インシデントが発生したときの対応というのは、以外に難しい。
過去には、某スーパーにて、牛肉の産地偽装が発覚した。このとき、レシートを持たなくても自己申告だけで、購入した代金を返金するという対応を取った。これにより、実際には買っていない人も大量に返金を求め、実際の販売金額の何倍もの返金をすることになってしまったのである。

インシデントは突然にやってくる。事件が発生してからあたふたするのではなく、事前にどうするかというマニュアルを整備しておく必要があるだろう。

過去問をいくつか見ましょう。

H22SC春午後Ⅱ問2
インシデント発生後の対応手順については、H22SC春午後Ⅱ問2がとても参考になる。
IRTでは,インシデント対応を円滑に行うためにIRTメンバ向けのインシデント対応マニュアルを作成することとし,その具体的な内容として図4に示す各項目を検討した。
(1)インシデント対応に必要なリソース(機器や情報など)の整備
(2)ログ管理
(3)ログなどにおける異常事象の分析
(4)インシテント発生時の初期対応と作業の記録
(5)インシデントの証拠収集
(6)収集した証拠の分析と原因の究明,システムの復旧方法
(7)社内外の連絡方法と最新のセキュリティ情報の収集
図4 1RTメンバ向けのインシデント対応マニュアルに記載する内容

図4中の(1)に関し,必要な機器については,予算面の問題もあることから,優先度の高いものから順に整備を進めていくことになった。また,業務系システムと開発系システムの構成情報は情報システム課と開発課,ネットワーク課が個別に管理していたが,既存のグループウェアを利用してIRTメンバが双方のシステムの構成情報を閲覧できるようにした。

図4中の(2)については,まず,現状を把握するために,現在の業務系と開発系のシステムで取得しているログの情報を収集し,リストアップすることにした。その結果,取得しているログの管理が機器ごとにそれぞれ異なることが判明した。このままでは,インシデントの原因究明に必要な情報を安全に確保及び保全することが困難なことから,  IRTでは今年度中に③ログ管理のポリシを策定することとした。来年度以降には各機器のログのバックアップと統合管理を行うシステムの導入を検討する予定である。
図4中の(3)については,情報システム課と共同でシグネチャベースのIPS(侵入防止システム)をDMZに導入し,攻撃を受ける可能性が高いDMZ上のサーバヘの脅威を分析することとした。開発系システムにもIPSの導入を検討したが,予算が厳しいことと,インターネットに対して公開しているサーバがないことから今年度の導入は見送った。ただし,開発系システムのFWのログについては定期的な分析を行うことにした。
図4中の(4)については,インシデント発生の報告を受けた後の対応について検討した。 PCの紛失やサーバヘの攻撃など,インシデントのタイプを何種類か想定し,そのタイプごとにインシデント原因の究明,被害の拡大防止及び仮復旧の方法をマニュアル化することにした。また,作業記録のフォーマットを整備し,個々のインシデント対応に当たってどのような作業を実施したかを記録することにした。
図4中の(5)は,いわゆるコンピュータフォレンジクスの技法についての検討である。インシデント発生時の被害の内容及び範囲の確認並びに発生原因の調査のために必要な情報を確実に保全し,発生した事象を様々な要素から解明することが目的である。 IRTでは,ネットワークのインシデントに関する情報はIPS及びFWでの監視並びにログの取得を行うことで保全することとした。また,コンピュータに接続された記憶媒体上の情報は専用の機器を導入して保全できるようにした。保全された情報は,IRTが分析を行うことにした。
図4中の(6)については,コンピュータフォレンジクスで利用する機器やソフトウェアのベンダや,セキュリティ団体が主催するセミナにIRTメンバが出席するなどして,具体的な技法の習得と(6)の手順化に努めることにした。
図4中の(7)については,インシデント発生時の社内の連絡網及び外部の連絡先を整理し,関連部署への周知を図った。また,外部からのセキュリティ情報の収集の際にIRTでは,インシデント対応のコミュニティにおいて広く利用されている実績がある④PGPを利用した電子署名を採用することにした。
このような検討を経て, IRTメンバ向けのインシデント対応マニュアルが完成し,X社のインシデント対応が本格的に始動することになった。

