セキュリティ事故の対応の標準
============================================

概要
--------

この文書では, セキュリティ事故が発生した場合の対応の標準を規定する.


セキュリティ事故とは
------------------------------

社外サービスでのセキュリティ事故の例を挙げる.

* Webアプリケーションの脆弱性を利用したセッション情報の漏洩
* 個人情報を含むDBのバックアップ情報が漏洩
* 運用者の意図的な個人情報漏洩
* OSなどの脆弱性による攻撃者の侵入と他ホスト攻撃ツールの設置/攻撃

.. _level-incident:

事故のレベル
------------------------------

以下にセキュリティ事故のレベルを示す. 情報のレベルは次を参照:
:ref:`level-infomation`


レベル1(深刻度: 低)
  問題発生の原因・被害の範囲が社内に限定される事故

レベル2(深刻度: 中)
  社外からのセキュリティ侵害(個人情報などの重要情報の漏洩の可能性が低い)

レベル3(深刻度: 高)
  社外からのセキュリティ侵害(個人情報などの重要情報の漏洩の可能性が高い)
  その他の個人情報漏洩の可能性のある事故
  社内から社外への攻撃が疑われる事故


事故発生の通報
------------------------------

提供するサービスにレベル2もしくは3のセキュリティ事故が発生した場合, 事故に気付いた構成員は以下に報告しなければならない.

  * 上長
  * 緊急報告メーリングリスト

情報セキュリティ委員会は, サービスの開発者/運用者と共に対応にあたらなければならない 情報セキュリティ委員会委員長が事故対応の責任者となる. ただし, 情報セキュリティ委員会が別の者が責任者に適任だと判断した場合は例外を認める.

事故対応
--------------------

状態の保存
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

事故対応責任者は, 後日の検討のために事故当時のログや設定などの状態を保存しなければならない. ただし, 事故の解決が優先と判断した場合は除く.


対応の記録
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

事故対応者それぞれは, 後日の検討のために対応の記録を取らなければならない. ただし, 事故対応責任者が, 事故の解決が最優先と判断した場合は除く.

外部業者への依頼
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

事故対応責任者は, 社内のみの対応では不十分と判断した場合に, 外部業者に対応の一部を依頼してもよい. 

情報セキュリティ委員会は, 事故対応を依頼できる外部業者を選定し一年に一度見直さなければならない.


復旧後の対応
-------------------------------

社内向け報告書の作成
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

事故対応責任者は, 事故対応の社内向け報告書を作成しなければならない. 

報告書のフォーマットは以下の障害報告フォーマットに準ずる.::

 (春山が作成したものではないので削除)

事故の検討
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

情報セキュリティ委員会は, 事故の検討会を開催しなければならない. 必要があればセキュリティ標準/手順やその他のルールの見直しを行う必要がある.


関連企業への連絡
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

サービスの運用者は, レベル2以上の事故の場合事故についての報告を関連企業に行なう必要がある.

公的機関への報告
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

事故対応責任者は, JPCERT, IPAなどの公的機関への事故の報告が妥当と考えられる場合に, 公的機関へ事故を報告してもよい.

事故情報の公開
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

事故対応責任者は, レベル3の事故の場合, 事故情報を公開しなければならない.