インシデント対応
Incident Response
IT基礎解説
情報漏えいや不正アクセスなどのセキュリティ事故(インシデント)が発生した際に、被害範囲の特定・封じ込め・証拠保全・関係者への報告などを行う一連の対応手順のことです。
さらに詳しく解説
インシデント対応とは、情報漏えいや不正アクセス、マルウェア感染といったセキュリティ事故(インシデント)が発生した際に、被害を最小限に抑えるために実施する一連の対応手順のことです。具体的には、「検知・初動対応」「被害範囲の特定」「封じ込め」「証拠保全」「原因究明」「復旧」「再発防止策の策定」というステップで進めます。
たとえば、従業員のパソコンがランサムウェアに感染した場合、まず感染端末をネットワークから切り離して被害の拡大を防ぎ(封じ込め)、どのデータが影響を受けたかを調査し、顧客や取引先など関係者へ速やかに報告します。その後、感染経路を特定して同じ事故が起きないよう対策を講じます。
事前にインシデント対応計画(IRP)を策定しておくことで、いざというときに混乱なく動くことができ、被害の拡大防止や信頼回復の速度が大きく向上します。また、法令や業界規定によっては、一定時間内の当局への報告義務がある場合もあるため、対応手順の中に報告フローを組み込むことが重要です。
注意点として、事後対応だけでなく、定期的な訓練や手順の見直しを行わないと、実際の現場で手順通りに動けないケースが多く見られます。インシデント対応は「備え」があってこそ機能する仕組みです。
