2-2-3. 事案発生->課題の抽出->再発防止策の実施までの流れ
インシデントが発生した場合の基本的な対応方法についての紹介となります。図7に示すように、3つのステップで対応します。
図7. インシデント対応の3ステップ
① 検知・初動対応
検知と連絡受付:
インシデントの兆候や実際の発生に気付いた場合は、情報セキュリティ責任者に報告します。責任者は適切な対応が必要と判断した場合には、経営者に報告します。
対応体制の立ち上げ: 経営者は事前に策定している対応方針に従い、役割分担を明確にするために責任者と担当者を指名します。これにより、インシデントに迅速かつ効果的に対応する体制を整えます。
初動対応:
被害の拡大を防ぐために、ネットワークの遮断やシステムの停止等の適切な措置を行います。ただし、システム上に記録が残されている場合は、対象機器の電源を切る際に注意し、記録を消去しないようにします。
② 報告・公表
第一報:
インシデントが発生したことを、被害の拡大を防ぐために関係者全員に適切なタイミングと内容で通知します。通知が困難な場合は、Webサイトやメディアを通じて公表したり、関係する顧客や消費者に対してはお問い合わせ窓口を開設して対応します。
第二報以降・最終報:
インシデント復旧の進捗状況や再発防止策等の詳細情報を報告し、被害者に対する損害の補償を行います。個人情報漏えいの場合は、必要に応じて個人情報保護委員会や関連省庁に報告し、犯罪の可能性がある場合は警察に、ウイルス感染や不正アクセスの場合は情報処理推進機構(IPA)に報告します。
③ 復旧・再発防止
調査・対応:
インシデントの原因や影響範囲を詳しく調査し、適切な対応策を策定します。被害の拡大を止めるために適切な措置をとり、被害の影響を最小限に抑えるよう努めます。
証拠保全:
事実関係を裏付ける証拠等を収集し、訴訟対応や事件解明、法的手続きに活用します。必要に応じてフォレンジック調査を実施し、証拠の確保と分析を行います。
復旧:
インシデントの修復が確認された後、復旧作業を実施します。システムやデータを正常な状態に戻し、ビジネスの継続性を確保します。復旧作業が完了したら、経営者に報告します。
再発防止策:
同様のインシデントが再発しないよう、再発防止策を立案・実施します。セキュリティの強化や従業員の教育・訓練の強化等を通じて、将来のインシデントを防止するための措置を講じます。
(出典) IPA「中小企業のためのセキュリティインシデント対応の手引き」を基に作成
詳細理解のため参考となる文献(参考文献)