10.3. インシデントレスポンス計画を実施する

行動プランを作成したら、意見の一致、そして積極的な実施が必要となります。積極的なプランの実施中に疑問視された側面は、侵害・妨害の 発生の際、不充分な対応時間とダウンタイムが予測される結果となる可能性があります。訓練を行なうことが不可欠になります。プランが実際に実稼働環境に施行される前に問題が無いようであれば、直接に関りのあるすべての人が行動プランの実施に同意してから確信を持って実施するべきです。

侵害・妨害が検知されCERTが迅速な対応にあたる場合、考え得るレスポンスは様々です。チームは、ネットワーク接続をオフにして、感染したシステムを切り離し、パッチを当ててから、これ以上に複雑な事態にならないよう迅速に再接続するなどの決定をすることができます。また、チームは犯人を監視しその行動を追跡することもできます。安全にかつ実稼働のリソースを壊すことなく侵入を追跡するために、犯人をハニーポット — 故意に偽データを格納しているシステムまたはネットワークのセグメント — にリダイレクトすることさえできます。

インシデントに対する対応は可能な限り情報収集することも必要となります。プロセスの実行、ネットワーク接続、ファイル、ディレクトリ、その他にもいろいろなことをリアルタイムで積極的に監査する必要があります。比較するため実稼働リソースのスナップショットをとるのは不審なサービスやプロセスを追跡するのに役に立ちます。CERTメンバーと社内のエキスパートはシステム内の異常などを追跡するる重要な人材です。システム管理者はtopまたは psの実行中、出現すべきプロセスと出現すべきではないプロセスを見分けます。ネットワーク管理者は snortまたはtcpdumpの実行中、正常なネットワーク通信の形態がどうあるべきかを判断します。チームメンバーは自社のシステムを理解し、基盤構造に不慣れな誰かが気づくより先に異常を発見できなければなりません。