サイバー犯罪被害に遭った際、詳細調査を外部セキュリティ専門業者に依頼する企業も少なくないでしょう。
ですが、各企業自身で十分な事前準備を行っていない場合、分析精度の低下やデータ復旧が困難となってしまうことがあります。

組織体制の準備

CSRITの結成

サイバー犯罪発生時に迅速かつ的確な対応がとれるよう臨時体制を予め固めておきます。
参考:サイバーセキュリティ経営ガイドライン

システム整備

ロギング ログ取得対象と保存期間を決定し、運用ルールを作成して当該ログを継続保管します。
分析に必要なログがとれていない場合、専門業者にも詳細を掴めない場合があります。
時刻同期 複数の機器をまたがってログ調査を行う場合に、時系列に並べ直して整理できるようにします。
バックアップ データ破損・改変時の復旧手段を確保します。
バックアップポリシーの見直し、定期リストアテストを実施し、クラウド業者が取得している(ユーザが利用可能な)バックアップ情報も把握します。

プロセス

検出

インシデントを検出するための運用ルールを作成します。

証拠保全

複製対象データの選定及び複製方法を明文化します。

作業記録

証拠能力を保持するため必ず複数人で作業を行い、作業ログを取得します。
対応内容を明文化し、可能な限り写真や映像等の改変不可な形式で残します。

定期トレーニング

揮発性の高い情報の場合、業者到着前に迅速に証拠保全を行う必要があり、どのツールを使用し、どのメディアに複製するかを事前に選定・準備します。

機材

証拠保全

揮発性の高い情報の場合、業者到着前に迅速に証拠保全を行う必要があり、どのツールを使用し、どのメディアに複製するかを事前に選定・準備します。

契約

契約内容の把握

クラウド、回線、OS、ミドルウェア、アプリケーション、セキュリティサポート等の各契約内容を把握します。
併せて、自社の責任範囲も把握します。

契約先の選定

セキュリティインシデント発生時にフォレンジックを外部専門業者に依頼する場合、その選定を行います。