# 封じ込み インシデント対応に関連する封じ込めの定義の 1 つは、セキュリティイベントの処理中に、セキュリティイベントの範囲を最小限に抑え、環境内での不正使用の影響を封じ込める戦略を処理または実装することです。 封じ込め戦略は多くの要因に依存し、封じ込め戦術の適用、タイミング、目的に関して、組織ごとに異なるものになる可能性があります。「[NIST SP 800-61 コンピュータセキュリティインシデント処理ガイド](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)」では、適切な封じ込め戦略を決定するためのいくつかの基準について概説しています。これには、以下が含まれます。 + リソースへの潜在的な損害および盗難 + 証拠保全の必要性 + サービスの可用性 (ネットワーク接続、外部の関係者に提供されるサービス) + 戦略の実装に必要な時間とリソース + 戦略の有効性 (部分的または完全な封じ込め) + ソリューションの期間 (4 時間で削除する緊急回避策、2 週間で削除する一時的な回避策、永続的な解決策) ただし、AWS のサービスについては、基本的な封じ込めステップを次の 3 つのカテゴリに絞り込むことができます。 + **ソースの封じ込め** — フィルタリングとルーティングを使用して、特定のソースからのアクセスを防止します。 + **手法とアクセス権の封じ込め** – アクセス権を削除して、影響を受けるリソースへの不正アクセスを防止します。 + **送信先の封じ込め** — フィルタリングとルーティングを使用して、ターゲットリソースへのアクセスを防止します。