H28春SC午後2問1
ここでは、インシデントが発生したときの流れが書いてあります。
いきなり幹部に報告するのか、まずは現状調査をするのか、いきなり対処をするのか、迷いますよね。それらの順序付けがされています。
irt
参考ですが、空欄aには「対応の要否」が入ります。

H22春SC午後2問2
T課長:場合によっては発生したインシデントの内容を[ b ]/cc (コーディネーションセンター)のような外部機関に報告する必要もありそうだ。そのような場合の手順も整備しないといけないね。
Sさん:どれだけ予防策をとってもインシデントの発生をゼロにすることはできないので,①インシデント対応の体制を事前に作っておくことが必要ではないでしょうか。

設問1
(1)本文中の[ b ]に入れる適切な字句を,10字以内で答えよ。
(2)本文中の下線①について,“事前に作っておくこどのメリットを,インシデントの原因究明の観点から,  35字以内で述べよ。 (H22春SC午後2問2)
試験センターの解答例は以下だ。

(1)JPCERT
(2) 原因究明に必要な情報の収集に迅速かつ組織的に着手できること

JPCERT/CCに関しては、以下も参照いただきたい。
http://sc.seeeko.com/archives/4554416.html


 過去問(H24春AP午後問9改編)を見ましょう。
 ポイントは、以下です。
・事後対応を適切にするには、事前の準備が大切である
・インシデントの影響範囲を拡大させない
・インシデントの原因・影響の調査に必要となる記録を消滅させない
・業務へ影響を最小限にする(やみくもにネットワークを切断したり、サーバを停止しない)
インシデント対応の経緯を整理したH部長は,G課長に次のような指摘をして,対応手順を見直すよう指示した。
(1)インシデント発生時の連絡体制の整備について
・今回関係者への連絡が遅れたという事実への反省から,インシデント発生時に連絡すべき社内各部署の責任者,及び外部の機関を一覧にして連絡先を記載し,それを関係者に配布する。
・インシデントの内容や発生場所に応じて,[ e ]し,連絡先とともに文書化する。
(2)対応手順の整理について
・一部の部署には影響があったが,対応手順に大きな問題はなかった。しかし,対応手順をその場で検討するのではなく,インシデントの内容や発生場所ごとに手順をあらかじめ想定して,それを文書化しておくべきである。
・今回の対応ではやむを得なかったが,セキュリティに関する攻撃を受けたおそれがあるなどの限定された状況以外では,ネットワークの切断を実施すべきではない。まず,対応手順の実施によってインシデントの影響範囲を拡大させないこととともに,インシデントの原因・影響の調査に必要となる記録を消滅させないことや業務へ影響を及ぼさないという,二次的損害の防止を考慮して対応手順を実施すべきである。また,実施に当たっては,[ f ]を怠らないことも重要である。あわせて,意思決定プロセスや判断基準をあらかじめ制定しておくことも検討すべきである。
・今回の対応では,ログの解析作業において,各ログ間の前後関係がすぐには特定できず,作業に手間取るという事象が発生した。①このための対策を実施すべきである。
設問2 本文中の[ e ]に入れる適切な字句を20字以内で答えよ。
設問3 本文中の[ f ]に入れる適切な字句を,30字以内で答えよ。
設問4 本文中の下線①について,最も適切な対策を解答群の中から選び,記号で答えよ。
解答群
ア NTPサーバをネットワーク内に設置して,各機器の時刻を同期させる。
イ SNMPを使って,機器の情報を収集する。
ウ ログ解析ツールを導入する。
エ ログのバックアップを,書換え不能な媒体に取得する。

試験センターの解答例は以下です。
設問2 召集すべき要員をあらかじめ選定
設問3 影響を受けるおそれのある部署への事前連絡
設問4 ア