セキュリティチェックシート：アラート/検知の仕組みをどう答える？

### このページの目的 リアルタイム検知（Detection）に関する質問に対し、過剰な約束をせずに「最低限のリスクは拾える」ことをアピールします。 ### 得られるもの - 基本的なアラート設定例（ログイン失敗等） - クラウド標準機能を使った検知の説明 - 通知フロー --- ### 回答テンプレート #### パターンA：重要イベント重点監視（標準） ```text 以下の重要セキュリティイベントについては、発生と同時にシステム管理者およびセキュリティ担当者へチャット/メールで自動通知されます。 - 管理画面へのログイン失敗（連続5回以上） - 管理者権限（ロール）の変更 - Security Group（ファイアウォール）のルール変更 - 未知のIPアドレスからの管理者ログイン ``` #### パターンB：GuardDutyなどクラウド機能活用 ```text AWS GuardDuty（脅威検知サービス）を有効化しており、不審な通信やコインマイニング、APIの異常利用を24時間365日体制で自動監視しています。 検知イベントは即座にチケット管理システムへ起票され、SLAに基づき対応を開始します。 ``` --- ### 添付・証跡として用意すべきもの 1. **アラート設定画面**: CloudWatch Alarms等の設定リスト。 2. **通知の実例**: Slackやメールに飛んできたアラートのスクショ。 ### やってはいけないNG回答 - ❌ 「常に監視カメラで見ています」（有人監視は嘘とバレる） - ❌ 「AIが検知します」（具体的ロジックがないと怪しい） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **検知対象** | 死活監視、リソース不足 | + セキュリティイベント、異常行動 | | **通知先** | 担当者メール | チャットツール連携または電話発報 |