インシデントとは
インシデントとは、機密性・完全性・可用性に関わる悪影響を及ぼす事象です。CISSPでは大体の場合、コンピュータ資産、ネットワーク、情報システムなどのシステムインシデントを指します。
システム上のイベントを監視・検知し、それらのイベントにどのように対応するかをインシデント管理が必要です。インシデントは非常にストレスの多い状況ですが、スタッフが何をすべきかを正確に把握し、継続的なトレーニングを受け、手順を理解していることが重要です。
イベントとは、観察可能な状態の変化を指します。これはネガティブでもポジティブでもなく、ただ何かが変化したということです。システムの電源投入、あるセグメントから別のセグメントへのトラフィック、アプリケーションの起動などがイベントに当たります。
警告とは、通常の状態ではないことを示し、インシデントにつながる可能性を事前に通知することです。特定のイベントが発生した場合に警告を発します。「トラフィック使用率が75%以上、メモリ使用率が90%以上の状態が2分以上続いた場合」などが該当します。
問題とは、原因不明のインシデントであり、インシデント対応と同様のステップを踏むことになります。根本原因分析にはより多くの時間が費やされ、何が起こったのかを知ることで二度と起こらないようにする必要があります。