<インシデントマネジメント③~事象分析~>
さてさて、インシデントマネジメントについて第3回目となります!まだまだ先は長いですが、お付き合い頂ければと思います( ;∀;)
※第7回目まで書いていく予定です!
今回は事象分析についてです。
私自身、事象分析という単語はあまり聞きなれていなかったのですが皆様はいかがでしょうか?
この事象分析というのは第2回目の脆弱性対応の部分と兄弟のようなものと言えるかと思います。事象分析の最大のゴールは「結果、何を守るのか?」を明確にし、セキュリティ対策の優先度付けていくことと言えます。脆弱性対応の回では、自分たちがどのような資産を持っており、それがどこにあるのか?また、資産に対してどのような脅威や弱点が存在するのかを日々把握する必要があるとご紹介をさせて頂きましたが、そこで取集した内部の情報*¹と外部の情報*²を組み合わせて更に分析をすることで新しい知見を得ようとするのが今回の事象分析のプロセスと理解頂ければと思います!('ω')
*¹例:物理的な資産情報、NW構成情報、エンドポイント端末情報、ソフトウェア及びバージョン管理などなど)
*²例:ベンダーからの製品・サービスに関する脆弱性情報、公的機関からの脆弱性情報、セキュリティインシデント発生の情報、脅威動向の情報などなど)
ここまでで事象分析ってこんな感じか~~と思って頂いていると信じて先に進みたいと思います。
続いては上記で紹介した「分析」の手法をいくつか紹介したいと思います。但し、ここでご紹介する内容は情報処理試験の対策となっても、実際の現場ではあまり意味がないと僕は考えています。あくまで、単語の意味を知っておくという前提で読み進めて頂けると嬉しいです!!
・リアルタイムアナリシス
→即時分析と同義。具体的にはFWのログ、サーバーアクセスログ、NWのパケットキャプチャ情報を「部分的」に組み合わせて分析するような作業です。ポイントは部分的というイメージで全べての情報を組み合わせることよりもスピードを重視します。
・ディープアナリシス
→深堀分析と同義。覚え方としてはリアルタイムアナリシスよりも広く、深く全体をっじっくりと分析していく作業と考えてください。ちなみに、IPAさんは「ネットワークフォレンジック+デジタルフォレンジック」の片方若しくは両方を行うことと、ほぼ同義であるという風に説明されてました。
・脅威分析
→言葉の通りですが、内部・外部にある脅威を分析し、最終的には自組織への影響(リスク)を算定していくプロセスです。尚、リスク分析と被る部分が往々にしてありますが、言葉の違いはあまり意味がありません。最終的に脅威、資産、脆弱性の要素から、「自組織にどのくらいリスクがあるのか?」が明確になればOKです。
以上の3つを覚えて頂ければ情報処理試験対策としては十分です。
最後に少し付け加えさせて頂くと、特にディープアナリシスや脅威分析というのは専門的な知識が必要とされる作業となります。そのため、試験の回答時も実際の現場でも「適切なセキュリティ要員が自組織で確保できない場合、外部の専門家を活用する」という観点は非常に重要です。僕としては、実際の現場で自組織でこここまで実施できるケースは稀です。もちろん、組織規模や業種にもよりますが、まずはリアルタイムアナリシスのような取り組みができるようになることを目指すというのもありかと思います!(^^)/
ありがとうございました!
観葉植物始めました。(笑)
