フォレンジックと IR
インシデント対応計画
別称: IRP, サイバーインシデント対応計画
定義
サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
インシデント対応計画(IRP)は戦略を運用手順に落とし込みます。役割(インシデントコマンダー、広報リード、法務窓口)、深刻度分類、エスカレーション経路、コミュニケーションテンプレート、証拠取扱手順、外部連絡先(法執行機関、規制当局、リテイナー)を定義します。多くは NIST SP 800-61 のライフサイクルに準拠し、ランサムウェア、BEC、データ流出、内部脅威などのプレイブックを含みます。机上演習と実機演習で検証し、インシデントごとに更新し、広域障害時にもオフラインで参照できるよう保持する必要があります。GDPR、HIPAA、NIS2 などは文書化された IR 能力を要求します。
例
- ランサムウェアプレイブックにより 30 分以内に隔離・情報統制・リテイナー起動を発動。
- DPO 主導で GDPR の 72 時間以内通知に対応する個人データ侵害の通報フロー。
関連用語
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
机上演習
関係者が会議形式で仮想のサイバーインシデントを通し演じ、計画・役割・意思決定・コミュニケーションを検証するシミュレーション。
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
Business Impact Analysis (BIA)
Business Impact Analysis (BIA) — definition coming soon.
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。