情報セキュリティ・キーワード 2025 ⑧ セキュリティ運用とインシデント対応

日常的なセキュリティ監視、脆弱性管理、そして万一インシデントが発生した場合の検知、分析、封じ込め、復旧、再発防止までの一連の対応プロセスに関わるキーワードを取り上げます。

• 8.1 セキュリティ監視とログ管理（SIEM）
• 8.2 脆弱性管理
• 8.3 インシデントマネジメント
• 8.4 バックアップとリカバリ
• 8.5 事業継続計画 (BCP) と災害復旧計画 (DRP)

8.1 セキュリティ監視とログ管理（SIEM）

セキュリティ監視 (Security Monitoring)
情報システムやネットワークにおけるセキュリティイベントやログを継続的に収集・分析し、異常な活動や脅威を検知する活動。

ログ (Log)
システムやアプリケーションの動作、ユーザーの操作、イベントなど、様々な情報を時系列で記録したデータ。セキュリティ分析やインシデント調査に不可欠。

ログ管理 (Log Management)
ログを適切に収集、保管、保護、分析すること。ログの完全性、可用性、機密性を確保し、監査証跡として利用できるようにする。

SIEM (Security Information and Event Management)
複数のセキュリティデバイスやシステムから発生するログやイベント情報を一元的に収集、相関分析し、セキュリティインシデントの検知や管理を効率化するシステム。

相関分析 (Correlation Analysis)
複数の異なるログやイベントデータを組み合わせて分析し、単独では気づきにくい脅威や攻撃の兆候を検出する手法。

アラート (Alert)
セキュリティ監視において、異常な活動や脅威が検知された際に、管理者へ通知される警告。

ベースライン (Baseline)
正常な状態におけるシステムやネットワークのパフォーマンス、トラフィック、イベントなどの基準値。異常を検知する際の比較対象となる。

8.2 脆弱性管理

脆弱性管理 (Vulnerability Management)
情報システムやアプリケーションの脆弱性を特定し、評価し、優先順位を付けて対処するプロセス。継続的な活動が必要。

脆弱性スキャン (Vulnerability Scan)
システムやネットワークに既知の脆弱性がないかを自動的に診断するツールやそのプロセス。

ペネトレーションテスト (Penetration Testing / 侵入テスト)
専門家が攻撃者の視点に立ち、実際にシステムへの侵入を試みることで、現実的な脆弱性やセキュリティ上の弱点を洗い出すテスト。

パッチ管理 (Patch Management)
OSやアプリケーションの脆弱性を修正するための修正プログラム（パッチ）を、継続的に適用し管理すること。脆弱性管理の中心的な活動。

構成管理 (Configuration Management)
情報システムの設定や構成を標準化し、一貫性を保ち、変更を適切に管理すること。不適切な設定による脆弱性を防ぐ。

8.3 インシデントマネジメント

インシデント (Incident)
情報セキュリティ方針に違反する、または情報セキュリティ運用に悪影響を与える可能性のある事象。セキュリティインシデントとも呼ばれる。

インシデントマネジメント (Incident Management)
情報セキュリティインシデントが発生した際に、その影響を最小限に抑え、迅速に復旧し、再発防止策を講じるための一連のプロセス。

CSIRT (Computer Security Incident Response Team)
コンピュータセキュリティインシデント発生時に対応を専門に行うチーム。検知、分析、封じ込め、根絶、復旧、事後処理などを担当する。

SOC (Security Operation Center)
24時間365日体制で情報システムやネットワークを監視し、セキュリティイベントの検知、分析、初動対応を行う組織。

インシデント対応計画 (Incident Response Plan)
インシデント発生時の具体的な対応手順や役割分担を定めた計画書。

初動対応 (Initial Response)
インシデント発生後、最初に行う対応。状況把握、影響範囲の特定、関係者への連絡など。

封じ込め (Containment)
インシデントによる被害の拡大を防ぐための措置。感染端末のネットワークからの隔離、サービスの停止など。

根絶 (Eradication)
攻撃の根本原因を取り除き、システムの脆弱性を解消すること。マルウェアの駆除、脆弱性のパッチ適用など。

復旧 (Recovery)
サービスやシステムを正常な状態に戻すこと。バックアップからのデータ復元、サービスの再開など。

事後分析 (Post-Incident Analysis / Lessons Learned)
インシデント対応が完了した後、発生したインシデントの原因、対応プロセス、被害などを詳細に分析し、今後の対策に活かすための教訓を得る活動。

フォレンジック (Forensics)
不正アクセスや情報漏洩などのセキュリティインシデント発生時に、デジタルデータを科学的・法医学的な手法で収集、分析し、証拠を保全・解析する技術。

侵害指標 (Indicators of Compromise: IoC)
攻撃やマルウェア感染を示す痕跡やパターン。IPアドレス、ドメイン名、ファイルハッシュ値、レジストリキーなど。

脅威インテリジェンス (Threat Intelligence)
サイバー攻撃に関する情報を収集・分析し、組織のセキュリティ対策に役立てるための知見。攻撃者の動向、手法、ツールなど。

インシデント報告 (Incident Reporting)
インシデントの状況、対応、影響などを関係者（経営層、顧客、監督官庁など）に適切に報告すること。

8.4 バックアップとリカバリ

バックアップ (Backup)
データやシステムを複製し、元のデータが破損・紛失した場合に復元できるようにすること。

リカバリ (Recovery)
バックアップデータを用いて、破損・紛失したデータやシステムを元の状態に戻すこと。

RPO (Recovery Point Objective: 目標復旧時点)
災害や障害発生時に、どの時点までのデータ復旧を許容できるかを示す目標。

RTO (Recovery Time Objective: 目標復旧時間)
災害や障害発生後、システムをどのくらいの時間で復旧させるかを示す目標。

完全バックアップ (Full Backup)
すべてのデータを対象に行うバックアップ。

増分バックアップ (Incremental Backup)
前回実行されたバックアップ（完全または増分）以降に変更されたデータのみを対象に行うバックアップ。

差分バックアップ (Differential Backup)
前回実行された完全バックアップ以降に変更されたデータのみを対象に行うバックアップ。

8.5 事業継続計画 (BCP) と災害復旧計画 (DRP)

事業継続計画 (Business Continuity Plan: BCP)
災害や大規模な障害発生時に、企業が重要な事業活動を中断させない、または中断しても許容範囲内で再開・継続するための計画。

災害復旧計画 (Disaster Recovery Plan: DRP)
大規模な災害（自然災害、システム障害、サイバー攻撃など）によって情報システムが利用できなくなった場合に、システムを復旧させるための具体的な計画。BCPの一部として策定されることが多い。

事業影響度分析 (Business Impact Analysis: BIA)
災害や障害が発生した場合に、個々の業務プロセスが事業に与える影響を分析し、RPOやRTOなどの復旧目標値を設定するための活動。