インシデントレスポンス 【incident response】
概要
インシデントレスポンス(incident response)とは、企業などの組織内で、情報システムやデータの安全を脅かすセキュリティインシデントへ対処すること。特に、専門の部署や人員が組織的、体系的にインシデント対応を実施すること。「インシデント」(incident)とは事案、事象などの意味を持つ英単語で、重大な結果に繋がりかねない出来事や状況、異変、危機などを意味する。インシデントレスポンスにおけるインシデントは組織におけるサイバーセキュリティ上の異変や外部からの攻撃などを指す。
現代の企業などが遭遇するセキュリティ上のインシデントには、不正アクセス、マルウェア感染、フィッシング、DoS攻撃、標的型攻撃、ランサムウェア、Webサイトの改竄など多岐に渡り、事業や業務の継続を脅かす深刻な被害に繋がることもある。インシデントレスポンスにも専門スタッフによる体系的、包括的なアプローチが求められる。
インシデントレスポンスは一般に、発生前の計画や準備、監視に始まり、インシデントの検知と特定、被害拡大を防ぐ封じ込めと記録や関連データの保全、マルウェアや不正ツールなど脅威の除去、被害に遭ったシステムやデータの復旧、関係機関への通告やセキュリティ対策の改善点の検討などの事後対応の順に進められる。
組織内で迅速にインシデントレスポンスを進めるため、「CSIRT」(Computer Security Incident Response Team)などの専門的な部署の設置が推奨されており、対応を支援するためシステム監視など専門的なサービスを提供する事業者もある。様々な組織のインシデント対応を支援するための国家レベルの機関もあり、日本ではJPCERT/CCなどがインシデント情報の収集や攻撃手法の注意喚起、対応支援などを行っている。
(2024.7.25更新)