報告書番号

R11011

タイトル（和文）

情報セキュリティインシデントの原因特定調査方法

タイトル（英文）

A Guideline for Cause Analysis and Incident Investigation in Computer Security Incident Response

概要 （図表や脚注は「報告書全文」に掲載しております）

企業にとってITシステムの安全性の確保は重要な課題であり，そのために様々な予防策が施されている。しかし，未知の攻撃や誤操作等の完全な予防は不可能であり，情報セキュリティインシデント（以下インシデント）が発生した際に，その原因を速やかに特定し，被害を抑えるための対応が行えるようにしておく必要がある。そこで，インシデントの原因を特定するための調査項目や調査方法，攻撃元を調査する方法を，以下のようにとりまとめた。
(1) インシデントの原因となるサイバー攻撃毎に，① 想定される被害，② 観測できる可能性のある事象，③ 原因を特定するための調査項目と調査方法をとりまとめた。さらに，観測された事象から，サイバー攻撃および偶発的な脅威（故障や作業ミス等）を特定する手段を明らかにした。
(2) サイバー攻撃の攻撃元を，① 組織外（インターネット等），② 組織内の不正接続機器，③ 組織内の正規機器に分類し，以下に示す調査方法や留意点をとりまとめた。

概要 （英文）

Computer security incident response has become an important component of an enterprise IT department because security threats have become more frequent, diverse and disruptive. For a rapid incident response, it is necessary to investigate and to identify a cause of the incident accurately. This report clarifies (1) observable evidences in an incident caused by typical threats, e.g., SQL injection, ARP spoofing and buffer overrun attack, (2) investigation methods of sources of threats, and (3) procedures to identify causes of typical incidents. With the support of this report, a system administrator is expected to perform rapid incident response.

報告者

キーワード