インシデントおよびリーク応答
1)目的、原則および範囲
目標:損害および法的リスクを低減し、セキュリティ/コンプライアンス・インシデントが発生した場合の業務の継続性と行動の証明性を確保する。
原則: 「迅速に→正確に確認する→透明な文書→合法的に通知する→繰り返しを防ぐ」
適用範囲:サイバーインシデント(DDoS、 ATO、ハッキング、脆弱性)、PII/決済データ漏洩、AML/KYC/制裁違反、プロバイダ障害(KYC/PSP)、広告/責任あるゲーム(RG)インシデント、危険なパートナー。
2)重大度の分類とトリガー
3) SLAエスカレーションと「インシデントブリッジ」
開始:High/Criticalはウォールルーム(チャット/コール)を作成し、インシデントコマンダー(IC)を割り当てます。
SLA: 情報-n/a;低い-24 h;ミディアム-4つ;高い-1 h;クリティカル-15分
橋渡し役割:IC、セキュリティリード、SRE/Ops、コンプライアンス(合法性のための副IC)、 法的/DPO、 支払/FRM、 サポート/VIP、 PR/COMMS、データ/フォレンジック。
4)応答プロセス(適応におけるSANS/NISTスタック)
1.準備:runbooks、連絡先リスト、バックアッププロバイダ、テストアラート、「default closed」アクセス。
2.識別:SIEM/SOARの相関、詐欺防止規則、KRI信号;fact/volumeの確認。
3.封じ込め:セグメンテーション、脆弱なフィーチャー/エンドポイントの無効化、地理的制約、フィーチャーフラグ、時間制限/保持。
4.排除(消去):パッチ/キーの回転、アカウント/デバイスのブロック、悪意のあるアーティファクトのクリーニング、画像の再構成。
5.回復:整合性の検証、トラフィック(カナリアプール)の段階的な包含、回帰監視。
6.事故後:死後≤ 72 h、 CAPA計画、更新ポリシー/しきい値/モデル。
5)法的通知および外部からの連絡
- データ監視(DPA):確認されたPII漏洩→通知(インシデントの説明、データカテゴリ、対策、DPO連絡先)。
- ギャンブルレギュレータ:プレイヤー/レポートに影響を与えるRG/広告ルール/失敗の大規模な違反。
- 銀行/PSP:疑わしい活動/SARケース、大規模なチャージバック、支払いフローの妥協。
- ユーザー:データの漏洩/危害の危険性が高い。レターテンプレートとFAQ。
- パートナー/ベンダー:それらとのインシデントまたは私たちとの共通のフロー/データに影響を与えます。
Commルール:単一のスピーカー、推測のない事実、明確なアクション/推奨事項、メッセージと回答のすべてのバージョンを保存します。
6)鑑識と「監護の連鎖」(監護の連鎖)
誰が/いつ/何を収集したかを記録します。WORM/non-modifiableストレージを使用します。
ボリューム/ログのスナップショット、ハッシュによるアーティファクトのエクスポート(SHA-256)。
読み取り専用アクセス、重複による作業。
すべてのコマンド/ステップを文書化する。タイムラインを保存します。
アーティファクトを第三者に譲渡する条件に関する法的/DPOに同意する。
7)制御されたコミュニケーション(内部/外的な)
Do:簡潔で、事実上、IC/Legalに同意します。次の更新スロットを指定します(例:60分ごとに)。
Don 't:事実としての仮説、PII開示、申し立て、期限の約束はチェックされていません。
- 何が起こったのですか?/重大度/影響範囲/対策を講じた/次のステップ/次のアップデート……
8)典型的な範囲のplaybook'および
A) PII漏洩(アプリケーション/バックエンド/ベンダー)
1.Bridge ≤ 15分→不審なエンドポイント/キーを凍結→データアクセスの監査を強化。
2.Rate: PIIのソース/ボリューム/タイプ、タイムラインを決定します。
3.アクション:秘密の回転、修正、権利の改訂、ベンダーの孤立。
4.通知:DPA/レギュレータ/ユーザー/パートナー(必要に応じて)。
5.プレーヤーサポート:よくある質問、サポートチャンネル、推奨事項(パスワード変更/詐欺)。
6.死後とCAPA。
B)プレイヤーアカウントの妥協(ATO/資格情報の詰め込み)
1.ATO信号のスパイク→レートlimit/2FA-enforce/WebAuthn、一時的な出力ブロックを増幅します。
