💣

コーポレートIT インシデントランブック - 簡易版

2025/02/04に公開

内部向けに書いたけど、外部でもたまに役立つこともあるので
一旦雑に書いておく。

📖 読んでほしい人

コーポレートITをオペレートするメンバー
コーポレートITの責任者

❓️ インシデントとは?

「出来事」 「事件」などの意味を表す英単語です。ビジネスにおいては、何らかの問題が発生し
あと一歩で事件や事故につながりかねない状況のことを指します。

アクシデントやヒヤリハットと混同しないように注意してください。

📚️ CITが取り扱うインシデントの主な種類

🗑️ 紛失

  • 情報資産を紛失した事実
    = 情報資産を紛失した可能性がある事案

☠️ 盗難

  • 情報資産の盗難

☔ 流出

  • 情報の流出

📞 検知と連絡 - インシデントの報告を受けた際のアクション

1️⃣ Slackチャンネルの作成

インシデントの報告を受けた場合は、情報の集約と関係者の周知の為に
速やかにSlackチャンネルを作成してください。

2️⃣ 事象とアクティビティを時系列に表示する

Slackの箇条書き等を利用し視覚的に情報をまとめます。(例)

foobarインシデントの時系列まとめ
- XXXX年XX月XX日XX時XX分XX秒
  - @nakashun がhogehogeを受信し、@michael に報告
- XX時XX分頃
  - @michael が連絡を受け、Slackチャンネル作成・関係者の招待
  - @nakashun がpiyopiyoを調査
- XX時XX分
  - 調査した結果、XX月XX日に @bob のアクティビティにより fugafugaがfooになっていることを @michael が確認
  -XX時XX分
- @john が合流し、@nakashun @michael とHuddleを開始
  - 恐らくfooをbarに変更するべきでは という内容
  - なぜなら、fooだとインターネット上に公開されてしまう為 本来はbarが正しい実装
- XX時XX分
  - @sigsig が合流し、追加調査を開始
  - コンソール上でbazに気付き、hamとeggsのデバイスとアカウントをロックアウト

対応の体制を速やかに構築する為に、関係者全員をSlackチャンネルに追加します。

🦺 初動対応 - インシデントを認識した後のアクション

1️⃣ 事象の詳細を基に、すぐに実施できる対応を検討する

デバイスやアカウントのロックアウト・アクティビティの調査・情報の整理など
当事者の人数や役割に応じて、すぐに実施すべきアクションを列挙し
責任者を含めて意思決定しながら作業を行います。

2️⃣ アクティビティの証拠保全

基本的に、コーポレートITではアクティビティが消失するケースは少ないと考えられますが
判断材料となったログやアクティビティはSlackチャンネルに添付することで、証拠を保全し
関係者全員に必要な情報として共有します。

3️⃣ 原因の追求とタスクの列挙

収集したアクティビティ等から、次に行うべきアクションを列挙し
タスクとしてそれぞれの役割にアサインします。
必要に応じて、原因の追求と対応策・再発防止策を検討します。

📚️ 対応時のマインド

「わからん」を絶対に残さない

「わからん」は対応を妨げたり、憶測が膨らむ原因になるので潰す
わかる人が見つかるまで捜す

予想される原因の解決になっているか を模索する

暫定対応・恒久対応を分離し、被害の拡大を最小化することを優先する
被害の拡大を止められなければ何の意味もない ぐらいのエッジでOK

Discussion