SEC 10: インシデントの予測、対応、復旧はどのように行いますか?

組織に支障をきたすことを最小限に抑えるために、セキュリティインシデントのタイムリーで効果的な調査、対応、復旧に備えることが重要です。

リソース

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

ベストプラクティス:

改善計画

重要な人員と外部リソースを特定する

  • 組織内の主要な人員を特定する: インシデント対応と復旧に必要な組織内の人員の連絡先リストを保持します。
  • 外部パートナーを特定する: 必要に応じて、インシデント対応と復旧を支援できる外部パートナーと連携します。
  • インシデント管理計画を作成する

  • 利用可能なリソースを確認する: AWS および業界のリソースを使用できます。
    AWS Security Incident Response Guide
    NIST: Computer Security Incident Handling Guide
  • インシデント対応プレイブックを策定する: わかりやすいプレイブックには、インシデントに対応して復旧するための手順が詳しく記述されている必要があります。
  • エスカレーションおよびコミュニケーション計画を策定する: エスカレーションおよびコミュニケーションには、インシデント中の各ステージで連絡する必要がある組織内の人員と外部関係者が含まれている必要があります。
  • 外部広報計画を策定する: インシデントに関する情報をリリースするための広報計画を策定します。
  • フォレンジック機能を備える

  • フォレンジック機能を確認する: 組織のフォレンジック調査機能、利用可能なツール、外部スペシャリストを調査します。
    Automating Incident Response and Forensics
  • 封じ込め機能を自動化する

  • 封じ込め機能を自動化する
  • アクセスを事前プロビジョニングする

  • アクセスを事前プロビジョニングする: セキュリティ担当者がインシデントに適切に対応できるように、セキュリティ担当者に AWS への適切なアクセス権が事前に設定されていることを確認します。
  • ツールを事前デプロイする

  • ツールを事前デプロイする: セキュリティ担当者がインシデントに適切に対応できるように、セキュリティ担当者に適切なツールが AWS で事前デプロイされていることを確認します。
    Lab: Incident response with AWS Management Console and CLI
    Incident Response Playbook with Jupyter - AWS IAM
    AWS Security Automation
  • リソースのタグ付けを実施する: インシデント時にリソースを特定できるように、調査対象のリソースのコードなどの情報をリソースにタグ付けします。
    AWS Tagging Strategies
  • ゲームデーを実施する

  • ゲームデーを実施する: さまざまな脅威について、インシデント対応イベントのシミュレーション (ゲームデー) を実施します。このゲームデーには、主要なスタッフや管理者を参加させてください。
  • 教訓から学ぶ: ゲームデーの実行から得られた教訓は、プロセスを改善するためのフィードバックに含まれている必要があります。