RPCI(リプシィ)とは、国立研究開発法人 情報通信研究機構(NICT)が提供している情報処理安全確保支援士特定講習向けの演習です。
RPCI=Response Practice for Cyber Incidents
今回のコラムではRPCI参加で学んだ内容を紹介します。
(RPCIでは具体的な演習内容については機密となっていますので伏せております。)
当日を迎える前に事前オンライン学習でインシデントマネジメントの基礎を学びます。
日頃は触れることのないツールを使用したログ解析などの技術的なスキルを習得することができました。
演習当日は、約30名の参加者が6つのチームに分かれて、仮想組織のCSIRTとして演習を行います。
演習概要は「正体不明のマルウェアの感染から情報漏えい事案に発展したインシデントのハンドリング」です。
演習によるインシデントハンドリングは下記のような流れで行われました。
《検知・連絡受付》
インシデント第一報や検知の予兆からインシデントレスポンスのスタートとなります。
正しい発信源からの通報であるかが確認することが重要視されます。
PoC(Point of Contact)と言われる統一窓口を周知しておくことが必要です。
《トリアージ》
ヒアリングやログ解析などでの事実関係の確認を行った結果、対処の優先順位を付けます。
ヒアリングに抜けが無いように、事前に5W1Hヒアリングシートの準備をしておきます。
《インシデントレスポンス》
初動対応では、対応方針の決定や証拠保全を行います。
特に証拠保全は原因の究明には不可欠な要素ですので、そのままの状態での情報確保が重要です。
引き続き、封じ込めと根絶の対処を行い、最終的には復旧措置、再発防止策の検討を実施します。
《報告・公表》
インシデントの被害状況や影響範囲に応じて報告・公表を行います。
特に情報漏えいがあった場合には、監督官庁や所轄の警察への届けが必要になります。
《事後対応》
インシデントに関わったすべての関係者が参加して、「振り返り」を実施します。
インシデント収束後、約1ヵ月をめどに行うのが一般的です。
インシデントハンドラーのマネジメント次第で終息するスピードは変わると学びました。
全体を見渡す視点、ネットワークスキル、スピード感の3つのスキル向上が必要だと感じました。
RPCIに詳細については下記リンクをご参照ください。
RPCIサイト
⇒ https://rpci.nict.go.jp/index.html
結論:インシデントトレーニングで大事の時は慌てずに!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
