Entry № 585
インシデントレスポンス
インシデントレスポンス とは何ですか?
インシデントレスポンスサイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
インシデントレスポンス(IR)は、情報資産の機密性・完全性・可用性を脅かす事象に対する構造化された対応です。NIST SP 800-61 では準備、検知・分析、封じ込め、根絶、復旧、事後活動の 6 フェーズを定義し、SANS は同様の PICERL モデルを用います。有効な IR は、検証済みプレイブック、オンコール体制、連絡網、法務・広報連携、SIEM・SOAR・EDR・フォレンジックトリアージなどのツールに支えられます。目的は被害と復旧時間の最小化、そして得られた知見を予防・検知能力へ還元することです。
● 例
- 01
確認された BEC を封じ込めるためにトークン取消、認証情報リセット、関係者への通知を実施。
- 02
ランサムウェアに感染した ERP の根絶と復旧を、IT・法務・経営層と連携して進める。
● よくある質問
インシデントレスポンス とは何ですか?
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
インシデントレスポンス とはどういう意味ですか?
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
インシデントレスポンス からどのように防御しますか?
インシデントレスポンス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
インシデントレスポンス の別名は何ですか?
一般的な別名: IR, サイバーインシデント対応。