インシデント発生時には、「証拠保全」がとても重要です。今回は、その証拠保全についてのポイントを家良さんに語っていただきます。
– 証拠保全に関するポイント –
インシデントが発生したと思ったら…
・被害の拡大や証拠となるデータの消失に繋がる恐れがあるため、被害端末に対する不必要な操作は避けましょう
・端末や環境に対して、誰がいつどんな対応をとったのかを細かく記録し、後からでもイベントの判別や対応状況の確認が出来るようにしましょう
・保全に関してどのような行動をとればいいのか迷ったときは、すぐに専門の業者に相談しましょう
(連載「イエラエセキュリティ CSIRT支援室」は、「診断業界の切り込み隊長」として存在感を発揮する株式会社イエラエセキュリティの公式ブログ「SECURITY BLOG」から、創造力あふれるイエラエセキュリティのCSIRT支援の情熱を伝える記事を厳選して掲載しています)
