Microsoft Online Services インシデント対応フェーズ 4 - インシデント後のアクティビティについて
事後検討
インシデントの解決後、セキュリティ インシデントの中でも、特に顧客に影響を与えたり、データ侵害を引き起こしたりしたものを厳選して、完全な事後検討を行います。 事後検討は、技術的過失、手続き上の失敗、手動エラー、およびインシデントの原因となった可能性がある、またはインシデント対応プロセス中に特定されたその他のプロセスの欠陥を特定するように設計されています。 通常、このプロセスには次のものが含まれます。
- システムのセキュリティやセキュリティ インシデントへの対応プロセスを改善する余地を特定するための、根本原因と調査の詳細分析。
- プロセス、トレーニング、またはテクノロジを改善する余地を特定するための、製品グループの特定分野の専門家とセキュリティおよびプライバシーの専門家とのディスカッション。
- 今後同様の問題を発見するための新しい自動監視および検出メカニズムの実装。
- 通常のセキュリティ開発ライフサイクルの一環として製品チームが対応するチケット作業項目またはバグとして調査結果を記録し、これらを適切な担当チームに割り当ててフォロー アップを行う。
- 上級管理職が実施する月次セキュリティ インシデント レビュー会議で、完了した事後検証の結果について話し合う。
継続的な改善
セキュリティ インシデントから学んだ教訓は、将来のインシデントを防ぎ、検出と対応の機能を向上させるために、セキュリティ対応チームの協力を得て実装されます。 効果的かつ効率的なインシデント対応には、継続的な改善が最も重要です。 事後活動を行うことで、セキュリティ インシデントから得られた教訓が組織全体に適切に実装され、進化し続ける脅威から Microsoft とその顧客が保護されるようになります。