2.7 KiB
2.7 KiB
インシデントについて
外部または内部の悪意ある行為が関与する可能性がある事象
- 不正ログイン
- 管理者権限の不審な使用
- デフォルトパスワード悪用
- マルウェア感染
- 情報漏えいの疑い
- WAF / IDS アラートなど
事故とインシデントの違い
事故は想定内のトラブルでミスや善意が前提です。復旧優先です インシデントは攻撃・侵害の可能性があり、悪意・敵対者がいることが前提です 証拠保全・封じ込め優先で組織判断(CSIRT)となります
初動について
切らずにIP制限が理想。 でも「確実に守れる状態を作る」ために切る判断は間違いではない。
- インシデント宣言を行う
- インシデント扱い宣言
- 再起動・再デプロイ禁止
- 再起動や停止を禁止する(隔離を優先してください)
- 「証拠破壊+攻撃状況のリセット」になる
- 隔離が難しい場合の対応
- システム全体は止めないでアプリを遮断など
- チェック項目
- パスワード / APIキー / SECRET_KEY を変えた
- 電源を切る前にスナップショットを保存したのか
- 管理画面を閉じた
- 外向き通信を少しでも制限した
- 外との通信を遮断(隔離)
- 通信・認証・権限を止めて“動かしたまま隔離”がベストです
- 侵入されたユーザーを無効化する
- APIキー / トークン / SECRET_KEY 無効化 or ローテーション
- 管理画面をIP制限 or 非公開
- 攻撃元IPをFW/WAFで遮断
Actions
【Phase 0】宣言(30秒)
- インシデント扱い宣言
- 再起動・再デプロイ禁止
【Phase 1】安全確保(5分)
- 管理画面を非公開
- 該当エンドポイント停止
- IP制限を有効化
- SECRET_KEY / APIキー ローテ
【Phase 2】状況別判断
Q1:OSレベル侵入の兆候はある?
- Yes → Phase 3A
- No → Phase 3B
【Phase 3A】OS侵入 / マルウェア疑い
- 通信遮断
- ログ保存
- スナップショット
- インスタンス停止
【Phase 3B】Web侵入のみ
- サービス継続
- 更新系API停止
- 監視強化
【Phase 4】復旧
- 侵入口の恒久修正
- 認証情報全再発行
- 再発防止策適用
ケースについて
侵入の疑い
↓
誰でもアクセス可能?
↓ Yes
入口を閉じる(IP/認証)
↓
OS侵入の兆候あり?
↓ Yes ──→ 通信遮断 → スナップショット → 停止
↓ No
インスタンスは落とさず運用継続