インシデント対応ポリシー

1. はじめに

本書は、DeskCamera アプリケーションにおけるインシデント対応ポリシーを定義したものです。DeskCamera は、顧客のローカルネットワーク内で動作するオンプレミスの画面配信アプリケーションです。クラウドサービスは提供せず、ユーザーデータの保存や処理を行わず、ライブコンテンツを DeskCamera のサーバーに送信することもありません。

2. 目的

ソフトウェア開発、配信、またはサポートインフラに影響を与える可能性のあるセキュリティインシデントを識別・管理・解決するための構造化された対応体制を DeskCamera が保持することを目的とします。

3. 適用範囲

DeskCamera のコードベース、ビルドパイプライン、サードパーティ依存関係、配信システム、および社内開発ツールに関するセキュリティインシデントを対象とします。

4. 対象となるインシデントの種類

• コードリポジトリへの不正アクセス
• 署名証明書またはビルド環境の侵害
• サードパーティライブラリにおけるサプライチェーンの脆弱性
• 配布されたインストーラの整合性に影響を与える構成ミス
• SDLC（ソフトウェア開発ライフサイクル）中に使用されるツールの脆弱性

5. 役割と責任

• CTO – インシデント対応を監督し、重要な対応を承認する
• 開発チーム – 技術的な詳細を評価し、コードの修正とシステムの復旧を行う
• セキュリティ責任者 – 調査を指揮し、ログを保持し、コミュニケーションを確保する

6. インシデント対応プロセス

6.1. 識別

• セキュリティフィードを介した CVE（共通脆弱性識別子）の自動モニタリング
• 通常業務中のコードレビューや異常検出による手動監視

6.2. 評価

• 重大度（重大、高、中、低）に基づく優先順位付け
• 配布されたソフトウェアへの影響の有無を確認

6.3. 封じ込めと緩和

• 侵害された認証情報の即時無効化
• 影響を受けた環境またはパイプラインの隔離
• 影響を受けたサードパーティライブラリの削除またはパッチ適用

6.4. 復旧

• クリーンなバックアップから環境を復元
• 検証済みのクリーンキーを使用してビルドに再署名
• リリース済みインストーラの整合性を再テストおよび再検証

7. コミュニケーション

• 社内向け: すべてのインシデントは記録され、経営陣と共有される
• 社外向け: 配布済みのビルドまたはアップデート機構の整合性が損なわれた場合に限り、24時間以内に顧客に通知される

8. インシデント後のレビュー

• 5営業日以内に根本原因分析を実施
• 必要に応じてセキュリティ手順を更新
• インシデントレポートは社内に保管され、年次セキュリティトレーニングに活用される

9. レビューとテスト

• 本ポリシーは年に一度、CTO によって見直される
• インシデント対応に関する社内テーブルトップ演習が定期的に実施される