読者です 読者をやめる 読者になる 読者になる

こんなインシデント対策をしてはいけない

SANS Internet Storm Centerに掲載された投稿で、不正アクセスなどによるコンピュータセキュリティ・インシデントが発生した場合の対策について、こんなインシデントレスポンスはしてはいけないという内容の紹介です。
Internet Storm Center - Internet Security | SANS ISC
項目は、シンプルに4つ。例によって大体の意味を書きます。正確な訳ではないので、原文を読んでください。

  • インシデントレスポンスチームが不眠で数日間対策に当たるような状況にしてはいけない。睡眠不足は作業の質を著しく低下させる。最初の一晩は仕方ないにせよ、それ以降は適切な休養を取れる体制にするべき。
  • 初期の段階で早急に決定を下すことを避ける。状況の把握にある程度の時間を使うのは問題ない。もちろん次のステップへの移行に時間がかかりすぎるのも問題なので、バランスを考えること。
  • 徹底的な調査を行わないうちから、人や会社、国を侵害の犯人と決めつけてはいけない。特に、脆弱性について報告した人を無闇に犯人扱いしないこと。
  • 他に適切な人材がいない場合を除いて、侵害について報告してきた人物をインシデントレスポンスチームのサポートのために雇うようなことはしない。その人物が侵害の犯人ではなかったにせよ、脅迫の可能性を考慮しなければならない。また、"ambulance-chasing"を推奨する理由もない。

"ambulance-chasing"は直訳すると「救急車を追跡する人」ですが、どうやらこれは「交通事故を商売の種にしている悪徳弁護士」という意味のようです。マッチポンプとか、被害を利用して何かを要求してくるような輩に気をつけろ、ということですね。