# インシデントについて

外部または内部の悪意ある行為が関与する可能性がある事象

* 不正ログイン
* 管理者権限の不審な使用
* デフォルトパスワード悪用
* マルウェア感染
* 情報漏えいの疑い
* WAF / IDS アラートなど

## 事故とインシデントの違い

事故は想定内のトラブルでミスや善意が前提です。復旧優先です
インシデントは攻撃・侵害の可能性があり、悪意・敵対者がいることが前提です
証拠保全・封じ込め優先で組織判断(CSIRT)となります

## 初動について

切らずにIP制限が理想。
でも「確実に守れる状態を作る」ために切る判断は間違いではない。

* インシデント宣言を行う
  * [ ] インシデント扱い宣言
  * [ ] 再起動・再デプロイ禁止
* 再起動や停止を禁止する(隔離を優先してください)
  * 「証拠破壊＋攻撃状況のリセット」になる
  * 隔離が難しい場合の対応
    * システム全体は止めないでアプリを遮断など
  * チェック項目
    * [ ] パスワード / APIキー / SECRET_KEY を変えた
    * [ ] 電源を切る前にスナップショットを保存したのか
    * [ ] 管理画面を閉じた
    * [ ] 外向き通信を少しでも制限した
* 外との通信を遮断（隔離）
  * 通信・認証・権限を止めて“動かしたまま隔離”がベストです
  * 侵入されたユーザーを無効化する
  * APIキー / トークン / SECRET_KEY 無効化 or ローテーション
  * 管理画面をIP制限 or 非公開
  * 攻撃元IPをFW/WAFで遮断


## Actions

### 【Phase 0】宣言（30秒）

* [ ] インシデント扱い宣言
* [ ] 再起動・再デプロイ禁止


### 【Phase 1】安全確保（5分）

* [ ] 管理画面を非公開
* [ ] 該当エンドポイント停止
* [ ] IP制限を有効化
* [ ] SECRET_KEY / APIキー ローテ

### 【Phase 2】状況別判断

**Q1：OSレベル侵入の兆候はある？**

* Yes → Phase 3A
* No  → Phase 3B

### 【Phase 3A】OS侵入 / マルウェア疑い

* [ ] 通信遮断
* [ ] ログ保存
* [ ] スナップショット
* [ ] インスタンス停止

### 【Phase 3B】Web侵入のみ

* [ ] サービス継続
* [ ] 更新系API停止
* [ ] 監視強化


### 【Phase 4】復旧

* [ ] 侵入口の恒久修正
* [ ] 認証情報全再発行
* [ ] 再発防止策適用

## ケースについて

```
侵入の疑い
↓
誰でもアクセス可能？
↓ Yes
入口を閉じる（IP/認証）
↓
OS侵入の兆候あり？
↓ Yes ──→ 通信遮断 → スナップショット → 停止
↓ No
インスタンスは落とさず運用継続
```