10.3. インシデントレスポンス計画を実施する

行動プランを作成したら、意見の一致、そして積極的な実施が必要となります。 積極的なプランの実施中に疑問視された側面は、侵害・妨害の 発生の際、 不充分な対応時間とダウンタイムが予測される結果となる可能性があります。 訓練を行なうことがいかに大切であるかということです。 プランが実際に実稼働環境に施行される前に問題が無いようであれば、 直接に関りのあるすべての人が行動プランの実施に同意してから 確信を持って実施するべきです。

侵害・妨害が検知されCERTが迅速な対応にあたる場合、考え得るレスポンスは様々です。チームは、ネットワーク接続をオフにして、 感染したシステムを切り離し、パッチを当ててから、これ以上に複雑な事態にならないよう 迅速に再接続するなどの決定をすることができます。また、チームは犯人を監視しその行動を 追跡することもできます。安全にかつ実稼働のリソースを壊すことなく 侵入を追跡するために、犯人をハニーポット — 故意に偽データを格納しているシステムまたはネットワークのセグメント — にリダイレクトすることさえできます。

インシデントに対する対応は可能な限り情報収集することも必要となります。 プロセスの実行、ネットワーク接続、ファイル、ディレクトリ、その他にも いろいろなことをリアルタイムで積極的に監査する必要があります。 比較するため実稼働リソースのスナップショットをとるのは不審なサービスやプロセスを 追跡するのに役に立ちます。CERTメンバーと社内のエキスパートはシステム内の異常などを 追跡するる重要な人材です。システム管理者はtopまたは psの実行中、出現すべきプロセスと出現すべきではないプロセスを 見分けます。ネットワーク管理者は snortまたはtcpdumpの実行中、 正常なネットワーク通信の形態がどうあるべきかを判断します。 チームメンバーは自社の システムを理解し、基盤構造に不慣れな誰かが気づくより先に 異常を発見できなければ なりません。