出版書誌データベース

すべてのインシデント対応者およびセキュリティ組織にとっての手引きとなる待望の書です。著者は、様々なセキュリティ事案を調査してきたインシデント対応およびコンピューターフォレンジックの第一人者です。最高情報責任者（CIO）やインシデント対応チームのリーダー、Webサーバーのログ収集者など、様々なセキュリティ関係者にとって役立つように、インシデント対応の技術的な面と一般的な面の両方を取り上げました。
本書は、以下のことを必要としているすべての人に向けたアドバイスとなっています。

・インシデント対応のプロセスを理解する
・インシデント対応チームを作り、成功への備えをする
・インフラや組織を強化し、インシデント対応プロセスを促進する
・調査と修復の作業を指揮する
・証拠を集めて処理する
・WindowsまたはOS Xの証拠を解析する
・マルウェアのトリアージを行う
・より優れた報告書を作成する

第1部　避けられないインシデントへの備え
■第1章　実際に発生したインシデント
・インシデントとはどういうものか
・インシデントレスポンスとは何か
・現在の状況
・なぜインシデント対応に注意を払うべきなのか
・ケーススタディ
　ケーススタディ1「金を見せろ」
　ケーススタディ2「正当性の証明」
・攻撃のライフサイクルという概念
・まとめ

■第2章　IR管理ハンドブック
・コンピューターセキュリティインシデントとは何か
・インシデント対応の目標
・IRプロセスの関係者
　IRにふさわしい人材を見つける
・インシデント対応の手順
　初動対応
　調査
　修復
　重要な調査情報を追跡する
　レポートの作成
・まとめ

■第3章　インシデント発生前の備え
・インシデント対応に向けた組織の準備
　リスクの特定
　インシデント対応の成功を促すポリシー
　アウトソースされたITへの対応
　グローバルなインフラの問題について
　ホストベースのセキュリティに関するユーザー教育
・インシデント対応チームの準備
　任務の明確化
　コミュニケーション手順
　成果物
　インシデント対応チームのリソース
・インシデント対応に向けたインフラの準備
　コンピューター機器構成
　ネットワーク構成
・まとめ


第2部　インシデントの検知と特性評価
■第4章　順調に調査のスタートを切る
・最初の事実集め
　チェックリスト
・ケース記録の管理
　攻撃のタイムラインを作成する
・調査の優先順位を理解する
　証拠要素とは
　経営陣と見通しを立てる
・まとめ

■第5章　手掛かりの初期展開
・価値のある手掛かりとは
・手掛かりに基づいて動く
　手掛かりをインディケーターにする
　インディケーター作成のライフサイクル
　内部の手掛かりを収集する
　外部の手掛かりを収集する
・まとめ

■第6章　インシデントの範囲を特定する
・何をすべきか
　初期データを調べる
　暫定的証拠の収集とレビュー
　活動方針を決める
・顧客情報流出のシナリオ
　顧客情報流出―範囲特定の失敗
・小口取引自動決済（ACH）詐欺のシナリオ
　ACH詐欺―範囲特定の失敗
・まとめ


第3部　データ収集
■第7章　ライブデータ収集
・ライブレスポンスを実行するタイミング
・ライブレスポンスツールの選択
・何を収集するか
・収集のベストプラクティス
・Windowsシステムでのライブデータ収集
　ビルド済みツールキット
　自分でやってみる
　メモリーイメージの収集
・UNIXベースシステムでのライブデータ収集
　ライブレスポンスツールキット
　メモリーイメージの収集
・まとめ

■第8章　フォレンジックコピー
・フォレンジックイメージの形式
　ハードディスク全体のイメージ
　パーティションイメージ
　論理イメージ
　イメージの完全性
・従来型のコピー
　書き込み防止ハードウェア
イメージ作成ツール
・ライブシステムのコピー
・企業資産のコピー
　仮想マシンのコピー
・まとめ

■第9章　ネットワーク上の証拠
・ネットワーク監視の意義
・ネットワーク監視の種類
　イベントベースのアラート監視
　ヘッダーキャプチャーと全パケットロギング
　統計モデリング
・ネットワーク監視システムのセットアップ
　適切なハードウェアを選ぶ
　ビルド済みディストリビューションのインストール
　ネットワークセンサーの配備
　ネットワークモニターを評価する
・ネットワークデータ解析
　データ窃盗のシナリオ
　webshellを使った偵察のシナリオ
　その他のネットワーク解析ツール
・ネットワークイベントで生成されたログの収集
・まとめ

