Contents

  1. whois

技術編より

1. whois

5.3 バックアップ
事業継続に必要なシステムとデータのバックアップは、RaaS 対策でも最も重要である。
対象となるシステム及びデータ、世代管理、復旧方法等はデータ管理プロセスの中で、決定されるべきである。

◼ 組織のデータ管理プロセスの確立
組織のデータの特性に基づいた管理プロセスを確立し、実行する。これにデータの場所、デバイ
ス、ネットワーク経路、機密度、暗号化、知る必要に基づくアクセス制限(これにはドキュメン
ト、ファイル、データベース、アプリケーション、クラウド、サービス等での認証と読取、書込、
変更、削除などの操作権限が含まれる)、バックアップの方法、場所と復元及びその権限、保存期
間、世代管理、法定要件、データのラベリング、データの生成、送信、変更、廃棄に関する要件を
まとめる。

◼ 知る必要に基づくアクセス制御
組織のデータ管理プロセスに基づき、バックアップに対して知る必要に基づくアクセス制御を設定
する。これにはファイル、データベース、アプリケーション、クラウド、サービス等でのアクセス
権限と、読取、書込、変更、削除などの操作権限、ログの取得、バックアップ及び復旧の権限設定
が含まれるが、必要最小限でなければならない。

◼ バックアップデータの暗号化
組織のデータのバックアップと復旧プロセスに基づき、バックアップデータを暗号化する。組織が
必要とする世代の復旧が実際にテストされ、手順書が確立されていなければなら

- 36 -
を行うと、手掛かりを失いフォレンジックに失敗する場合がある。この場合、データの漏洩なども確認でき
なくなる可能性がある。初動については、必ず専門家の助言を受けつつ実施する。
◼ ネットワークの停止
VPN 機器の停止、インターネットの全回線遮断、もしくは接続を許可するホワイトリストを適用す
る。コンピュータの電源は遮断しない。
◼ パスワードの変更
パスワードを窃取された場合に備え、封じ込め時に VPN やドメインアカウント、その他サービス
で利用しているパスワードを即刻変更する。
パスワードの変更やログイン履歴を確認し、ログを保全する。
◼ 封じ込めができた後に攻撃者の排除
侵害機器やアカウントを回復する。
グループポリシーの変更、ユーザやセキュリティグループの変更、追加、削除などを確認し、不審
なアカウントは無効にする。
フォレンジック業者の指示のもと、フォレンジックに備え必要な機器の保全を実施する。
◼ 全事象の記録
確認された事象や設定措置、実施時刻等は、すべて対策本部で一元的に管理する。

6.3 復旧

封じ込め、攻撃者の排除の後、原因の解明、残っているマルウェアの排除などが必要となる。
また、バックアップからの復旧、監視が必要となる。

◼ フォレンジックの実施
フォレンジックによる検体の確保、検体に基づくアンチウイルスのパターン作成、データ流出の確
認を実施する。
◼ アンチウイルスによるマルウェアの排除
検体に対応したパターンを配布し、マルウェアを排除する。ただし、BIOS、UEFI が侵害された場
合は、再感染するため、初期化を実施する。

◼ バックアップからの復旧
手順書に基づくバックアップからの復旧を実施する。また、バックアップに含まれなかったデータの復元を実施する。

◼ ダークウェブの監視
ランサムウェア被害の場合、データが漏洩する可能性があるため、ダークウェブの監視を開始する。
状況に応じてフォレンジック業者に依頼する。

◼ 手順等の見直し
復旧が済んだ時点で、速やかに手順書等の見直しを行い更新する


CategoryDns CategoryWatch CategoryTemplate

MoinQ: Security/実例/つるぎ町立半田病院/有識者会議/backup (last edited 2022-08-20 03:38:28 by ToshinoriMaeno)