@ITより。伊原さんのインシデントレスポンスに関する連載記事。インシデント発生後の調査は揮発性の高い情報から収集すべしということがよく言われていることですが、やはり手順書などで作業内容を明確化しておかないとあたふたしがちですよね。
一方で、現在システムを運用しているところの多くは、何かあったときにはシステム止めろとかネットワークケーブル抜けということくらいしか決まってないんだろうなと。このギャップがなかなか埋まらないですね。