セキュリティチェックシート：インシデント時の調査手順（ログの使い方）

### このページの目的 インシデント発生時の対応能力（IR: Incident Response）を証明するためのテンプレートです。 ### 得られるもの - ログを使った調査フローの記述 - 「いつまで遡れるか」の回答 - 実際の手順書っぽい具体性 --- ### 回答テンプレート #### パターンA：標準的フロー ```text セキュリティインシデント発生時は、以下の手順でログ調査を実施します。 1. **スコープ特定**: 検知時刻および対象リソース（IP/ユーザー）を特定 2. **ログ保全**: 対象期間のログデータを隔離し、書き込み禁止設定を実施（証拠保全） 3. **影響範囲調査**: アクセスログおよび変更ログを検索し、流出データの範囲および不正変更の有無を特定 4. **報告**: 調査開始から24時間以内に第一報、72時間以内に詳細レポートを作成 ``` #### パターンB：ツール活用による迅速化 ```text 統合ログ管理ツールにより全システムのログを横断検索可能です。 ユーザーIDをキーに「そのユーザーが前後1週間で何をしたか」を数秒でリストアップ可能であり、侵入経路および被害範囲の特定を迅速（数時間以内）に完了させる体制を整えています。 ``` --- ### 添付・証跡として用意すべきもの 1. **インシデント対応マニュアル（目次）**: 「ログ調査手順」の項目があること。 2. **検索クエリ例**: 実際にどんなコマンド/クエリで調査するか。 ### やってはいけないNG回答 - ❌ 「都度対応します」（計画性なし） - ❌ 「ベンダーに任せています」（自社で責任を持てない） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **調査主体** | 担当者が手動調査 | セキュリティチームまたはSOC | | **ツール** | grep / Excel | ログ分析ツール / SIEM |