すべてのプロダクト
Search

このプロダクト

    Managed Security Service:インシデントレスポンスサービス

    ドキュメントセンター

    Managed Security Service:インシデントレスポンスサービス

    最終更新日:Jan 13, 2025

    インシデントレスポンスサービスには、緊急インシデントに 1 対 1 で対応できる経験豊富なセキュリティ専門家がいます。このプロセスでは、セキュリティ専門家は標準のサービス手順とプロジェクト管理手順を採用し、包括的なセキュリティソリューションを開発し、お客様がセキュリティインシデントにできるだけ早く、最小限のコストで対応できるよう支援します。

    インシデントレスポンスサービスの概要

    背景情報

    インシデントレスポンスサービスは、セキュリティ攻撃と防御における長年の実践的な専門知識と管理経験、および情報セキュリティインシデントの対応と処理に関する関連する国家標準に基づいて提供されます。情報セキュリティインシデントが発生した場合、インシデントへの専門的な対応は 24 時間 365 日体制で提供されます。対応は、予防、インテリジェンス情報の収集、軽減、排除、復旧の手順に基づいて実施されます。これにより、インシデントに迅速に対応し、ワークロードを復旧できます。また、インシデント後の効率的なクラウドセキュリティ管理ソリューションの設計と計画も提供され、セキュリティインシデントを防止し、ビジネスへの影響を軽減します。

    サービス参照

    インシデントレスポンスサービスは、サービスの内容とサービスプロセスに関して標準化とサービス品質を確保するために、国家標準に準拠しています。以下は、参照される国家標準と関連する Alibaba Cloud のベストプラクティスです。

    • 情報技術 - セキュリティ技術 - 情報セキュリティインシデント管理ガイド - GB/Z 20985-2007

    • 情報セキュリティ技術 - 情報セキュリティインシデントのカテゴリと分類のガイドライン - GB/Z 20986-2007

    • Alibaba Cloud インシデント対応のベストプラクティス

    セキュリティインシデントの種類

    インシデントレスポンスサービスは、リモートセキュリティ技術サポートを提供し、以下の種類のセキュリティインシデントの処理を支援します。

    種類

    説明

    マルウェアインシデント

    コンピュータウイルス、ワーム、トロイの木馬、ボットネット、ブレンデッド攻撃、Webブラウザプラグインインシデント

    ネットワーク攻撃インシデント

    バックドア攻撃、脆弱性攻撃、ネットワーク盗聴、フィッシング、干渉インシデント

    情報破壊インシデント

    情報の改ざん、偽造、傍受、データ侵害、損失インシデント

    情報セキュリティインシデント

    違法情報の拡散、違法集会の組織、暴徒の扇動、機密事項の誇張など、国家安全保障、社会の安定、公共の利益を脅かすインターネットに関連する情報インシデント。

    説明

    上記のインシデントは、「情報セキュリティ技術 - 情報セキュリティインシデントのカテゴリと分類のガイドライン - GB/Z 20986-2007」に基づいて分類されています。

    サービス内容

    インシデントレスポンスサービスは、リモートインシデント分析オンサイトインシデント分析を提供します。リモートインシデント分析では、セキュリティ専門家がリモート緊急処理と分析サービスを提供します。オンサイトインシデント分析では、セキュリティ専門家がオンサイト緊急処理と分析サービスを提供します。次のセクションでは、サービスの詳細について説明します。

    • ホストが攻撃者によって侵入されているかどうかを確認します。

    • データベースの改ざんやデータ侵害などのセキュリティインシデントを調査します。

    • 進行中の攻撃を処理して、攻撃者によるさらなる攻撃を防ぎます。

    • マイニングプログラム、ウイルス、ワーム、トロイの木馬などの悪意のあるプログラムを見つけて削除します。

    • Webシェル、隠れたリンク、トロイの木馬を Web サイトから見つけて削除します。

    • 侵入によって発生した例外を処理し、ワークロードを迅速に復旧できるよう支援します。

    • 侵入方法を分析し、侵入の原因を特定しようとします。

    • 侵入後の攻撃者の行動を分析し、侵入の影響を判断します。

    • 侵入を防ぐための脆弱性の修正に関する提案とセキュリティ強化のガイダンスを提供します。

    • セキュリティインシデントサービスレポートを提供します。

    重要

    インシデントレスポンスサービスを購入してから 5 日以内に、検査するオブジェクトを送信する必要があります。

    サービスプロセス

    1. インシデントレスポンスサービスを購入します。

      ビジネスシステムでセキュリティインシデントが発生した場合、Managed Security Service (MSSP) 8/5 Edition をアクティブ化し、インシデントレスポンスサービスを購入できます。その後、購入後 5 日以内に検査対象アセットリストを送信できます。詳細については、はじめに

      重要

      データの損失やビジネスの損失を防ぐために、攻撃されたアセットのデータをバックアップすることをお勧めします。

    2. Alibaba Cloud がセキュリティインシデントを処理します。

      1. Alibaba Cloud セキュリティエンジニアがお客様に連絡を取り、セキュリティインシデントの詳細を把握し、セキュリティインシデントを確認して分類します。

      2. インシデント対応中に攻撃者がシステムを攻撃している、またはさらに損害を与えようとしているとセキュリティエンジニアが判断した場合、セキュリティエンジニアはセキュリティインシデントの影響を最小限に抑えるために抑制方法を講じることができます。

        一般的な抑制方法には、ネットワーク接続の切断、特定のビジネスサービスの無効化、オペレーティングシステムのシャットダウンなどがあります。

      3. セキュリティエンジニアがセキュリティインシデントを分析した後、セキュリティインシデントは次の操作を実行する場合があります。

        • システムからトロイの木馬、ウイルス、悪意のあるコードを削除します。

        • Web サイトからトロイの木馬、隠れたリンク、トロイの木馬を削除します。

        • 攻撃者によって改ざんされたシステム構成を復元し、攻撃者によって作成されたバックドアアカウントを削除します。

        • 異常なシステムサービスを削除し、異常なプロセスを終了します。

        • セキュリティエンジニアが問題をトラブルシューティングした後、ワークロードを復元します。

      4. セキュリティエンジニアは、攻撃者がシステムに侵入するために使用した方法を分析し、セキュリティインシデントの原因を調査し、リスクの重大度と損害を判断します。この分析は、ネットワークトラフィック、システムログ、Web ログ、アプリケーションログ、データベースログ、およびセキュリティサービスからのデータに基づいています。

        説明

        いくつかのセキュリティインシデントでは、攻撃者がログをクリーンアップした場合、またはシステムが関連ログを保持していない場合、侵入の原因が特定されない場合があります。

      5. セキュリティインシデントが処理された後、セキュリティエンジニアは、インシデント、処理プロセス、処理結果、原因分析を説明する Alibaba Cloud セキュリティインシデント対応レポートを提供し、対応するセキュリティの提案を提供します。

    3. レポートを受け取った後、レポートの内容を確認し、サービスプロセスに関する問題について Alibaba Cloud にフィードバックや苦情を提供できます。

    インシデント対応 サービス レポートダウンロードする

    1. MSSP コンソール にログインします。

    2. 左側のナビゲーションペインで、サービスレポートService Report > 緊急対応Emergency Response を選択します。

    3. Emergency Response ページで、ダウンロードするサービスレポートを見つけ、アクション 列の [ダウンロード] をクリックします。