@techreport{oai:ipsj.ixsq.nii.ac.jp:00197583,
 author = {森, 健人 and 石井, 将大 and 松浦, 知史 and 金, 勇 and 北口, 善明 and 友石, 正彦},
 issue = {2},
 month = {Jun},
 note = {昨今 CSIRT において対応すべきセキュリティインシデントは絶えることなく発生し，担当者は日々膨大なアラートの処理に追われながらイベントの調査 ・解析，連絡対応，報告書作成など多岐にわたるタスクを迅速に処理していくことを強いられている．このような対応の負荷軽減のためには，日々のインシデント対応内容とその結果を知見として継続的に蓄積及び共有し，類似性 ・関連が見い出せる将来の事案の対応に活かす仕組みが必要である．一方で，実際のインシデント発生時は対応に追われがちであり，知見の蓄積を行うための時間を別途確保する事が難しい．したがって，現場の負荷を抑えた上で効率的にインシデント対応の知見を蓄積 ・共有する仕組みを適切に対応フローに組み込むことには価値がある．本稿では東工大 CERT で行なっているインシデント対応をアラート収集，トリアージ，ハンドリング，文書化の 4 つのフェーズとして抽象化し，各フェーズのタスクを担当者が順次処理することで現場の作業負荷及び心理的負荷を軽減しながらも，継続的な知見の蓄積を可能とするインシデント対応フローを提案する．さらに東工大 CERT では，提案する対応フローに沿って知見を蓄積および活用可能とするシステムを OSS である GitLab を用いた実装および運用に取り組んでおり，システムの実装方法に加えて実運用で得られた経験も踏まえ，インシデント対応時の知見の活用方法の可能性に関して報告する．},
 title = {セキュリティ事案における知見の蓄積・活用を可能とする対応フローの提案と実装},
 year = {2019}
}