2.デバイス/IPのクラスタリング、影響を受けたユーザーへの通知の送信、トークンのリセット。
3.金融取引をチェック、必要に応じてSAR。
C) CUS/制裁プロバイダーの拒否
1.フォールバックプロバイダに切り替え、高速出力、VIPの手動フローを制限します。
2.サポートおよびVIPマネージャーのためのComm;締め付け中-レギュレータ/バンクに通知します(チェックに影響がある場合)。
D) PSP/決済インシデント(チャージバック/妥協)
1.厳密な3DS/AVS、ドロップ制限、ベロシティルールを有効にします。リスクグループを保持します。
2.PSP/bankに知らせて下さい;洗浄の兆候-EDD/SAR。
3.拒否されたトラフィックを回復および監査します。
E) DDoS/利用不可
1.WAF/ジオカット/スクラブをアクティブにします。「フロスト」リリース。
2.地域のカナリア包含、SLO制御;回復力のポストmortem。
9)ツールとアーティファクト
SIEM/SOAR、 IDS/IPS、 WAF、 EDR、 DLP、シークレットマネージャ、ボールトの回転、不正防止異常検出、インシデントレジスタ、通知テンプレート。
アーティファクト:インシデントレジスタ、ブリッジプロトコル(タイムライン)、フォレンジックレポート、通知パッケージ(レギュレータ/ユーザー/バンク)、死後、CAPAトラッカー。
10)指標とターゲット
MTTD(検出までの時間)、MTTC(封じ込め前)、MTTR(回復前)。
根本原因が確立されたインシデントの%≥ 90%です。
CAPA完了率≥ 95%です。
同じ理由で繰り返されるインシデントの割合≤ 5%です。
SLAで閉じられたインシデントの割合:中≥ 90%、高≥ 95%、重大な≥ 99%。
11) RACI(拡大)
インシデントコマンダー(Ops/Sec):管理、意思決定、タイムラインのためのA。
セキュリティリード(R):技術。分析、鑑識、封じ込め/根絶。
コンプライアンス/DPO(合法性のためのR/A):リーク資格、通知、メーリングリスト。
法律(C):法的評価、契約/契約、文字の文言。
SRE/エンジニアリング (R):修正、プルバック、安定性。
支払い/FRM (R):保有、不正防止のしきい値、PSP/銀行との相互作用。
PR/Comms (R):サポートのための外部メッセージ、Q&A。
サポート/VIP (I/C):プレーヤーとのコミュニケーションの前部。
12)型板(最低セット)
12.1インシデントカード(登録)
ID·発見の時間·クラス/重大度·影響を受ける(システム/データ/管轄)·IC·技術/ビジネスの所有者·最初の措置·ボリューム/損害評価·通知(to/when)·アーティファクトへのリンク·ステータス/CAPA/期限。
12.2ユーザーへの通知(絞る)
何が起こったのか;影響を受けた可能性のあるデータ;私たちがしたこと;私達があなたに推薦するもの;連絡先情報;policy reference/FAQ。
12.3死後(構造)
Facts/Timeline・Impact・Root Cause (5 Whys)・働いた/働かなかったこと・CAPA(オーナー/期限)・N週間後の有効性チェック。
13)業務とコンプライアンスの統合
CAB/Change:危険な変更-フィーチャーフラグ/カナリア;各リリースにはロールバックプランがあります。
データとレポート:インシデントのダッシュボードの自動アセンブリ;KRI (制裁/PEP、 KYC、 CBR、 ATO)との通信。
リスク:リスクマトリックスとレジスタの更新、各主要インシデント後のしきい値のキャリブレーション。
14)演習と準備
卓上1/4 (PII漏れ、KYC障害、ATO波、PSPインシデント)。
赤く/青/紫色チーム点検;ベンダーとPSPとの共同演習。
準備KPI:トレーニングを完了した従業員の割合;運動の成功;平均「ブリッジリフト」時間。
15)実装ロードマップ
1-2週間:ロール/連絡先、テンプレート、バックアッププロバイダの更新。
3-4週:SOARプレイブック、ブリッジチャンネル、テスト通知、WORMアーカイブ。
月2+:定期的な演習、監査ログ、インシデントレポートの自動化。
TL;DR(ドクター)
準備=事前に合意された役割としきい値+高速ブリッジ+ハード封じ込め+法的かつタイムリーな通知+証拠の連鎖+必須のポスト致命傷とCAPAを持つ法医学。これによりダメージを最小限に抑え、ペナルティリスクを軽減し、プレイヤーやパートナーの信頼を強化します。