暇時のセキュリティ注意喚起や情報漏洩事件の社内周知など
・その他インシデント関連業務
→メール訓練サービスやセキュリティ演習など
~非常時のお話~
・インシデントハンドリング
→インシデント発生時以降の対応のこと。以下の4つの要素及びプロセスに更にわかれる。
-検知・受付連絡
-インシデントレスポンス
-報告・情報公開
※NISTSP800-61では以下のように紹介されているが、基本的な要点は一緒!
(あえて、【準備】と入れてインシデント発生前の重要性を強調している感じ!)
-準備(予防)
-検知・分析
-封じ込め・根絶・復旧
-事件後の対応
各項目は別の記事で順番にご紹介していきますが、まずは非常にざっくりと一言で各要素を照会させて頂きました!
ここで大事なことは「インシデントマネジメントの成否は平時の対応で決まる!」ということです。ご覧頂いた通り、インシデントマネジメントの構成要素のほとんどは平時の対応です。もちろん非常時の対応は重要ですが、平時にいかに必要な準備をしておけるかが、いざインシデントが起きた際の対応を大きく左右するということです。( ;∀;)
今回はあまり長くならないようにしたいと思いますので、最後に「インシデントとは何か?」を覚えて頂いて終わりに致します!
・インシデントとは?
→各組織毎の、情報セキュリティー方針(ポリシー)や基準(スタンダード)に違反する若しくは違反する可能性のある脅威。
また、近い概念として「イベント」があり、例えばPCが急にクラッシュしたり、見慣れないポップが突然現れたりするような事象はその段階ではイベントに分類されると言えます。但し、それらのイベントが【情報セキュリティー方針や基準に違反する若しくは違反する可能性がある!】と判断されるとイベントはインシデントに進化するのです。
インシデントとはそもそも何かについてなんとなく掴んで頂けたでしょうか?('ω')
次回以降より詳細にご紹介をしていきますので引き続き、お願い致します!
今回は以上です!!
※年末に表層でGETしたヒラスズキです。小さめですが・・・