ポストモーテム
ポストモーテム とは何ですか?
ポストモーテム事案後に開催する非難なしのふり返り。時系列・寄与要因を整理し、再発防止や早期検知につながる具体的アクションを決める。
セキュリティのポストモーテムは、インシデントを組織の学びに変える構造化されたふり返りです。ログ、チケット、チャット履歴から時系列を再構成し、うまくいった点と失敗した点を洗い出し、5 Why や因果マッピングで寄与要因を辿ります。成果物は、欠けていた検知、機能しなかったプレイブック、ツールのギャップ、教育ニーズ、プロセス改善といった、所有者付きの具体的アクションを記した文書です。生産的な運用のためには、人ではなくシステムに焦点をあて、非難を伴わず、時間枠を区切り、アクションがクローズまで追跡されることが重要です。
● 例
- 01
ランサムウェアの寸前事案を見直し、レガシー VPN アカウントで MFA が未設定だったと判明する。
- 02
ノイズの多いアラートが 3 週間前に黙らされ、その後同じ手口で実攻撃が成立したことを記録する。
● よくある質問
ポストモーテム とは何ですか?
事案後に開催する非難なしのふり返り。時系列・寄与要因を整理し、再発防止や早期検知につながる具体的アクションを決める。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ポストモーテム とはどういう意味ですか?
事案後に開催する非難なしのふり返り。時系列・寄与要因を整理し、再発防止や早期検知につながる具体的アクションを決める。
ポストモーテム はどのように機能しますか?
セキュリティのポストモーテムは、インシデントを組織の学びに変える構造化されたふり返りです。ログ、チケット、チャット履歴から時系列を再構成し、うまくいった点と失敗した点を洗い出し、5 Why や因果マッピングで寄与要因を辿ります。成果物は、欠けていた検知、機能しなかったプレイブック、ツールのギャップ、教育ニーズ、プロセス改善といった、所有者付きの具体的アクションを記した文書です。生産的な運用のためには、人ではなくシステムに焦点をあて、非難を伴わず、時間枠を区切り、アクションがクローズまで追跡されることが重要です。
ポストモーテム からどのように防御しますか?
ポストモーテム に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ポストモーテム の別名は何ですか?
一般的な別名: ブレイムレスレビュー, 教訓のふり返り。
● 関連用語
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
- forensics-ir№ 525
インシデント対応計画
サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
- defense-ops№ 999
セキュリティプレイブック
特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。
- forensics-ir№ 1127
机上演習
関係者が会議形式で仮想のサイバーインシデントを通し演じ、計画・役割・意思決定・コミュニケーションを検証するシミュレーション。
- defense-ops№ 660
MTTC(平均封じ込め時間)
セキュリティインシデントの検知から、脅威が拡散・情報窃取・追加被害を生じさせない状態に到達するまでの平均時間。