四つ目は「インシデント対応の全体プロセス」です。3/6では平常時に実施すべきことを学習しましたが、今回はインシデントハンドリングの対応として下記NISTのSP800-61 Rev.2に基づき流れを学習しました。

https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

インシデントハンドリング自体はCSIRTの事後対応型サービスとして位置付けられています。

尚、自社内のシステムに対するセキュリティ部隊CSIRTですが、下記の活動が一連の業務として説明されています。

・事前対応型サービス…平常時に行うサービス

・品質管理サービス

・事後対応型サービス…アラートと警告/インシデントハンドリング/脆弱性ハンドリング/アーティファクトハンドリング

詳細は下記リンクのようなHPが参考になります。

現代のCSIRTが提供するサービスをまとめた一覧「FIRST CSIRT Framework Version 1.1」【海外セキュリティ】 - INTERNET Watch

近年では、自社製品に対するインシデントハンドリングを目的とした「PSIRT」組織も増えているとのことです。

ちなみにリンク貼りましたがまだ読めてません（笑）

続きは来週振り返りながらやりたいと思います。 

にほんブログ村