■第10章　エンタープライズサービス
・ネットワークインフラサービス
　DHCP
　DNS
・エンタープライズ管理アプリケーション
　LANDesk Management Suite
　Symantec Altiris Client Management Suite
・アンチウイルスソフトウェア
　アンチウイルスソフトウェアによる検疫
　Symantec Endpoint Protection
　McAfee VirusScan
　Trend Micro OfficeScan
・Webサーバー
　Webサーバーの背景知識
　Apache HTTPサーバー
　Microsoft Internet Information Services（IIS）
・データベースサーバー
　Microsoft SQL
　MySQL
　Oracle
・まとめ


第4部　データ解析
■第11章　解析の方法論
・目的を定義する
・データを知る
　データの格納場所
　収集できる情報
・データにアクセスする
・データを解析する
　解析手法の概略
　解析手法を選択する
・結果を評価する
・まとめ

■第12章　Windowsシステムの調査
・NTFSとファイルシステム解析
　マスターファイルテーブル
　INDX属性
　変更ログ
　ボリュームシャドーコピー
　ファイルシステムリダイレクター
・プリフェッチ
　証拠
　解析
・イベントログ
　証拠
　解析
・タスクスケジュール
　atコマンドによるタスクの作成
　schtasksコマンドによるタスクの作成
　証拠
　解析
・Windowsレジストリ
　証拠
　解析
　レジストリ解析ツール
・対話型セッションの他のアーティファクト
　LNKファイル
　ジャンプリスト
　ごみ箱
・メモリーフォレンジック
　証拠
　メモリー解析
・代替の永続メカニズム
　スタートアップフォルダー
　定期的なタスク
　システムバイナリーの改ざん
　DLLのロード順序のハイジャック
・復習：調査に関するよくある質問と回答
・まとめ

■第13章　Mac OS Xシステムの調査
・HFS＋とファイルシステムの解析
　ボリュームレイアウト
　ファイルシステムサービス
・オペレーティングシステムのコアデータ
　ファイルシステムのレイアウト
　ユーザーとサービスの設定
　ゴミ箱と削除されたファイル
　システム監査、データベース、ロギング
・スケジュールしたタスクとサービス
　アプリケーションインストーラー
・レビュー：よくある調査上の質問への回答
・まとめ

■第14章　アプリケーションの調査
・アプリケーションデータとはどんなものか
・アプリケーションデータはどこに格納されるか
　Windows
　Mac OS X
　Linux
・一般的な調査手法
・Webブラウザー
　Internet Explorer
　Google Chrome
　Mozilla Firefox
・メールクライアント
　Webメール
　Microsoft Outlook for Windows
　Apple Mail
　Microsoft Outlook for Mac
・インスタントメッセージクライアント
　方法論
　インスタントメッセージ
・まとめ

■第15章　マルウェアのトリアージ
・マルウェアの取り扱い
　安全対策
　文書化
　配布
　悪意のあるサイトへのアクセス
・トリアージ環境
　仮想環境の設定
・静的解析
　ファイルの正体
　Portable Executableファイル
・動的解析
　自動化された動的解析:サンドボックス
　手動の動的解析
・まとめ

■第16章　レポートの作成
・レポートを作成する理由
・レポートの作成基準
　レポートの文体と形式
　レポートの内容と構成
・品質保証（QA）
・まとめ


第5部　修復
■第17章　修復の概要
・基本概念
・修復作業の事前チェック
・修復チームの結成
　修復チームを結成するタイミング
　修復責任者の任命
　修復チームのメンバー
・修復アクションを実行するタイミングを決定する
・予防策の策定と実行
　攻撃者に気付かれた場合の影響
・インシデント封じ込めアクションの策定と実行
・駆除アクション計画の策定
・駆除のタイミングを決定し、駆除計画を実行する
・推奨される恒久対策を策定する
・調査から得られた教訓を文書化する
・サンプルシナリオでの実践
・修復作業の失敗につながる誤りの典型
・まとめ

■第18章　修復のケーススタディ
・修復計画のケーススタディその1「金を見せろ」
　チームを選抜する
　修復のタイミングを決定する
　インシデントの封じ込め
　予防策の実施
　攻撃者の駆除
　戦略的な方針を決定する
・まとめ