情報セキュリティインシデント発生時の対応

情報セキュリティインシデントとは

情報セキュリティインシデントとは，情報セキュリティに関連して発生する事故・障害等の出来事のことで， パソコンのマルウェア感染やサーバに対する不正アクセス等が該当します．

学生や教職員の私物のノートパソコンやスマートフォン等の機器であっても，神戸大学のネットワークに接続する場合には， インシデント発生時の機器の調査に協力していただく必要があります．

情報セキュリティインシデント発生時の対応

情報セキュリティインシデントが発生した場合には，神戸大学情報セキュリティポリシーの 実施手順として定められているインシデント対応手順に従い 対応を行う必要があります．

このページでは，インシデント対応手順のうち，主に「一時措置・状況保全」について簡単な説明や補足を行っています． その他の部分については，インシデント対応手順等の神戸大学情報セキュリティポリシーを直接確認してください．

情報セキュリティインシデントの対応を行う際には，特に被害拡大防止と証拠保全に注意を払いながら対応する必要があります．

被害拡大防止

• ネットワークからの機器の切り離し

パソコンやサーバ等のシステムへのマルウェア感染や不正アクセスが疑われる場合などは，情報の流出や 学内外の他システムへ危害を加える場合がありますので，問題のシステムを速やかにネットワークから切り離す必要があります．

被害が確認された機器と同一ネットワークセグメント内の機器等，ネットワーク的にアクセス可能な範囲の機器に被害が拡大していないか 確認を行い，被害が確認された機器については，同様にネットワークから切り離す必要があります．

• 有線接続の場合

  • LANケーブル等を抜きネットワークから隔離する

• 無線接続の場合

  • 無線LANをON/OFFを切り替える物理スイッチがある場合は，*OFF*にする
  • 物理的な切り替えスイッチが存在しない機器の場合は，OS等の無線LAN接続設定を無効化するなど必要最低限の変更を行う

証拠保全

情報セキュリティインシデントの発生したシステムで，何が起こったのかを正確に調査するための証拠を削除しないように慎重に調査を進めなくてはいけません． 基本的には，情報システム管理部会から指示のあった調査以外を行わないようにしてください．

システムの改変が進むと，システム内の調査が困難となる場合がありますので，可能な限りシステムをインシデント発生時と同じ状態に保っておく必要があります． 未知のマルウェアへの感染の可能性がある場合や，重大なインシデントに発展する可能性がある場合等は，システムのメモリダンプやディスクイメージの取得等の 十分な保全措置を行ってから，調査に着手する場合もありますので，情報システム管理部会の指示に従ってください．

システムに対して，次のような操作を行うことは厳禁です． （情報システム管理部会から指示や許可があった場合には，この限りではありません．）

• システムの電源を切る
  • システムの電源を切ったり再起動を行ったりしてしまうと，システムのメモリ上に記録されている揮発性の情報が消えてしまい，調査が困難となる場合があります．
• ファイルの削除やシステムの初期化等
  • 感染したマルウェア本体についても重要な手掛かりとなりますので，ウィルス対策ソフト等で削除しないように気を付けてください．
  • インシデントとは関係ないと思われるファイルの削除等のシステムの改変も，調査の妨げとなる場合がありますので行わないでください．

情報システム管理部会への連絡

基本的には，情報セキュリティインシデントが発生した部局側のシステムの管理者や部局システム管理責任者等の担当者と， 情報システム管理部会が連携して対応を行います．

部局側でのシステム自体の調査と並行して，情報システム管理部会では，必要に応じてシステムの通信記録等を調査しますので， 情報セキュリティインシデントの発生が疑われる場合は，できるだけ早く情報システム管理部会へ一報を入れるようにしてください．

報告には，情報セキュリティインシデントの調査を行う上で必要となる次のような内容を含めるようにしてください． インシデントの種類により必要な情報は異なりますので，必要と思われる情報は報告に含めてください．

• インシデント発生日時
• 発生場所
• 情報セキュリティインシデントの発見に至った経緯
• 情報セキュリティインシデントの発生が疑われる具体的な状況
  • （例）不審メールに添付されたファイルを開いてしまった
  • （例）パソコンを起動するとシステムの警告画面が表示された
  • （例）部局で管理しているWebページが書き換えられていた
• システムの情報
  • ネットワーク接続に使用されていたグローバルIPアドレスやプライベートIPアドレスの情報
    • システムをネットワークから隔離した関係で，使用していたIPアドレスがわからなくなってしまった場合には，ネットワークへの接続に使用していたネットワークインタフェースのMACアドレスを報告してください．
  • システムの構成
    • システムのハードウェア構成
    • システムで利用しているOSやソフトウェアの種類やバージョン情報
      • システム内に既知の脆弱性が存在しないか判断する材料となります．

必要な情報がすべてそろっていない状態であっても，速報性を優先して報告を行い，追加で判明した内容については逐次報告するようにしてください．

また，情報システム管理部会からの追加の情報提供の依頼があった場合には，速やかに調査・回答をお願いします．

連絡先

情報セキュリティインシデントを発見した場合には，システムの管理者や部局システム管理責任者等に連絡を行う必要があります．

システムの管理者が不明の場合には，情報システム管理部会へ連絡をお願いします．

• 情報システム管理部会
  • 
  • 事務担当窓口は，情報推進課 基盤システムグループとなっています．

各部局には，部局内のシステム管理体制は，部局毎に異なっていますので，情報セキュリティインシデント発生時の連絡先等は， 部局内であらかじめ確認しておく必要があります．

部局側の担当者は，部局ネットワーク担当者やICT推進支援担当者が兼任している場合もありますので， 参考情報として掲載しておきます．

• 部局ネットワーク担当者
• ICT推進支援担当者

関連文書

• 神戸大学情報セキュリティポリシー
  • 神戸大学情報セキュリティポリシー（抜粋）
  • 神戸大学情報セキュリティポリシー（全体）
• 神戸大学_情報セキュリティインシデント対応体制等について
• （対応体制図）神戸大学における情報セキュリティインシデント発生時の対応体制
• 情報セキュリティ対策基本計画