インシデントレスポンス
インシデントレスポンス(Incident response)は、ウイルス感染、不正アクセス、情報漏えいなどのインシデント(重大なトラブルにつながる事象)を前提に対策を整えるという考え方。「IR」とも呼ばれる。
インシデントレスポンスを実施するためには、「準備」「特定」「封じ込め」「根絶」「復旧」「教訓」の6つのステップがある。
1)準備:セキュリティインシデントを想定し、情報の収集とリスク分析、ポリシーの策定、マニュアルの作成など、必要な準備を行う。
2)特定:インシデントが発生した場合、発生原因を特定する。
3)封じ込め:原因を特定したら、ポリシーやマニュアルに沿って、適切な封じ込め対策を講じる。
4)根絶:検出したマルウェアを削除するなど、インシデントの影響を根絶する。
5)復旧:被害を受けたシステムを迅速に復旧させる。
6)教訓:発生したインシデントを教訓として、再発防止のための対策を実施する。
日々、多様化・複雑化するサイバー攻撃を完全に防ぐことは不可能と言われている。企業の信用性を失わないためにも、サイバー攻撃を防ぐ対策と並行して、防ぎきれなかった場合のインシデントレスポンスの重要性が高まっている。
