101 lines
2.7 KiB
Markdown
101 lines
2.7 KiB
Markdown
# インシデントについて
|
||
|
||
外部または内部の悪意ある行為が関与する可能性がある事象
|
||
|
||
* 不正ログイン
|
||
* 管理者権限の不審な使用
|
||
* デフォルトパスワード悪用
|
||
* マルウェア感染
|
||
* 情報漏えいの疑い
|
||
* WAF / IDS アラートなど
|
||
|
||
## 事故とインシデントの違い
|
||
|
||
事故は想定内のトラブルでミスや善意が前提です。復旧優先です
|
||
インシデントは攻撃・侵害の可能性があり、悪意・敵対者がいることが前提です
|
||
証拠保全・封じ込め優先で組織判断(CSIRT)となります
|
||
|
||
## 初動について
|
||
|
||
切らずにIP制限が理想。
|
||
でも「確実に守れる状態を作る」ために切る判断は間違いではない。
|
||
|
||
* インシデント宣言を行う
|
||
* [ ] インシデント扱い宣言
|
||
* [ ] 再起動・再デプロイ禁止
|
||
* 再起動や停止を禁止する(隔離を優先してください)
|
||
* 「証拠破壊+攻撃状況のリセット」になる
|
||
* 隔離が難しい場合の対応
|
||
* システム全体は止めないでアプリを遮断など
|
||
* チェック項目
|
||
* [ ] パスワード / APIキー / SECRET_KEY を変えた
|
||
* [ ] 電源を切る前にスナップショットを保存したのか
|
||
* [ ] 管理画面を閉じた
|
||
* [ ] 外向き通信を少しでも制限した
|
||
* 外との通信を遮断(隔離)
|
||
* 通信・認証・権限を止めて“動かしたまま隔離”がベストです
|
||
* 侵入されたユーザーを無効化する
|
||
* APIキー / トークン / SECRET_KEY 無効化 or ローテーション
|
||
* 管理画面をIP制限 or 非公開
|
||
* 攻撃元IPをFW/WAFで遮断
|
||
|
||
|
||
## Actions
|
||
|
||
### 【Phase 0】宣言(30秒)
|
||
|
||
* [ ] インシデント扱い宣言
|
||
* [ ] 再起動・再デプロイ禁止
|
||
|
||
|
||
### 【Phase 1】安全確保(5分)
|
||
|
||
* [ ] 管理画面を非公開
|
||
* [ ] 該当エンドポイント停止
|
||
* [ ] IP制限を有効化
|
||
* [ ] SECRET_KEY / APIキー ローテ
|
||
|
||
### 【Phase 2】状況別判断
|
||
|
||
**Q1:OSレベル侵入の兆候はある?**
|
||
|
||
* Yes → Phase 3A
|
||
* No → Phase 3B
|
||
|
||
### 【Phase 3A】OS侵入 / マルウェア疑い
|
||
|
||
* [ ] 通信遮断
|
||
* [ ] ログ保存
|
||
* [ ] スナップショット
|
||
* [ ] インスタンス停止
|
||
|
||
### 【Phase 3B】Web侵入のみ
|
||
|
||
* [ ] サービス継続
|
||
* [ ] 更新系API停止
|
||
* [ ] 監視強化
|
||
|
||
|
||
### 【Phase 4】復旧
|
||
|
||
* [ ] 侵入口の恒久修正
|
||
* [ ] 認証情報全再発行
|
||
* [ ] 再発防止策適用
|
||
|
||
## ケースについて
|
||
|
||
```
|
||
侵入の疑い
|
||
↓
|
||
誰でもアクセス可能?
|
||
↓ Yes
|
||
入口を閉じる(IP/認証)
|
||
↓
|
||
OS侵入の兆候あり?
|
||
↓ Yes ──→ 通信遮断 → スナップショット → 停止
|
||
↓ No
|
||
インスタンスは落とさず運用継続
|
||
```
|
||
|
||
|